ゼロトラストとは?
ゼロトラストとは、サイバーセキュリティ・ソリューションアーキテクトやシステムインテグレーター、DevOps チームが、不可欠なサイバーセキュリティ機能をサイバーセキュリティの計画作成と意思決定を強化する広範な IT 環境へと統合するために作成した「漏洩の想定」セキュリティモデルです。
以前:ネットワーク境界内の全員を信頼
歴史的に、組織はネットワークセキュリティを確保するために「城と堀」モデルを採用してきました。ネットワーク境界の内側にいるすべてのユーザーと機器は、デフォルトで信頼されており、組織のリソースにアクセスする前に認証する必要はありませんでした。ネットワーク境界の外側にいるユーザーと機器のみが認証を必要としました。これは、事実上すべての従業員と機器がオフィスビル内に配置され、明確に定義されたネットワーク境界が確保されている場合は理にかなったフレームワークでした。
COVID-19 の大流行以前から、クラウドコンピューティングとモビリティは「ネットワーク境界」の概念を崩しつつありました。しかし、パンデミックによるロックダウン命令の余波は、それを完全に破壊してしまいました。新たにリモートで働くようになった従業員全員に対応するため、企業はデジタル変革計画を数カ月から数年単位で加速させることを余儀なくされました。 企業は、従業員がどこからでも仕事のリソースにアクセスできるように、クラウドベースの環境(多くの場合マルチクラウドまたはハイブリッド)へと急速に移行しました。これは、認証とエンドツーエンドの暗号化を必要とするエンドポイント、ウェブサイト、システム、データベース、アプリケーションの数が指数関数的に増加することを意味しました。
IT 管理者は、オンプレミスの同種インフラ向けに構築された異なるソリューションを異種クラウドベースの環境に組み込もうとしましたが、ネットワークとエンドポイントの包括的な可視化やセキュリティ、制御を実現することは不可能であることに気づきました。城と堀のモデルは崩れ去り、脅威者は組織のセキュリティ防御が不十分であることにつけ込み、サイバー攻撃が急増することとなりました。
現在:何者も信頼しない
ゼロトラストとは、城と堀モデルとは対照的に、人間のユーザーやデバイスがどこに位置いていようとも一切信用しないことを意味します。ゼロトラスト環境においては、組織のリソースへとアクセスする前にすべてのユーザーとデバイスが認証される必要があります。ゼロトラストは、ユーザーのいる場所に依存するのではなく、ユーザーが誰であるかを証明させます。
ゼロトラスト・ネットワークアクセスを適切に実装することで、IT 管理者はすべてのユーザー、システム、デバイスを完全に可視化することができます。人、アプリ、サービスは、ネットワーク環境を越えても安全に通信することができます。ユーザーが自宅、ホテル、カフェ、空港から接続しているかどうかも、自分のデバイスを使用しているかどうかさえも関係ありません。管理者は、誰がネットワークに接続しているのか、どこから何にアクセスしているのかを正確に把握することができ、ユーザーは自分が本人であることを明示的に証明するまでは一切ネットワークに接続することができません。
ゼロトラストセキュリティの核となる 3 つの指針:
漏洩を想定する。
どんな人間やデバイスも、たとえオフィス内から接続していたとしても、潜在的に侵害される可能性があります。だからこそ、2 つ目の指針では...
明示的に検証する。
すべての人間と機械は、ネットワークリソースへとアクセスする前に、自分が何者であるかを証明しなければなりません。ですが、それですべてではありません...
最小権限アクセスを確保する。
ユーザが明示的に認証されたとしても、業務遂行に必要な最小限のネットワークアクセス権のみを持ち、それ以上のアクセス権は一切持たないようにする必要があります。
ゼロトラストセキュリティの 6 つの柱
マイクロソフトは、以下の 6 つの柱を中心にゼロトラストの実装を計画することを推奨しています。これらの柱はすべて評価され、それに応じて更新または交換される必要があります。3
アイデンティティ
ゼロトラストモデルでは、人間も機械もすべてのユーザーが独自のデジタルアイデンティティを持つ必要があります。このアイデンティティがリソースへのアクセスを要求するときはいつでも、行動分析によりバックアップされた強力な認証でシステムがそれを検証し、そのアクセス要求がそのユーザーにとって異常でないことを確認しなければなりません。アイデンティティが認証されると、そのネットワークアクセスは最小特権の原則に従わなければなりません。
これを達成するには、すべてのユーザーがすべてのアカウントで強力な独自のパスワードを使用し、多要素認証(MFA)がサポートされている場合はそれを有効にしていることを確認します。さらに、アカウントの漏洩をモニタリングし、潜在的な問題に対応するために、リアルタイムの検出、自動修復、connected intelligence(コネクテッドインテリジェンス)ソリューションを導入します。
エンドポイント
データへのアクセスは、コンプライアンスに準拠した信頼できるアプリとデバイスにのみ許可されるべき必要があります。従業員がモバイルデバイスから会社のアプリケーションにアクセスするのを許可される前に、モバイルデバイス管理(MDM)にデバイスを登録し、全体的な健全性と会社のセキュリティポリシーへのコンプライアンスを確認するよう従業員に要求します。MDM ソリューションは、管理者がデバイスの健全性とコンプライアンスを可視化し、コピー/ペーストやダウンロード/転送のブロックなど、ポリシーとセキュリティ制御を実施する機能も提供します。
今日のクラウドベースの環境では、データはあらゆる場所に存在するので、その場所で管理される必要があります。そのためには、最小特権の原則に従ってデータへのアクセスを厳密に制御、制限し、データの停止中および転送中の暗号化を確実に行う必要があります。
データ
今日のクラウドベースの環境では、データはあらゆる場所に存在するので、その場所で管理される必要があります。そのためには、最小特権の原則に従ってデータへのアクセスを厳密に制御、制限し、データの停止中および転送中の暗号化を確実に行う必要があります。
アプリケーション
アプリケーションへのアクセスや特権も、データ同様に厳格に制御、制限される必要があります。アプリへのアクセスを制御し、アプリの使用状況をモニタリングして異常な行動がないか確認し、ロールベースのアクセス制御(RBAC)を使用して、ユーザーのアプリ内許可が適切で、最小特権の原則に従っていることを確認します。
インフラ
オンプレミスのインフラとクラウドベースの VM(バーチャルマシン)、コンテナ、マイクロサービスの両方の許可を管理することは困難です。可能な限り多くのプロセスを自動化します。ジャストインタイム(JIT)アクセスを使用して守りを強化し、セキュリティ分析を導入して異常や攻撃を検出し、リスキーな振る舞いを自動的にブロックしてフラグを立て、さらなる調査と修復を行います。
ネットワーク
ネットワークをセグメント化し、脅威者が横方向に移動してセンシティブなリソースにアクセスすることを防止します。リアルタイムの脅威防御、エンドツーエンドの暗号化、モニタリング、分析などのツールを含む「パイプ内」ネットワークセキュリティ制御を利用して、可視性を高めます。
ゼロトラストアーキテクチャ導入におけるベストプラクティス
ゼロトラストを実装するための最大の課題のひとつは、どこから始めればよいかを知ることです。ゼロトラストには多くの可動部品があり、普遍的な「ゼロトラスト導入」基準はありません。ここでは、組織のゼロトラストへの旅路を策定するためのベストプラクティスをいくつかご紹介します。
ゼロトラストは一過性のものではなく、長期的なコミットメントであることを認識する。
テクノロジー、ワークフロー、脅威環境のすべてが変化する中で、ゼロトラストアーキテクチャも変化していきます。
上層部からの同意を得る。
ゼロトラストは、「オールオアナッシング」の考え方と、あらゆるレベルのリーダーシップとチームによる強固なコミットメントを必要とします。CRA の「チャンピオン」に共通しているのは、上層部からの支援です。一方、ゼロトラストの導入に苦労し続けている組織が挙げる最大の障害は、支援の欠如でした。4
小さく始める。
NIST は、ビジネスが中断されるのを避けるため、まずはリスクの低いビジネスリソースの移行からゼロトラストの展開を開始し、チームがゼロトラストに関する経験を積んだ後に、より重要なリソースhrと移行することを推奨しています。5
疑いがある場合は、何よりもまず IAM に注目する。
CRA のゼロトラスト「チャンピオン」では、アイデンティティとアクセス管理(IAM)がゼロトラストの最もよく実装されたコンポーネントで、86%が IAM プロセスと制御にゼロトラスト戦略を適用しています。6
ゼロトラストソリューションを選択する上でのベストプラクティス
ゼロトラストをパラダイムと呼ぶ人もいれば、哲学、フレームワーク、モデル、あるいはムーブメントと呼ぶ人もいます。どのように呼ばれるにせよ、ゼロトラストの最終目標は、特定の製品を展開することではなく、望ましい結果を達成することであるということです。この点で、ゼロトラストはサイバーセキュリティにとっての、ソフトウェア開発における DevOps のようなものであり、組織がセキュリティにアプローチする方法の根本的な変化をもたらすものです。
市場にはゼロトラスト対応のソリューションが多数ありますが、そのすべてが特定のデータ環境やビジネスニーズに適しているわけではありません。NIST7 は、ゼロトラストツールを選択する際に、以下の点を考慮に入れるよう推奨しています:
そのソリューションは、クライアント資産にコンポーネントをインストールする必要があるでしょうか?
クライアント側のソリューションは、ビジネスプロセスを制限し、生産性を阻害する可能性があります。また、IT チームに管理上のオーバーヘッドを追加することにもなります。
そのソリューションは、ビジネスプロセスのリソースがオンプレミスに存在する場合に有効でしょうか?
一部のソリューションでは、要求されたリソースが企業の境界内(いわゆる東西方向のトラフィック)ではなく、クラウド(南北方向のトラフィック)に存在することを前提としています。このことは、ハイブリッドクラウド環境において問題となります。重要な機能を実行するレガシーの基幹業務用アプリケーションは、クラウドへの移行が難しいため、オンプレミスで実行されている可能性があります。
そのソリューションは、分析のためにインタラクションを記録する手段を提供してるでしょうか?
ゼロトラストのアクセス決定は、プロセスフローに関連するデータの収集と利用に大きく依存します。特に特権アクセスアカウントについては、その傾向が顕著です。
そのソリューションは、様々なアプリケーション、サービス、プロトコルを幅広くサポートしているでしょうか?
ソリューションによっては、幅広いプロトコル(SSH、ウェブなど)やトランスポート(IPv4、IPv6)をサポートしているものもありますが、ウェブやメールにしか対応していないものもあります。
そのソリューションでは、使用者の行動を変更する必要があるでしょうか?
ソリューションによっては、所定のワークフローを実行するために追加の手順を必要とする場合があり、その場合、組織における既存のワークフローを変更する必要が生じる可能性があります。
組織のゼロトラスト採用を Keeper が支援する方法
Keeper のゼロトラスト、ゼロ知識サイバーセキュリティスイートにより、組織は強力な認証ときめ細かい可視性と制御機能を備えたゼロトラストのリモートアクセスを分散型労働力へと取り入れることができます。Keeper は、エンタープライズパスワード管理(EPM)、シークレット管理(SM)と特権接続管理(PCM)を統合することにより、IT 管理者とセキュリティチームに広範な single pane of glass(単一の管理ポイント)を提供します。そこでは、すべての許可されたサイト、システム、アプリケーションと通信する際に、あらゆる場所からあらゆるデバイス上のすべてのユーザーを追跡、ログ記録、モニタリング、保護することができます。
- Keeper のエンタープライズパスワード管理プラットフォームでは、ゼロトラストセキュリティモデルを成功裏に実装するために必要となる、従業員のパスワード習慣に対する完全な可視性と制御能力を得ることができます。IT 管理者は、組織全体のパスワードの使用状況をモニタリングおよび制御でき、MFA、RBAC、最小特権アクセスなどのセキュリティポリシーとコントロールを強制することができます。
- Keeper Secrets Managerは、DevOps、IT セキュリティ、ソフトウェア開発チームに、SSH や API 鍵からデータベースパスワードや RDP クレデンシャルまで、すべてのインフラシークレットを管理できるクラウドベースのプラットフォームを提供します。すべてのサーバー、CI/CD パイプライン、開発者環境、ソースコードは、安全な API エンドポイントからシークレットを取得します。各シークレットは 256 ビットの AES 鍵で暗号化され、さらに別の AES-256 アプリケーション鍵で再度暗号化されます。クライアントデバイスは、Keeper クラウドから暗号化された暗号文を取得し、シークレットはサーバーではなく、デバイス上でローカルに復号されます。
- Keeper Connection Managerは、エージェントレスのリモートデスクトップゲートウェイであり、ウェブブラウザを介して DevOps と IT チームに RDP、SSH、データベース、Kubernetes エンドポイントへの容易なゼロトラスト・ネットワークアクセス(ZTNA)を提供するものです。すべてのユーザーとデバイスは、組織のリソースへのアクセスを許可される前に、強力に認証されます。
