そのソリューションは、クライアント資産にコンポーネントをインストールする必要があるでしょうか?
クライアント側のソリューションは、ビジネスプロセスを制限し、生産性に遅れをもたらす可能性があります。また、IT チームに管理上のオーバーヘッドを増やすことにもなります。
ゼロトラストとは?
ゼロトラストは、サイバーセキュリティ・ソリューション・アーキテクトやシステムインテグレータ、そしてサイバーセキュリティの計画と意思決定を強化するために必要不可欠なサイバーセキュリティ機能を DevOps チームが広範な IT 環境へと統合するために作成された「漏洩の仮定」セキュリティモデルです。
ゼロトラストは、人間のユーザーやデバイスがどこにあろうと、信用することはありません。ゼロトラスト環境では、すべてのユーザーとデバイスは、組織のリソースにアクセスする前に認証されなければなりません。ゼロトラストでは、ユーザーがどこにいるかに依存するのではなく、ユーザーが誰であるかを証明させます。
適切に実装されたゼロトラストのネットワークアクセスは、すべてのユーザー、システム、デバイスに対する完全な可視性を IT 管理者に提供します。人、アプリ、サービスは、ネットワーク環境を越えても安全に通信することができます。ユーザーが自宅、ホテル、喫茶店、空港から接続しているのかどうか、そして自分のデバイスを使用しているのかどうかすら関係ありません。管理者は、誰がネットワークに接続しているのか、どこにいるのか、何にアクセスしているのかを正確に把握することができます。
ゼロトラストの 3 原則
3 つの基本原則がゼロトラストセキュリティの中核を形成しています。
漏洩の仮定
たとえオフィスの中から接続していたとしても、どんな人間やデバイスも危険にさらされる可能性がある。
明示的な検証
すべての人間およびマシンは、ネットワークリソースにアクセスする前に、自分が何者であるかを証明しなければならない。
最小特権の確保
ユーザが明示的に認証された後でも、そのユーザーが仕事を遂行するのに必要な最小限のネットワークアクセス権だけを持つべきであり、それ以上のアクセス権を持つべきではない。
ゼロトラスト・ソリューションの選び方
ゼロトラスト対応のサイバーセキュリティ・ソリューションは数多く市場に出回っていますが、そのすべてが特定のデータ環境やビジネスニーズに適しているとは限りません。ゼロトラスト・ソリューションを選択する際には、以下の質問を自問自答してください:
ビジネスプロセスのリソースがオンプレミスに存在する場合、そのソリューションは機能しますか?
一部のソリューションでは、要求されたリソースが企業の境界内(いわゆる東西方向のトラフィック)ではなく、クラウド(南北方向のトラフィック)に存在することを前提としています。このことは、ハイブリッドクラウド環境において問題となります。重要な機能を実行するレガシーの基幹業務用アプリケーションは、クラウドへの移行が難しいため、オンプレミスで実行されている可能性があります。
そのソリューションは、分析のためにインタラクションを記録する手段を提供してるでしょうか?
特に特権アカウントの場合、ゼロトラストのアクセス判断はプロセスフローに関連するデータの収集と利用に大きく依存します。
そのソリューションは、様々なアプリケーション、サービス、プロトコルを幅広くサポートしているでしょうか?
ソリューションによっては、幅広いプロトコル(SSH、ウェブなど)やトランスポート(IPv4、IPv6)をサポートするものもあれば、ウェブや電子メールにしか対応しないものもあります。
そのソリューションでは、既存のワークフローを変更する必要があるでしょうか?
ソリューションによっては、所定のワークフローを実行するために追加の手順を必要とする場合があり、その場合、組織における既存のワークフローを変更する必要が生じる可能性があります。
ゼロトラスト・セキュリティの柱
ゼロトラストのソリューションを選択したら、以下の 6 つの柱を中心にゼロトラストの実装を計画する必要があります。これらすべてを評価し、それに応じて更新または置き換える必要があります。
-
アイデンティティ
ゼロトラスト・モデルでは、人間も機械も、すべてのユーザーが固有のデジタル ID を持たなければなりません。この ID がリソースへのアクセスを要求するたびに、システムは強力な認証機能でそれを検証し、アクセスリクエストがそのユーザーにとって異常でないことを確認するための行動分析でバックアップされなければなりません。ID が認証されると、ユーザーのネットワークアクセスは最小特権原則に従わなければなりません。
ユーザがすべてのアカウントで強力な独自のパスワードを持つようにし、多要素認証(MFA)がサポートされている場合はそれを有効にすることで、これを実現できます。さらに、組織は、アカウントの漏洩をモニタリングし、潜在的な問題に対応するために、リアルタイムの検出、自動化された修復、および接続されたインテリジェンス・ソリューションを導入する必要があります。
データ
今日のクラウドベースの環境では、データはあらゆる場所に存在するので、その場所で管理される必要があります。そのためには、最小特権の原則に従ってデータへのアクセスを厳密に制御、制限し、データの停止中および転送中の暗号化を確実に行う必要があります。
ネットワーク
ネットワークをセグメント化し、脅威者が横方向に移動して機密リソースにアクセスするのを防ぎます。リアルタイムの脅威対策、エンドツーエンドの暗号化、モニタリング、分析のためのツールなど、「インパイプ」ネットワーク・セキュリティ・コントロールを活用して可視性を高めます。
アプリケーション
アプリケーションへのアクセスや特権は、データそのものと同様に厳格に管理、制限される必要があります。アプリへのアクセスをゲート化し、アプリの使用状況をモニタリングして異常な動作がないか確認し、ロールベースのアクセス制御(RBAC)を使用して、ユーザーのアプリ内許可が適切であり、最小権限の原則に従っていることを確認します。
エンドポイント
データへのアクセスは、準拠した信頼できるアプリとデバイスのみに許可します。従業員がモバイルデバイスから会社のアプリにアクセスすることを許可する前に、デバイスをモバイルデバイス管理(MDM)に登録し、一般的な健全性と会社のセキュリティポリシーへの準拠を検証するよう求めます。MDM ソリューションは、管理者がデバイスの健全性とコンプライアンスを可視化し、コピー/ペーストやダウンロード/転送することをブロックするなどのポリシーやセキュリティ制御を強制する機能も提供します。
インフラ
オンプレミスのインフラとクラウドベースの仮想マシン(VM)、コンテナ、マイクロサービスの両方のアクセス許可を管理することは困難なので、可能な限り多くのプロセスを自動化します。ジャストインタイム(JIT)アクセスを使用してディフェンスを強化し、セキュリティ分析を導入して異常やサイバー攻撃を検出し、危険な動作を自動的にブロックしてフラグを立て、さらなる調査と修復を行います。
ゼロトラストアーキテクチャ導入におけるベストプラクティス
ゼロトラストを実装するための最大の課題のひとつは、どこから始めればよいかを知ることです。ゼロトラストには多くの可動部品があり、普遍的な「ゼロトラスト導入」基準はありません。ここでは、組織のゼロトラストへの旅路を策定するためのベストプラクティスをいくつかご紹介します。
-
ゼロトラストは一過性のものではなく、長期的なコミットメントであることを認識する。
テクノロジー、ワークフロー、脅威環境のすべてが変化する中で、ゼロトラストアーキテクチャも変化していきます。
上層部からの同意を得る。
ゼロトラストには、「オール・オア・ナッシング」の考え方と、あらゆるレベルのリーダーシップによる確固たるコミットメントが必要となります。上層部からの支援は、CRA の「チャンピオン」の共通点でしたが、一方、支援の欠如は、ゼロトラストの採用に苦戦を続けている組織が挙げる最大の障壁でした。
小さく始める。
ゼロトラストの導入は、ビジネスの中断を避けるために、まずリスクの低いビジネスリソースを移行することから始め、チームがゼロトラストモデルに慣れた後に、より重要なリソースに移行します。
疑いがある場合は、何よりもまず IAM に注目する。
アイデンティティとアクセス管理(IAM)は、ゼロトラストの最も頻繁に実装されるコンポーネントであり、95%の組織が IAM ソリューションを導入しています。
組織のゼロトラスト採用を Keeper が支援する方法
Keeper のゼロトラスト、ゼロ知識サイバーセキュリティスイートは、強力な認証ときめ細かな可視性と制御により、組織が分散したワークフォースのためにゼロトラストのリモートアクセスを採用することを可能にします。KeeperPAM™ - Keeper の次世代型特権アクセス管理ソリューション - Keeper Enterprise Password Manager (EPM)、Keeper Secrets Manager (KSM)、Keeper Connection Manager (KCM)を統一します。
EPM、KSM、KCM を統一することで、Keeper は IT 管理者に、許可されたすべてのサイト、システム、およびアプリケーションと取引する際に、あらゆる場所からあらゆるデバイス上のすべてのユーザーを追跡、ログ、モニタリング、保護するための広範な single pane of glass(単一の管理ポイント)を提供します。
