ゼロトラストセキュリティで組織を保護

新しいゼロトラストセキュリティ・フレームワーク

歴史的にほとんどの組織では、ネットワークセキュリティを確保するために「castle and moat（城と堀）」モデルを使用していました。ネットワーク境界の内側にいるユーザーとデバイスはデフォルトで信頼され、境界の外側にいるユーザーは信頼されませんでした。これは、ほとんどの機器と従業員がオンプレミスにあり、ネットワークの境界が明確に定義されている場合は理にかなったものです。

過去 10 年間、クラウドコンピューティングとモビリティは組織のデータ環境を根本的に変え、「城」を削り取り、ネットワークの境界をあいまいにしてきました。そして、「城と堀」に対する最後の一撃は、COVID-19 の大流行でした。この大流行により、企業はネットワークとセキュリティ機能を急速に拡張し、広範なリモートワークをサポートしなければならなくなりました。

「ネットワーク境界」は曖昧になっただけでなく、もはや存在しなくなったのです。城は瓦礫と化し、堀は枯れ、組織は現代のゼロトラスト・ネットワークアクセスへと移行し始めたのです。

ゼロトラストを理解する

ゼロトラストセキュリティ・フレームワークは、3 つの基本原則：漏洩の仮定、明示的な検証、最小権限アクセスの確保を中心に据えています。

ゼロトラストは、ネットワーク境界内のすべてのユーザーとデバイスを暗黙のうちに信頼する代わりに、それらのいずれをも信頼しないようにします。ゼロトラストは、すべてのユーザーとデバイスが潜在的に危険にさらされていると仮定し、人間であれ機械であれ、すべての人がネットワークにアクセスする前に検証されなければならないとしています。ネットワークにログオンしたユーザーは、業務遂行に必要な最小限のネットワークアクセス権しか持つべきではないものとされます。

ゼロトラストモデルが適切に導入されれば、IT 管理者はすべてのユーザー、システム、デバイスを完全に把握できるようになり、業界や規制の義務に確実に準拠し、ユーザークレデンシャルの漏洩によるサイバー攻撃を防止することができるようになります。

VPN とゼロトラストが混ざらない理由

COVID-19 のパンデミックが発生したとき、企業は広範囲に及ぶリモートワークをサポートするために、ネットワークとセキュリティ機能を急速に拡張する必要に迫られました。この変化は突然、予告もなく発生したため、多くの企業はすでにあるものをより多く展開することしかできませんでした。これは多くの場合、リモート接続を保護するために VPN を使用することを意味しました。

リモートアクセスが非常に特殊な使用事例に限定されている場合、VPN は十分に機能しますが、組織が従業員全体のニーズを満たすために VPN を拡張しようとすると、その欠点はすぐに明らかとなりました。

VPN には拡張性がありません。また、高価であり、レイテンシー、信頼性、可用性の問題があります。また、多くの管理オーバーヘッドを必要とし、エンドユーザーが使用するには非常に難解なものです。そして最も困るのは、ほとんどの製品がゼロトラスト・ネットワークアクセスをサポートしていないことでしょう。

ゼロトラストの実装方法

普遍的な「ゼロトラストの実装」の基準となるようなものはなく、どこから始めればよいか困難な場合があります。しかし、以下のベストプラクティスには普遍性があり、組織のゼロトラストへの旅路を策定するのに役立ちます。

• ゼロトラストに長期的にコミットする - テクノロジー、ワークフロー、脅威の環境は常に変化し、より複雑なものとなってきています。これは、ゼロトラストのアーキテクチャにおいても同様です。
• 上層部の支持を確保 - あらゆる階層のリーダーシップが、ゼロトラストの実装に賛成し、強いコミットメントを持つ必要があります。CRA の調査によると、ゼロトラストの導入に非常に成功した組織は、上層部からサポートを受けたと報告しており、サポートを受けられなかった組織は苦労することとなっています。
• 小さく始める - ゼロトラストの導入は、まずリスクの低いビジネスリソースを移行することから始め、チームがこのプロセスに慣れてから、より重要なリソースへと移行するようにします。
• まず IAM に焦点を当てる - CRA は、高い成功を収めた組織がゼロトラストの要素として最も頻繁に実装したのがアイデンティティとアクセス管理（IAM）であり、86%が IAM プロセスとコントロールにゼロトラスト戦略を適用していることを発見しました。