ゼロ トラスト セキュリティとは

これまで、ほとんどの組織は境界ベースのセキュリティ モデルで運用されていました。 境界内のすべては承認され、無害であると見なされ、脅威は組織の外部から来ると見なされました。 セキュリティソリューションは、境界を保護し、外部からの攻撃者が内部に侵入するのを阻止するために導入されました。

セキュリティに対するこのアプローチには、複数の問題がありました。 1つは、悪意のあるインサイダーの可能性です。 もう一つは、組織のネットワークにアクセスした脅威に対する可視性が欠けていたという事実です。 第三に、クラウド、リモートワーク、モバイルデバイスの台頭により、境界が溶解しつつあります。

ゼロトラストは、従来のセキュリティ戦略の限界を克服するために設計されたセキュリティモデルです。 ゼロトラストは、内部関係者を暗黙のうちに信頼し、部外者を信用しないのではなく、セキュリティに対して「信頼するが検証する」アプローチを採用しています。

詳細はこちら Forrester Wave ゼロトラスト レポート

ゼロ トラスト セキュリティとは

ゼロトラストの仕組み

従来のセキュリティ戦略では、ほとんどの検証が事前に行われていた可能性があります。 ユーザーが身元を証明すると、企業のネットワーク、システム、およびアプリケーションへの自由なアクセスが許可されました。

ゼロトラストは、ケースバイケースでアクセスを決定することで機能します。 各ユーザー、アプリケーション、コンピューターなどには、その役割を果たすために必要な最小限のアクセスとアクセス許可のセットが割り当てられます。 ユーザーがアクセス要求を行うと、ゼロトラストシステムは、割り当てられた権限と要求を完了するために必要な権限を比較し、それに応じて要求を許可またはブロックします。

ゼロトラストセキュリティの主な利点

ゼロトラストは、組織にもたらす多くのメリットから、セキュリティ戦略として人気が高まっています。 ゼロトラストセキュリティ戦略を実装する主なメリットには、セキュリティ、可視性、コンプライアンスなどがあります。

セキュリティ

ゼロトラストセキュリティポリシーでは、すべてのアクセス要求が 最小特権アクセス制御 に基づいて評価されることが義務付けられています。 これにより、要求されたシステムへのアクセス、または要求されたアクションの実行に必要な特権をリクエスターが持っていることを確認できます。

ゼロトラストは、過剰な権限や攻撃者がネットワーク内を水平移動する能力の潜在的なリスクを軽減するため、組織のセキュリティを強化するのに役立ちます。 ユーザーの権限が厳しく制限されている場合、ユーザーが与えることができる損害の量は制限されます。 また、すべてのアクセス要求を最小特権アクセス制御に基づいて評価することを義務付けると、攻撃者が組織のシステム内を横方向に移動し、その存在を検出されずに目的を達成することがより困難になります。

詳細な可視化

従来の境界に重点を置いたセキュリティアーキテクチャでは、組織のセキュリティソリューションはネットワーク境界に集中しています。 これは、組織に侵入する可能性のある外部の脅威の数を制限するのに役立ちますが、そのネットワーク境界内で何が起こっているかについての可視性が限られていることも意味します。 脅威がネットワーク境界を越えない場合、組織のセキュリティ装置には見えない可能性があります。

ゼロトラストセキュリティモデルは、セキュリティ境界を個々のアプリケーションやシステムの周囲に移動します。 すべてのアクセス要求は承認または拒否する必要があるため、組織はネットワーク内で実行されているアクションをより詳細に把握できます。

この深い可視性は、ビジネスに多くの影響を及ぼしますが、これらはセキュリティ上のメリットにとどまりません。 たとえば、リクエスト、API呼び出し、トラフィックフローを詳細に可視化することで、組織のITインフラストラクチャの設計に役立てることができます。 一般的に通信するアプリケーションは、待機時間を最小限に抑えるために互いに近づけたり、組織がパフォーマンスを向上させるために特定のシステムやコンポーネントのアップグレードを行ったりする場合があります。

コンプライアンス

企業は、増え続けるコンプライアンス義務の対象となっています。 組織は、事業を展開する場所や、収集および処理するデータの種類に応じて、GDPR、CCPAなどのさまざまな地域固有の法律や PCI DSSや HIPAAなどの特定の種類の機密情報を保護するために設計された規制の対象となる場合があります。

多くの場合、これらの規制の主な目的は、組織が特定の種類の機密データへのアクセスを適切に保護および管理していることを確認することです。 企業は、特定のセキュリティ制御を実装し、許可されたユーザーのみが保護されたデータにアクセスできることを実証することで、コンプライアンスを実証します。

ゼロトラストセキュリティポリシーにより、組織は潜在的に機密性の高いデータに関連する各アクセス要求を可視化できます。 これは、コンプライアンスの達成と実証の両方にとって非常に貴重です。 最小特権アクセス制御は、このデータへの不正なアクセスの試みを検出してブロックし、不正アクセスが発生していないことを証明するために、必要に応じて詳細なアクセスログを監査人や規制当局に提供できます。

ゼロトラストセキュリティの原則

ゼロトラストセキュリティモデルは、一連の基本原則に基づいて構築されています。 ゼロトラストセキュリティを実装するための主要な原則とツールには、次のようなものがあります。

  • 強力な認証: ゼロトラストは、アクセス制御を適用して、ユーザーのアクセスを自分の役割に必要なものに制限することで機能します。 多要素認証(MFA)、 シングルサインオン (SSO)、または同様のツールを使用した強力な認証は、ユーザーの身元を証明し、適切な権限と特権を適用するために不可欠です。
  • 明示的な信頼: 単一のポイントインタイム認証に依存するのではなく、IDを継続的に検証します。
  • 最小権限: 最小特権の原則は、ゼロトラストセキュリティモデルの中心にあります。 これは、ユーザーが自分の役割に必要な最小限のアクセス許可のみを持つ必要があることを示しています。 過剰なアクセス許可を排除することで、ユーザーが組織にもたらすリスクを制限できます。
  • セキュリティセグメンテーション: ゼロトラストセキュリティモデルでは、すべてのアクセス要求は最小特権のアクセス制御に基づいて評価されるべきであると規定されています。 これを実現するには、すべての要求が、この評価を実行および実施できるセキュリティ アプライアンスを通過するようにする必要があります。 マクロ、ミクロ、ナノのセグメンテーションでは、各アプリケーションまたはシステムが独自の信頼境界の背後に配置され、すべての要求にゼロトラストアクセス制御を適用することが義務付けられます。
  • 侵害を想定すると、次のようになります。 システムが侵害されたことを前提としたプロアクティブでリアルタイムのセキュリティ運用。
  • 自動化とオーケストレーション: 効果的なゼロトラストシステムは、使いやすさを維持しながら、組織のITインフラストラクチャ全体にきめ細かなセキュリティを適用します。 これらの目標を達成するには、ゼロトラストセキュリティプロセスを大規模に実装および管理するための自動化とオーケストレーションが必要です。

ゼロトラストアーキテクチャとは?

ゼロトラストアーキテクチャは、 ゼロトラスト の原則を実践するものです。 次のテクノロジを使用して、アクセス要求がケースバイケースで評価されるようにします。

  • IDおよびアクセス管理 (IAM): ネットワーク上のさまざまなユーザー アカウントとシステム アカウントに関連付けられているアクセス許可を管理します。
  • 多要素認証(MFA): 強力な認証を実装して、ユーザーをアカウントおよび関連するアクセス許可と照合します。
  • エンドポイント/デバイスの保護: ユーザーのアカウントを危険にさらす可能性のあるマルウェアやその他の脅威からエンドポイントを保護します。
  • ゼロ トラスト ネットワーク アクセス (ZTNA): 最小権限のセキュリティポリシーに基づいて、企業、インターネット、SaaSの資産へのリモートアクセスを提供します。
  • セキュリティセグメンテーション:データセンター、ハイブリッドクラウド、マイクロサービス、SaaSサービスなどのさまざまな環境にマクロ、マイクロ、ナノのセグメントを実装することでアクセス制御を評価する、きめ細かな信頼境界を実装します。
  • インフラストラクチャ・エンタイトルメント管理: これには、ユーザーがパブリッククラウド内のこれらのリソースにアクセスするための適切な権限と特権を持っていることを確認しながら、不正アクセスや潜在的なセキュリティ侵害を防ぐポリシーと制御の設定が含まれます。
  • ワークロードの保護: これには、アクセス制御、認証、暗号化、監視などのさまざまなセキュリティ対策を実装して、悪意のあるアクターやイベントがワークロードを危険にさらさないようにすることが含まれます。
  • CI/CD セキュリティ: つまり、ユーザーまたはプロセスが CI/CD パイプライン内でロールを実行するために必要なアクセス許可のみを持つようにします。 たとえば、開発者はソース コード リポジトリとビルド システムにアクセスする必要がありますが、コードが配置されている運用環境にはアクセスできない場合があります。
  • 可視性と分析: 企業ネットワークのアクティビティを可視化し、潜在的な脅威を特定します。
  • 自動化とオーケストレーション: セキュリティプロセスを自動化し、使用中のさまざまなセキュリティツールやテクノロジーを調整することで、組織は潜在的なセキュリティの脅威をより適切に検出して対応できると同時に、人為的ミスのリスクを軽減し、組織の全体的な セキュリティ 体制を向上させることができます

ゼロトラストセキュリティ戦略:従うべき主なステップ

従来の境界に重点を置いたセキュリティモデルからゼロトラストへの移行は、複雑に思えるかもしれません。 ただし、組織は次の手順に従うことで移行を実現できます。

  1. ビジネスのニーズと要件を理解します。
  2. 表面攻撃を特定します。
  3. トランザクションフローを綿密に計画します。
  4. 独自のゼロトラストアーキテクチャを構築します。
  5. 独自のゼロトラストポリシーを策定する。
  6. システムの監視と保守 (時間の経過に伴う最適化)

ゼロトラストセキュリティ戦術の実装方法

ゼロトラストセキュリティ戦略を設計したら、それを実行に移す必要があります。 ゼロトラストを実装するためのベストプラクティスには、次のようなものがあります。

  • ネットワーク オーバーレイを展開します。 ゼロトラストは、 ソフトウェア定義の境界 (SDP)を使用して実装できます。 ソフトウェアでデータフローとコントロールを定義することで、組織は大幅な再配線を行わずに変更を加えることができます。
  • ホストベースのモデルを使用します。 従業員は、Web を介してさまざまなシステムやアプリケーションに接続できます。 ホストベースのモデルは、使いやすくスケーラブルな方法でアクセスを制御します。
  • 暗号化を実装します。 暗号化アルゴリズムは、機密データへのアクセスを管理する効果的な手段です。 保存中および転送中のデータを暗号化し、復号化キーへのアクセスを制限します。
  • Kubernetesの活用: Kubernetesは、すべてのクラウド環境で機能し、詳細な可視性と制御を可能にするコンテナオーケストレーションプラットフォームです。 これにより、複雑なマルチクラウド環境でゼロトラストを実装するための理想的なツールになります。
  • 可能な場合は自動化します。 ゼロトラストは、非常にきめ細かな保護を提供しますが、大規模な管理が困難な場合があります。 可能な限り自動化を使用することは、使いやすく、持続可能で、スケーラブルなシステムを構築するために不可欠です。

How Check Point Can Enable Zero-Trust

ゼロトラストセキュリティモデルは、組織が実際に実施できる場合にのみ効果的です。 攻撃者が最小特権のアクセス制御を回避または回避できる場合、組織とそのIT資産を実際に保護することはできません。 次のステップは、組織の既存のセキュリティアーキテクチャと効果的なゼロトラストアーキテクチャの間のギャップを特定し、これらの穴を埋めるための ゼロトラストソリューション を特定することです。

To identify your organization’s existing Zero Trust maturity part of  the Check Point Services provided by Check Point Software. Then, learn how to close these gaps for your remote workforce in this buyer’s guide to ZTNA.