ゼロトラストセキュリティのベストプラクティス
ゼロトラストセキュリティ は製品ではなく、プロセスです。 以下は、組織がゼロトラストセキュリティへの道のりで遵守すべき6つのベストプラクティスです。
多要素認証 (MFA) を使用してすべてのユーザーを検証する
ゼロトラストの根底にあるのは「決して信頼せず、常に検証する」という原則にあるとよく言われます。 しかし、適切に実装されれば、ゼロトラストは「決して信頼せず、常に検証し、再度検証する」という原則に根ざしていると言った方が正確でしょうか。
ユーザー名とパスワードでユーザーの身元を確認できる時代は終わりました。 現在、これらの資格情報は多要素認証 (MFA) を使用して強化する必要があります。 追加の認証要素は、次のうち 1 つ以上で構成されます。
- ユーザーが知っている情報: パスワード、セキュリティの質問、PIN、郵便番号など、個人情報が入力できます。
- あなたが持っているもの:通常、確認SMS、携帯電話に送信されるプロンプト、認証アプリで生成されたコード、ハードウェアトークンなど。
- あなた自身: 指紋スキャン、網膜スキャン、顔スキャン、音声などの生体認証です。
ゼロトラスト アーキテクチャを実装する場合、ネットワークにアクセスするすべてのユーザー (特権ユーザー、エンドユーザー、顧客、パートナーなど) の ID を複数の要素を使用して検証する必要があります。 また、これらの要因は、アクセスされるデータ/リソースの機密性に応じて調整できます。
すべてのデバイスを確認します。
ユーザーの確認は必要ですが、それだけでは十分ではありません。 ゼロトラストの原則はエンドポイント デバイスにも適用されます。 デバイスの検証には、内部リソースへのアクセスに使用されるデバイスが会社のセキュリティ要件を満たしているかどうかの確認が含まれます。 ユーザーのオンボーディングとオフボーディングを簡単に行うことで、すべてのデバイスのステータスを追跡および強制できるソリューションを探してください。
最小特権の原則を実装する
最小特権の原則 (PoLP) によって、ゼロトラスト環境でアクセスできる内容が決まります。 これは、特定のユーザーには、特定のタスクを完了するのに十分な権限のみを付与する必要があるという考えに基づいています。
たとえば、レガシ コードの行の更新のみを扱うエンジニアは、財務レコードにアクセスする必要はありません。 PoLPは、セキュリティ侵害が発生した場合の潜在的な損害を封じ込めるのに役立ちます。
最小特権アクセスを拡張して、「ジャストインタイム」の特権アクセスを含めることもできます。 このタイプのアクセスでは、権限が必要な特定の時間のみに制限されます。 これには、有効期限が近づいている特権と 1 回限りの資格情報が含まれます。
すべてを監視および監査します。
認証と権限の割り当てとは別に、ネットワーク上のすべてのユーザー アクティビティを監視して確認する必要もあります。 これにより、不審なアクティビティをリアルタイムで特定できます。 可視性は、アクセス許可の範囲が非常に広く、アクセスできるデータの機密性が高いため、管理者権限を持つユーザーにとって特に重要です。
属性ベースのコントロールを採用する:
属性ベースの制御を使用して、クラウドおよびオンプレミスのアプリケーションから API、データ、インフラストラクチャに至るまで、セキュリティ スタック全体のリソースへのアクセスを承認します。 これにより、管理者はアクセスポリシーを簡単に調整して適用し、疑わしいイベントをリアルタイムでブロックできます。
エンドユーザーについて考えてみましょう。
完璧なものを善の敵にしないでください。 エンドユーザーが使いたがらない完璧なゼロトラスト戦略を実装することは、あまり良い戦略ではありません。 エンドユーザーはただ働きたいだけです。 チームにとって最もスムーズで SaaS のようなエクスペリエンスを生み出す戦略と製品を検討してください。
Feedback