Zscaler Blog
Get the latest Zscaler blog updates in your inbox
購読するガートナーの提言をもとに、ゼロトラストを始めましょう
クラウドセキュリティ分野の初心者で、最新のセキュリティトレンドを理解しようとしている人も、この業界で幅広い経験を何年も積んできた人も、「ゼロトラスト」という言葉を耳にしたことがあるはずです。しかしながら、ランサムウェアやスプーフィングなどの何年も前からよく使われてきたセキュリティ業界の専門用語と同様に、この言葉を目にする機会が急増したことに戸惑いを感じているかもしれません。
ゼロトラストはセキュリティ業界の最新の専門用語であり、あらゆるセキュリティ企業が自社の製品が最も包括的なゼロトラストのソリューションだと主張しています。誇大広告が広く展開される中で、何が事実で何がフィクションなのかを見極めるのは難しいことです。ゼロトラストとは一体どのようなことで、なぜ重要なのでしょうか。どのように実現できるのでしょうか。今年初めに発表された ガートナーのレポートは、真のゼロトラストアーキテクチャの導入を検討する際に、組織が優先的に取り組むべき実践的なプロジェクトについて概説しています。このブログでは、ゼロトラストの理解を深め、ガートナーのガイドラインに沿って組織に導入できる方法を紹介したいと思います。
ゼロトラストが何であるかについては、混同されることも多く、製品やソリューション、プラットフォームであると考える人も少なくありませんが、いずれも正しくありません。ゼロトラストは「信頼せずに常に検証」し、いかなるユーザやアプリケーションも基本的に信頼するべきではないという、最小権限アクセスの原則に基づくセキュリティの考え方です。ゼロトラストセキュリティは、ネットワークの内側にも外側にもセキュリティのリスクが存在することを前提にしています。ネットワークの内部のいかなるものもデフォルトで信頼することはないため、「ゼロトラスト」と呼ばれています。
ゼロトラストは、ファイアウォールやVPNを活用した従来のネットワークセキュリティアーキテクチャを進化させたものであり、ネットワーク内の認証されたユーザをデフォルトで信頼する「検証して信頼する」というセキュリティの原則に基づいています。ゼロトラストはあらゆる段階のゴールキーパーとして機能するポリシーにより、ユーザのアイデンティティとコンテキスト(ユーザの場所、デバイスのセキュリティポスチャ、要求されているアプリケーションやサービスなど)に基づいて、初めて信頼を確立させます。
例えて言うならば、ゼロトラストは体力のようなものです。体力は、一定の基準がある概念的な目標であり、一人ひとり異なり、目的によっても変わってきます。また、ウォーキング、ランニング、サイクリング、ウェイトリフティング、ダンスといった運動で達成できるものですが、最終的な目標は身体的に健康であることです。同様に、ゼロトラストはセキュリティ全体の概念的原則でもあり、ZTNA、ワークロードセグメンテーション、データ保護、ブラウザ分離などのソリューションと組み合わせて達成するものですが、最終的な目標はユーザとアプリケーションを完全に保護することです。
ガートナーは、ほとんどの組織がゼロトラスト導入について企画あるいは戦略策定フェーズにあるとしています。また、ゼロトラスト達成のためには、2つの重要な取り組みを行うことが必要だと提言しています。
- ユーザからアプリケーションへのセグメンテーションに焦点を当てたフロントエンドのネットワークアクセスで、 ゼロトラストネットワークアクセス (ZTNA)としても知られているもの。
- ワークロード間のセグメンテーションに焦点が当てられた、バックエンドのネットワークアクセス。
ユーザからアプリへのセグメンテーションのためのZTNA
ZTNAは、適応型のトラストモデルで動作するゼロトラストアーキテクチャをサポートしており、信頼は暗黙的ではなく、アクセスはきめ細かいポリシーで定義され、「知る必要がある」最小権限に基づいて付与されます。ZTNAは、プライベートアプリケーションへのセキュアな接続をユーザに提供し、ユーザがオンネットワークになったり、アプリがインターネットに公開されたりすることはありません。この分離によって、セキュリティ侵害が行われたデバイスからの感染といったネットワークに対するリスクが軽減され、承認されたユーザだけにアプリケーションアクセスが許可されます。ガートナーは、組織がZTNA製品のパイロット版を導入して、アプリケーションをテストし、ユーザ、デバイス(管理対象、対象外ともに)、アプリケーション(新規およびレガシー)のすべての要素が希望通りに機能することを確認するよう提案しています。
アイデンティティに基づくセグメンテーション
ガードナーは、ワークロード間のセグメンテーションにより、組織を個々のワークロードの通信を暗黙の許可モデルではなく、デフォルトの拒否モデルに移行させることで、過剰な暗黙の信頼を減らすことができると述べています。ガートナーは、アイデンティティベースの戦略を構築するために、オンプレミス、ハイブリッド、仮想、コンテナの各環境にまたがる異種ワークロードに取り組むことを推奨しています。
ZTNAとアイデンティティベースのセグメンテーションが実装されたら、組織は他のセキュリティ構想に移行し、テクノロジーインフラストラクチャ全体にゼロトラストアプローチを拡大することができます。
ゼロトラスト導入の道のりを簡素化し加速する
ZscalerのZero Trust Exchange(ZTE)は、世界最大のセキュリティクラウドに構築されており、ビジネストランスフォーメーションを安全に加速させるゼロトラストアーキテクチャを提供します。世界中に分散する150のデータセンタで運用されるZTEが、ユーザのアクセスするクラウドプロバイダやアプリケーションのコロケーションにより、サービスをユーザに近づけます。ゼロトラストを体力に例えると、Zero Trust Exchangeは最高の体力、つまり最高のゼロトラストの実現に必要なすべての機器を備えた、最も高度なジムということになるでしょう。Zero Trust Exchangeは、サイバー脅威に対する対策、データ保護、セキュアインターネットアクセス、B2Bアプリへのアクセス、ネットワークセグメンテーション、パフォーマンススコアなど、ゼロトラストの導入にあたって鍵となる多くの重要な機能をリモートアクセスで提供します。
レポートを読む: What Are Practical Projects for Implementing Zero Trust?
このブログは役に立ちましたか?
