ゼロトラスト アーキテクチャーとは

ゼロトラスト アーキテクチャーとゼロトラスト ネットワーク アクセスの違い

ゼロトラスト アーキテクチャーについて掘り下げる前に、関連性の高いこれらの2つの用語の違いを整理しましょう。

• ゼロトラスト アーキテクチャー(ZTA)は、隙のないアクセス管理、厳格なデバイスとユーザーの認証、強力なセグメンテーションなどといった、ゼロトラストの原則をサポートする構造です。これは、ネットワーク内にあるものはデフォルトで信頼する「城と堀」のアーキテクチャーとは明確に異なり、多くの面においてこれを置き換えるように構築されています。
• ゼロトラスト ネットワーク アクセス(ZTNA)は、ユーザーやアプリ、データが従来型のセキュリティ境界内にない場合にも、アプリケーションとデータへの安全なアクセスをユーザーに提供するためのゼロトラストのユース ケースです。クラウドとハイブリッド ワークの時代の到来とともに、普及が進んでいます。

まとめると、組織がZTNAを導入し、場所や時間やデバイスを問わずシステム、サービス、API、データ、プロセスを利用できるようにするためには、ゼロトラスト アーキテクチャーが基盤として必要となるのです。

ゼロトラスト アーキテクチャーのニーズ

過去約30年間に渡り、組織は複雑かつ広範囲にわたるハブ＆スポーク型のネットワークの構築と再構成を行ってきました。そのような環境では、ユーザーと拠点はプライベート接続によりデータ センターに接続しますが、必要なアプリケーションにアクセスするには、ユーザーはネットワーク上に存在する必要があります。

ハブ＆スポーク型ネットワークは、「城と堀」のネットワーク セキュリティとして知られるアーキテクチャーを使用して、VPNやファイアウォールなどのアプライアンス スタックでそのセキュリティが確保されます。組織のアプリケーションが自社のデータ センター内に存在していた時代にはこのアプローチは役に立ちましたが、クラウド サービスが浸透して新興のテクノロジーが台頭し、セキュリティ上の懸念が高まるにつれ、その勢いは衰えています。

現在、多くの組織がデジタル トランスフォーメーションを推進しており、クラウド、モビリティー、AI、モノのインターネット(IoT)や運用技術(OT)を採用することで敏捷性と競争力を高めています。ユーザーはあらゆる場所に存在するようになり、組織のデータはもはや自社のデータ センターだけに存在するものではなくなりました。コラボレーションを通して生産性を維持するためにも、ユーザーは場所や時間を問わずアプリケーションへのダイレクト アクセスを必要としています。

トラフィックをデータ センターにルーティングすることで、クラウド内のアプリケーションに安全にアクセスする方法は、もはや理にかなっていません。これこそ、組織がハブ＆スポーク型モデルからクラウドへの直接接続を提供するゼロトラスト アーキテクチャーに移行している理由です。

こちらの動画では、安全なデジタル トランスフォーメーションに関してシンプルかつ詳細に説明しています。

見る

What Are the Core Principles of Zero Trust?

Zero trust is more than the sum of user identity, segmentation, and secure access. It's a security strategy upon which to build a complete security ecosystem. At its core are three tenets:

1. Terminate every connection: Unlike the passthrough inspection techniques common to legacy technologies (e.g., firewalls), an effective zero trust architecture terminates every connection to allow an inline proxy architecture to inspect all traffic, including encrypted traffic, in real time—before it reaches its destination.
2. Protect data using granular context-based policies: Zero trust policies verify access requests and rights based on context, including user identity, device, location, type of content, and the application being requested. Policies are adaptive, so validation and user access privileges are continually reassessed as context changes.
3. Reduce risk by eliminating the attack surface: With a zero trust approach, users connect directly to apps and resources, never to networks (see ZTNA). Direct connections eliminate the risk of lateral movement and prevent compromised devices from infecting other resources. Plus, users and apps are invisible to the internet, so they can’t be discovered or attacked.

What Are the 5 Pillars of Zero Trust Architecture?

The five “pillars” of zero trust were first laid out by the US Cybersecurity and Infrastructure Security Agency (CISA) to guide the key zero trust capabilities government agencies (and other organizations) should pursue as in their zero trust strategies.

The five pillars are:

• Identity—moving to a least-privileged access approach to identity management.
• Devices—ensuring the integrity of the devices used access services and data.
• Networks—aligning network segmentation and protections according to the needs of their application workflows instead of the implicit trust inherent in traditional network segmentation.
• Applications and workloads—integrating protections more closely with application workflows, giving access to applications based on identity, device compliance, and other attributes.
• Data—shifting to a data-centric approach to cybersecurity, starting with identifying, categorizing, and inventorying data assets.

Each capability can progress at its own pace and may be further along than others, and at some point, cross-pillar coordination (emphasizing interoperability and dependencies) is needed to ensure compatibility. This allows for a gradual evolution to zero trust, distributing costs and effort over time.

ゼロトラスト アーキテクチャーの仕組み

ゼロトラストは、ネットワーク上のすべてが敵対的である、または侵害されているとみなすことから始まります。アプリケーションへのアクセスは、ユーザーのアイデンティティー、デバイス ポスチャー、ビジネス コンテキストが検証され、ポリシー チェックが施行されて初めて許可されます。このモデルでは、すべてのトラフィックをログに記録して検査する必要があり、従来のセキュリティ制御では実現できないレベルの可視性が求められます。

ここで真のゼロトラスト アプローチを用いることで、組織の攻撃対象領域を最小化し、脅威の水平移動を防止して侵害のリスクを低減できます。ユーザーをネットワークではなくアプリケーションに直接接続し、接続が許可またはブロックされる前に追加の制御を適用できるようにする、プロキシーベースのアーキテクチャーでの実装が最適です。

暗黙の信頼が決して付与されないようにするために、ゼロトラスト アーキテクチャーの機能を通じ、接続を確立する前にすべての接続を一連の制御の対象にすることが求められます。これには3段階のプロセスが存在します。

1. アイデンティティーとコンテキストの検証。ユーザー、デバイス、ワークロードまたはIoT/OTが接続をリクエストするたびに、基盤となるネットワークに関係なくゼロトラスト アーキテクチャーは最初に接続を終了し、「誰が、何を、どこで」リクエストしたかを把握することでアイデンティティーとコンテキストを検証します。
2. リスクの制御。リクエスト元となるエンティティーのアイデンティティーとコンテキストが検証され、セグメンテーション ルールが適用されると、ゼロトラスト アーキテクチャーは接続リクエストに関連するリスクを評価します。また、サイバー脅威や機密データに関してもトラフィックを検査します。
3. ポリシーの施行。最後に、ユーザー、ワークロードまたはデバイスのリスク スコアが算出され、許可されているか制限されているかを判断します。エンティティーが許可された場合、ゼロトラスト アーキテクチャーはインターネットやSaaSアプリ、IaaS/PaaS環境への安全な接続を確立します。

ゼロトラスト アーキテクチャーのメリット

ゼロトラスト アーキテクチャーは、マルウェアやその他のサイバー攻撃からユーザーとデータを保護しつつ、現代のビジネスを求められるスピードに求められる正確かつコンテキストに応じたユーザー アクセスを提供します。ZTNAの基盤として、効果的なゼロトラスト アーキテクチャーは以下をサポートします。

• 従業員やパートナーを含め、リモート ワーカーが場所を問わずデータやアプリケーションに安全かつ高速にアクセスできるようにし、ユーザー エクスペリエンスを改善。
• 信頼性の高いリモート アクセスを提供しつつ、VPNなどの従来型のテクノロジーよりも簡単かつ一貫した方法でセキュリティ ポリシーを管理、実行。
• 暗号化や認証などの厳格なセキュリティ制御により、オンプレミスやクラウド環境内、転送中または保存中の機密データやアプリケーションを保護。
• ネットワーク境界内のユーザー、デバイスにデフォルトで暗黙的な信頼を与えないことで、内部の脅威を阻止。
• きめ細かなアクセス ポリシーにより、リソース レベルで水平方向の移動を制限し、侵害の可能性を低減
• 成功してしまった侵害に関し、より迅速かつ効果的な検出、対応、回復を行うことで影響を軽減。
• ユーザーとエンティティーのアクティビティーの内容やタイミング、方法ならびに場所をより深く可視化し、セッションや実行されたアクションの詳細な監視とログを実現。
• 詳細な認証ログ、デバイスとリソースの正常性チェック、およびユーザーとエンティティーの動作分析などを使用し、リアル タイムでリスクを評価。

(アメリカ国立標準技術研究所(NIST)特別出版物「Implementing a Zero Trust Architecture」から翻案)

真のゼロトラスト アーキテクチャー：Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™は、最小特権アクセスの原則と、どのユーザー、ワークロード、デバイスも本質的に信頼できないという考えの上に構築された、統合されたクラウド ネイティブなプラットフォームです。アイデンティティーをはじめ、デバイスの種類、場所、アプリケーションやコンテンツなどのコンテキストに基づいて、ゼロトラスト アクセスを付与します。また、ネットワークや場所を問わず、ユーザーやワークロード、デバイス間の安全な接続をビジネス ポリシーに基づいて仲介します。

Zero Trust Exchangeは、以下の点において組織をサポートします。

• インターネットの攻撃対象領域と脅威の水平移動の排除。ユーザー トラフィックがネットワークに接続されることはありません。代わりに、ユーザーは1対1で暗号化されたトンネルを経由してアプリケーションに直接接続し、検出や標的型攻撃を防げます。
• ユーザー エクスペリエンスの向上。データを処理センターにバックホールする「フロント ドア」を備えた、静的な従来型のネットワーク アーキテクチャーとは異なり、Zero Trust Exchangeは、任意のクラウドまたはインターネットの宛先へのダイレクト接続をインテリジェントに管理、最適化し、適応型ポリシーと保護を可能な限りユーザーに近いエッジでインラインで施行します。
• 主要なクラウド、アイデンティティー、エンド ポイント保護、SecOpsプロバイダーとシームレスに統合。当社の包括的なプラットフォームは、中核となるセキュリティ機能(SWG、DLP、CASB、ファイアウォール、サンドボックスなど)と、ブラウザー分離、デジタル エクスペリエンス モニタリング、ZTNAなどの新興のテクノロジーを組み合わせ、機能を網羅したクラウド セキュリティ スタックを提供します。
• コストと複雑さの削減。Zero Trust Exchangeは、VPNや複雑なネットワーク境界でのファイアウォール ポリシーを必要とせず、展開と管理が簡単です。
• 一貫したセキュリティを大規模に実現。Zscalerは、世界中の150か所を超えるデータ センターに分散された世界最大のセキュリティ クラウドを運用し、ピーク時には2,400億件を超えるトランザクションを処理し、毎日84億件の脅威をブロックしています。