Zpedia 

/ ゼロトラスト アーキテクチャーとは

ゼロトラスト アーキテクチャーとは

ゼロトラスト アーキテクチャーは、攻撃対象領域の最小化、不正侵入の防止、脅威のラテラル ムーブメントの排除、情報漏洩の阻止を目的として構築されたセキュリティ アーキテクチャーです。このアーキテクチャーはゼロトラスト セキュリティの原則に基づいています。従来の「ネットワーク境界」アプローチでは、境界の内側にあるすべてのデバイスとユーザーが信頼され、広範なアクセス権が付与されますが、ゼロトラスト モデルは最小特権アクセスを適用し、ネットワークではなくアプリに直接接続させます。また、きめ細かなマイクロセグメンテーションによって、より厳格なアクセス制御が可能になります。

Zscalerのゼロトラスト アーキテクチャーの概要動画
ゼロトラスト セキュリティの詳細はこちら
ゼロトラストクラウド セキュリティデジタル エクスペリエンス モニタリング
  1. 重要な理由
  2. 従来のセキュリティの欠点
  3. ゼロトラストでセキュリティを変革
  4. 安全な接続
  5. 考慮事項
  6. AIの役割
  7. ビジネス上のメリット
  8. まとめ
  9. おすすめのリソース
  10. よくある質問
  11. 関連するトピック

ゼロトラスト アーキテクチャーの重要性

多くの組織がクラウド サービスやハイブリッド ワーク環境、IoTデバイス、SaaSアプリケーションを採用し、デジタル トランスフォーメーションを加速させていますが、ファイアウォールとVPNに依存する境界ベースのネットワーク セキュリティ アーキテクチャーでは、もはやこうした環境を十分に保護できなくなっています。 従来のオンプレミス環境向けに設計されたファイアウォールとVPNは、現代のビジネスに求められるスピード、柔軟性、そして高度な機能に対応できないばかりか、サイバーセキュリティ リスクを増大させる可能性さえあります。

これらの課題に対する解決策として登場したのが、ゼロトラスト アーキテクチャー(ZTA)です。ゼロトラストは「決して信頼せず、常に検証する」という観点からセキュリティを根本的に見直すことで、従来のアーキテクチャーの弱点を克服し、ユーザー、デバイス、ワークロード、IoT/OTシステム、B2Bパートナー間で安全なAny-to-Any接続を確保します。この記事では、従来のアーキテクチャーが組織を保護できない理由とセキュリティを変革して最新の脅威に対処するゼロトラストの仕組みについて解説します。

従来のアーキテクチャーの欠点

「城と堀」モデルとも呼ばれる境界ベースのアーキテクチャーは、ユーザーやアプリケーション、データが主にオンプレミスに存在し、組織のネットワークに接続されていた時代に合わせて設計されました。こうしたアーキテクチャーは、ファイアウォールとVPNでネットワーク境界を保護し、内部のネットワークに接続されたエンティティーに広範なアクセスを許可することで機能していました。かつては信頼性の高いセキュリティ モデルとして十分にその役割を果たしていましたが、現在の分散型のクラウド環境では、その限界が顕著になっています。

従来のアーキテクチャーの仕組み

従来のアーキテクチャーはネットワーク自体の保護を優先し、ファイアウォールとVPNなどの基盤となるツールを使って以下を行います。

  • セキュリティ境界の確立:ネットワーク内のものはすべて信頼でき、ネットワーク外のものはすべて信頼できないとみなします。ファイアウォールは基本的にこの2つを分離するゲートキーパーとして使用されます。
  • トラフィックのバックホール:リモート ユーザーがアプリケーション(オフプレミスのクラウド アプリも含む)にアクセスする際、VPN経由で集中型のデータ センターとネットワークに接続する必要があるため、遅延と複雑さが増します。
  • トラフィックのスキャン:ファイアウォールはネットワークに出入りするトラフィックをスキャンしますが、その機能は限定的であるため、脅威が検知されずに防御をすり抜けてしまったり、暗号化されたトラフィックが保護されなかったりする場合があります。

従来のアーキテクチャーの4つの主な弱点

  1. 攻撃対象領域の拡大:ファイアウォールとVPNは、正当なユーザーがアクセスできるようにパブリックIPアドレスを持っています。しかし、この設計ではネットワークがWeb上のサイバー犯罪者にさらされることになります。組織の成長と共に拠点やクラウド、リモート ワーカーの数が増加するとネットワークも拡張し、さらに多くのファイアウォールとVPN、パブリックIPアドレスが必要になります。結果的に攻撃対象領域が拡大し、脆弱性が増大します。
  2. 侵入:ファイアウォールは、その形態が仮想アプライアンスであっても、ハードウェア アプライアンスであっても、暗号化されたトラフィックを大規模かつ効果的に検査できません。現在のWebトラフィックの95%は暗号化されており、ほとんどの脅威はTLS/SSLトラフィック内に潜んでいます。そのため、組織は自社を攻撃するサイバー脅威の大部分に気づかないことになります。
  3. 脅威のラテラル ムーブメント:攻撃者が境界を突破すると、ネットワーク上を水平方向に移動し、接続されたリソースにアクセスできるようになります。これに対処するためにファイアウォールを追加してネットワークをセグメント化しても、リスクや複雑さ、コストが増すだけで、ファイアウォールベースおよび境界ベースのアーキテクチャー自体の根本的な問題の解決にはなりません。
  4. 情報漏洩:ファイアウォールは暗号化されたトラフィックを検査できないため、機密データが検知されずにネットワーク外に流出する可能性があります。さらに、従来のツールでは、SaaSアプリケーション内でのファイル共有といった最新のデータ流出経路で機密情報を保護できません。

 

セキュア デジタル トランスフォーメーションとは

 

ゼロトラスト アーキテクチャーでセキュリティを変革

ゼロトラストは従来のアーキテクチャーとは根本的に異なり、ネットワークではなく、ITリソースへのアクセスを直接保護します。そして、盗まれる可能性のあるアイデンティティーではなく、コンテキストとリスクに基づいてアクセスを管理します。専用のクラウドは、このアーキテクチャーをサービスとしてエッジで提供し、インテリジェントな交換機として機能するため、場所を問わず、ユーザー、デバイス、ワークロード、拠点、アプリケーションの間で安全な1対1の接続が可能になります。このように、ゼロトラストはセキュリティと接続をネットワークから切り離すことで、インターネットを組織のネットワークとして効果的に使用できるようにします。

ゼロトラストの原則

  1. アイデンティティーの検証:アクセス リクエストはいずれも、アクセスを試みているユーザーやその他のエンティティーのアイデンティティーを認証することから始まります。
  2. 接続先の確認:ゼロトラスト プラットフォームはリクエストされている接続先を特定し、その接続が正当かつ安全であることを確認します。
  3. リスクの評価:AI/MLを活用してそのアクセスのコンテキストを評価し、リスクを把握します。その際にはユーザーの振る舞いやデバイスの状況、場所など、さまざまな動的な要素が考慮されます。
  4. ポリシーの施行:セッションごとにリアルタイムでポリシーを施行し、リスクに基づいてアクセスを許可もしくは拒否、または制限付きのアクセスを付与することで、最小特権アクセスを確保します。

ゼロトラストの4つの強み

  1. 攻撃対象領域の最小化:ゼロトラスト クラウドの背後にアプリケーションを隠すことで、パブリックIPアドレスを不要にし、インバウンド接続を防ぎます。アプリケーションをインターネットから不可視化し、攻撃対象領域を削減します。
  2. 不正侵入の防止:プロキシとして機能する高性能なセキュリティ クラウドを活用して、暗号化されたトラフィックを含むすべてのトラフィックを大規模に検査します。脅威がユーザーやアプリケーションに到達する前に、リアルタイムのポリシーが脅威を阻止します。
  3. ラテラル ムーブメントの阻止:ユーザーをネットワークではなくアプリケーションに直接接続させます。このきめ細かなセグメンテーションにより、攻撃者はリソース間を水平方向に移動できなくなり、侵害の効果的な封じ込めが可能になります。
  4. 情報漏洩の阻止:ゼロトラスト アーキテクチャーは、Webへの転送(暗号化されたトラフィック経由も含む)、クラウドでの保存、エンドポイントでの使用など、情報漏洩が起こりうるあらゆるチャネルで機密情報を保護します。

ゼロトラストの特長:安全なAny-to-Any接続

ゼロトラストの強みの一つとして挙げられるのが、安全なAny-to-Any接続です。そのため、ITリソースにアクセスする必要がある次のようなエンティティーはすべて保護されます。

  • 従業員:ネットワークに接続することなく、WebやSaaSアプリ、プライベート アプリに安全にアクセスできます。
  • クラウド:パブリック、プライベート、ハイブリッドなど、あらゆるクラウド環境におけるワークロード通信のセキュリティを確保し、クラウドとSaaSアプリに保存されているデータを保護します。
  • IoT/OTデバイス:IoT運用技術(OT)システムの安全な接続を確保し、サイバー攻撃からこれらの重要な資産を保護します。
  • B2Bパートナー:チャネル パートナーなどのサードパーティーは、VPNやネットワークに接続することなく、特定のアプリに安全に直接アクセスできます。

 

 

ゼロトラスト プラットフォームを評価する際の考慮事項

ゼロトラスト プラットフォームの導入は、セキュリティ インフラの近代化を目指す組織にとって極めて重要な決断になります。しかし、市場には数多くの選択肢が存在するため、最適なソリューションを選択するには、組織独自のニーズに適したプラットフォームを慎重に見極める必要があります。ここでは、ゼロトラスト プラットフォームを評価する際に考慮すべき主要なポイントを解説します。

すべてのエンティティーに対応できる広範な適用範囲

真のゼロトラスト プラットフォームは、従業員、アプリケーション、クラウド、IoT/OTシステム、パートナーなど、組織内のすべての重要なエンティティーのアクセスを保護する必要があります。攻撃者が悪用するギャップを残さず、一貫性のある堅牢なセキュリティ態勢を維持するには、これらの経路間で統一された保護を確保することが重要です。

プロバイダーの財務安定性

経済的に安定しており、強固な財務基盤を持ってるいプロバイダーを選ぶことが重要です。ゼロトラスト プラットフォームはミッションクリティカルなサービスであるため、選択したプロバイダーにサービス中断のリスクがなく、イノベーションに継続的に投資するための財務安定性とリソースがあることを確認する必要があります。

確かな顧客実績

さまざまな業界での導入実績があるかどうかも重要な評価項目です。特に、自社と似た規模や業界の企業の成功事例、顧客レビュー、推奨などを確認することで、そのプラットフォームが実際に成果を上げているかを把握できます。実際の導入事例は、ソリューションの有効性を判断するための重要な要素になります。

世界レベルでのスケーラビリティーとパフォーマンス

現代の組織は世界中に事業を展開しているため、一貫したパフォーマンスを提供しながら、シームレスに拡張できるゼロトラスト プラットフォームを求めています。こうしたプラットフォームには、複数の地域でユーザー、アプリケーション、ワークロードに対応でき、低遅延、高可用性、信頼性の高い接続が備わっているインフラが必要です。

予期せぬ事態に対応できるレジリエンス

脅威が絶えず進化する現代においては、レジリエンスは必須の要素です。プラットフォームは、ユーザー アクティビティーの急増、新たなサイバーセキュリティの課題、予期せぬ技術的障害など、不測の事態に対応できる必要があります。レジリエンスに優れたゼロトラスト ソリューションは、極めて不利な状況でもサービスを中断させません。

セキュリティと効率性を強化するためのAIの活用

最後に、ゼロトラスト プラットフォームを評価する際には、人工知能(AI)がソリューションにどのように統合されているかを考慮することが重要です。Zscaler Zero Trust Exchangeのような最新のゼロトラスト プラットフォームは、AIと機械学習(ML)によってポリシーの施行の最適化、異常の検出、意思決定プロセスの効率化を可能にします。AIにより、組織は脅威にすばやく正確に対応できるようになり、将来のサイバーセキュリティ技術に対する堅実な基盤を構築することができます。

以上を考慮してゼロトラスト プラットフォームを評価すれば、安全で信頼性が高く、適応性に優れたソリューションを選択できます。また、AIを活用するプラットフォームは、イノベーションの推進と効率化に欠かせない能力も備えているため、ゼロトラストの強化において重要な役割を果たします。

ゼロトラストにおけるAIの役割

ゼロトラスト アーキテクチャーは、AIを活用したセキュリティを実現するための理想的な基盤です。その理由は、ゼロトラスト プラットフォームで処理される膨大な量のトラフィック データはLLMのトレーニングに最適であるためです。さらに、AIによってゼロトラストのインテリジェンス、有効性、自動化が向上するため、ゼロトラストの機能が強化されます。たとえば、ZscalerはAI/MLをさまざまな分野で統合し、以下のような機能を強化しています。

  • 脅威の検出と阻止:機械学習モデルにより、ゼロデイ攻撃などの高度な脅威をリアルタイムで特定し、脅威を軽減します。
  • セグメンテーションの自動化:AI活用型のアプリ セグメンテーションにより、許可されたユーザーのみがアプリケーションにアクセスできるようにします。これにより、内部の攻撃対象領域だけでなく、手動セグメンテーションに伴うヒューマン エラーも減少します。
  • 機密データの検出:AIによる自動データ検出により、情報漏洩が起こりうるすべてのチャネルで機密情報を自動的に検出して分類します。
  • ユーザーの生産性向上:AIを活用した根本原因分析により、ユーザー エクスペリエンスの問題を引き起こしている根本的な原因を自動的に特定し、従業員とITヘルプデスクの生産性を向上させます。

 

 

セキュリティ以上の効果:ゼロトラストのビジネス上のメリット

ゼロトラストにはサイバー リスクの軽減だけでなく、事業運営と財務の面でもメリットがあります。

  • 複雑さの軽減:ファイアウォールとVPN、その他のポイント ソリューションを統一された最新のプラットフォームに置き換えることで、IT環境を簡素化できます。
  • コストの削減:従来のツールを排除し、セキュリティとネットワークを簡素化することで、管理負荷と総所有コスト(TCO)を削減します。
  • ユーザー エクスペリエンスの強化:ユーザーをアプリに直接接続させることで、トラフィックのバックホールに伴う遅延が解消されるため、高速でシームレスなアクセスを提供でき、従業員の生産性が向上します。
  • 組織のアジリティー:ゼロトラストは柔軟なアーキテクチャーです。これを採用する組織は、クラウド アプリケーションとハイブリッド ワークを保護し、変化するビジネス ニーズに迅速かつ安全に適応できるようになります。

まとめ

急速なデジタル トランスフォーメーションに対応するには、それに適応できるセキュリティ アーキテクチャーが必要です。従来の境界ベースのアプローチには固有の弱点があるため、現代の組織を十分に保護できなくなっています。ゼロトラスト アーキテクチャーは、安全なAny-to-Any接続と動的なコンテキストベースのポリシーに重点を置き、サイバーセキュリティの新たな課題を解消する最先端のソリューションを提供します。

さらに、AIをゼロトラストに統合することで、セキュリティ態勢のさらなる強化、運用の合理化、ユーザー エクスペリエンスの向上を実現できます。Zscaler Zero Trust Exchangeは、組織が安全にデジタル トランスフォーメーションを進めながら、ユーザー、データ、アプリケーション、そしてITエコシステム全体を保護できるようにします。

ゼロトラスト ジャーニーはゼロトラストの原則、強み、実装戦略を理解することから始まります。Zscalerを導入すれば、未来のリスクからも組織を守る強力なセキュリティ態勢を構築できます。

 

Zscalerのゼロトラストの詳細は、こちらをご覧ください。

おすすめのリソース

効果の高いゼロトラスト アーキテクチャーの7つの要素
eBookを入手
ファイアウォールとVPNが組織を危険にさらす4つの理由
eBookを入手
ゼロトラストの歴史:エンタープライズ セキュリティの再考における主なマイルストーン
ホワイト ペーパーを入手
Zero Trust Adoption Report | Cybersecurity Insiders
レポートを入手する(英語)
ゼロトラストとは
詳細はこちら
Zero Trust, from Theory to Practice
今すぐ登録する(英語)

01 / 04

よくある質問

ゼロトラストは、どのユーザーやアプリケーションもデフォルトで信頼されるべきではないとするセキュリティ フレームワークです。ゼロトラスト アーキテクチャーは、コンテキスト(例:ユーザーのアイデンティティーや場所、エンド ポイントのセキュリティ態勢、リクエストされているアプリまたはサービスなど)に基づいて信頼を確立し、各ステップでポリシーのチェックを行う最小特権アクセス制御を施行します。既知の個人ユーザーからのリクエストであっても、厳格な認証プロセスを通過するまでアクセスは許可されません。

ゼロトラストがセキュリティの将来を担う存在であると言われる背景には、クラウド コンピューティングやリモート ワークの台頭と、それに伴う従来のセキュリティ境界の信頼性低下があります。ゼロトラスト アーキテクチャーは、厳格なアクセス制御、継続的なモニタリング、データ中心のセキュリティによって、現代の流動的なビジネス環境に対応し、内部脅威や現在の高度なサイバー攻撃技術に対してより強力かつ適応性に優れたプロアクティブな防御を提供します。

ゼロトラスト セキュリティの導入には時間がかかりますが、現代の組織が生き残り発展を遂げるうえでは必要不可欠です。Zscalerでは、ゼロトラスト化への道のりを4つの段階に分けて考えています。

  1. 従業員の環境を整備し、保護する
  2. クラウド ワークロードのデータを保護する
  3. IoT/OTセキュリティを最新化する
  4. 顧客やサプライヤーとの安全な接続を確立する

これらに1つずつ取り組み、ネットワークとセキュリティを変革することで、ユーザー、デバイス、アプリケーションをあらゆるネットワークで安全に接続するゼロトラスト アーキテクチャーを実現できます。

詳細については、このテーマを掘り下げた記事「ゼロトラストを実装するには」でご確認ください。