ゼロトラストは、どのユーザーやアプリケーションもデフォルトで信頼されるべきではないとするセキュリティ フレームワークです。ゼロトラスト アーキテクチャーは、コンテキスト(例:ユーザーのアイデンティティーや場所、エンド ポイントのセキュリティ態勢、リクエストされているアプリまたはサービスなど)に基づいて信頼を確立し、各ステップでポリシーのチェックを行う最小特権のアクセス制御を適用します。既知の個人ユーザーからのリクエストであっても、厳密な認証プロセスを通過するまでアクセスは許可されません。
「決して信用せず、常に確認せよ」が、ゼロトラスト セキュリティ モデルにおける重要な合言葉となります。その理由を理解するために、長年にわたり浸透してきたファイアウォール ベースのネットワーク セキュリティを見てみましょう。
サイバー セキュリティに対するこれまでのファイアウォール アプローチでは、ネットワーク境界の外部からのアクセス リクエストは本質的に信頼できないと想定されている一方で、境界内からのアクセスはすべて信頼されます。これは、ファイアウォールは外部脅威を効果的にブロックし、脅威はネットワークの防御ライン内に存在するはずがないという前提に基づいたものですが、実際のところはそうではありません。
サイバー犯罪者は、この無条件に与えられた信頼を逆手にとって防御を回避し、ランサムウェアやその他の高度なマルウェアを配信したり、機密データを盗み出したりします。誰もが侵害される可能性があることを理解し、想定される信頼のリスクを打ち消すのがゼロトラストです。このモデルでは次の3つの原則が中核となります。
ゼロトラストの実装についてさらに詳しく見る前に、以下の2つの用語を区別します。
言い換えれば、ゼロトラスト アーキテクチャーはZTNAを通して、いつでも、どこからでも、どんなデバイスからでもリソースにアクセスできるようにするために必要な基盤を提供します。ZTNAは、より敏捷性があり反応の速いセキュリティ アプローチになり、マルチクラウド構成とリモート ワークに適しています。
リモート ワークの普及、IoTデバイスの台頭、クラウドの採用 ー これらが急速に進められる中、ゼロトラスト戦略の形成は困難な作業のように感じられるかもしれません。ここでは課題となり得る典型的な例と、それらを克服する方法について解説します。
どこから始めればいいかわからない
ゼロトラストへの取り組みを始めるにあたって、使用しているエコシステム特有の問題点を特定することが重要です。攻撃対象領域の外部公開や過剰な特権アクセスなどのセキュリティ リスクに限らず、低品質なユーザー エクスペリエンス、技術的負債、インフラストラクチャー、接続に関するコストが問題点となることもあり得ます。簡単なところから着手することで、より難易度の高い問題に取り組むための基盤を作り上げていきます。
過去の投資に縛られる
これまでに投資したものを変更するというのは、たとえそれが今のニーズに応えられなくなったとしても難しいものです。新しいシステムを取り入れる前の段階で、従来型のツールや技術が現在のビジネス目標に対応できていて、設備投資や運用コストの要件を満たし、クラウド、モビリティー、IoTにおける現在のトレンドの中にあって確実に安全を維持しているかどうかを見極める必要があります。
関係者の支持が必要になる
ゼロトラストは組織の多くの関係者に影響を与えます。ゼロトラスト トランスフォーメーションがもたらすメリットや課題は常に共有し、何が原動力となっているのかだけでなく、認識されにくい法的またはコンプライアンス上のリスクを含む懸念材料も把握しておくことが重要です。主なユース ケースを特定したら、影響度の低いユース ケースから開始します。そして、具体的な成果を提示することで、早い段階から支持を得られます。
ゼロトラスト トランスフォーメーションには多くの時間を要しますが、現代の組織が競争を勝ち抜き、発展していくためには必要不可欠です。そして次の3つの要素こそが、トランスフォーメーションを成功に導く鍵となります。
特にアーキテクチャーとワークフローが深く確立されてしまっている場合、変化にはわずらわしさが伴うことを認識することが重要です。作業を段階的に実施していくことでこれを克服することができますが、Zscalerはゼロトラストの流れを4つの段階に分割しています。
ネットワークとセキュリティを変革することでこれらの目標を1つずつ達成し、場所や使用するネットワークに関わらず、ユーザー、デバイス、アプリケーションを安全に接続するゼロトラスト アーキテクチャーが実現します。
ゼロトラストは、単にマイクロセグメンテーション、多要素認証(MFA)、アクセス許可を構成して、オンプレミスのセキュリティを再考するものではなく、今日のネットワーク、従業員、脅威の現状に対応して、運用における安全性、敏捷性、競争力を高めることを意味します。
ゼロトラストの実装におけるベスト プラクティスについては、技術的な必要を超えた要素が関わってきます。エンドポイントをセキュリティで保護し、最小特権の原則を適用させて、AI、ML、自動化を活用する必要があるのはもちろんですが、効果的に実践しようとする前に以下のような計画を立てて、新しいセキュリティ戦略の実装に伴う課題に取り組む必要があります。
Zscalerは、クラウドネイティブのZscaler Zero Trust Exchange™プラットフォームを使用してゼロトラストを提供します。プロキシー アーキテクチャー上に構築されたこのプラットフォームは、どのネットワークを介した場合でも、ビジネス ポリシーを使用してユーザー、デバイス、アプリケーションを安全に接続します。具体的には以下の4つの手順で実行します。
Zero Trust Exchangeのメリット
ゼロトラストとは
詳細はこちら効果の高いゼロトラスト アーキテクチャーの7つの要素
インフォグラフィックを見るZscaler Zero Trust Exchange
詳細はこちらゼロトラストのベスト プラクティス
信頼を前提とした従来型のセキュリティ モデルは、サイバー脅威がこういった信頼を悪用して進化する中では、ネットワークとユーザーを危険にさらす可能性があります。ゼロトラスト モデルは、リクエストがどこの誰からであってもすべてに厳格な認証プロセスを適用し、より総合的な保護を提供します。
これまでのサイバー セキュリティ モデルでは、アプリケーションがインターネット上に公開されたままになりますが、近年ではアプリケーションとデータがクラウド上に置かれるケースが増えてきており、このセキュリティ モデルではネットワーク攻撃対象領域がこれまで以上に拡大します。真のゼロトラスト モデルは、ユーザーをネットワークではなくリソースに直接接続し、機密性の高いトラフィックをインターネットから見えないようにします。
最新のサイバー脅威の活動状況をみると、従来型のVPNテクノロジーから脱却する必要性は明らかです。これまでのVPNでは、ユーザーは一度認証された後にネットワーク上に配置されますが、ゼロトラストではユーザーとデバイスは継続的に検証され、承認された特定のアプリケーションへのみアクセスが許可されます。
ゼロトラスト プロバイダーを選ぶ際は、ベンダーの実績だけでなく、製品やサービスが幅広く対応するかどうか、個別にカスタマイズされたサポートが十分に受けられるかなどを考慮してニーズに合ったものを探すようにします。理想的なゼロトラスト プロバイダーは、顧客の環境を理解したうえで、データの保護と従業員の活性化のために最善の提案を行う力を備えています。
ゼロトラストの展開は小規模から始めるのが最も理想的です。例えば、リスク、コスト、またはユーザー エクスペリエンスに関連する問題を特定して、そこにゼロトラスト戦略を適用させます。こういった小規模単位での成功例を示すことで、関係者の支持を得やすくなり、予算確保や将来的な計画の確定に向けての追い風となります。自分一人で成し遂げようとは決して思わないことです。ゼロトラストの実現に必要な専門知識が社内で不足している場合は、信頼できるパートナーとして協力できるサービス プロバイダーを検討するようにします。
ゼロトラスト トランスフォーメーションを成功に導くには多くの時間が必要となります。しかし、長期的な成功のためには、社内での知識を確立させることが非常に重要です。技術を使ってコストを削減し、複雑さを軽減させ、より高い目標へと向かっていく方法を理解して、組織全体がゼロトラストに向けた企業文化や考え方にシフトしていく必要があります。
ゼロトラスト ネットワークの作成に必要な手順は以下のとおりです。