ゼロトラストを実装するには

ゼロトラストとは

ゼロトラストは、どのユーザーやアプリケーションもデフォルトで信頼されるべきではないとするセキュリティ フレームワークです。ゼロトラスト アーキテクチャーは、コンテキスト(例：ユーザーのアイデンティティーや場所、エンド ポイントのセキュリティ態勢、リクエストされているアプリまたはサービスなど)に基づいて信頼を確立し、各ステップでポリシーのチェックを行う最小特権のアクセス制御を適用します。既知の個人ユーザーからのリクエストであっても、厳密な認証プロセスを通過するまでアクセスは許可されません。

ゼロトラストの基本原則

「決して信用せず、常に確認せよ」が、ゼロトラスト セキュリティ モデルにおける重要な合言葉となります。その理由を理解するために、長年にわたり浸透してきたファイアウォール ベースのネットワーク セキュリティを見てみましょう。

サイバー セキュリティに対するこれまでのファイアウォール アプローチでは、ネットワーク境界の外部からのアクセス リクエストは本質的に信頼できないと想定されている一方で、境界内からのアクセスはすべて信頼されます。これは、ファイアウォールは外部脅威を効果的にブロックし、脅威はネットワークの防御ライン内に存在するはずがないという前提に基づいたものですが、実際のところはそうではありません。

サイバー犯罪者は、この無条件に与えられた信頼を逆手にとって防御を回避し、ランサムウェアやその他の高度なマルウェアを配信したり、機密データを盗み出したりします。誰もが侵害される可能性があることを理解し、想定される信頼のリスクを打ち消すのがゼロトラストです。このモデルでは次の3つの原則が中核となります。

1. すべての接続を終了。従来のファイアウォールは「パススルー」アプローチを使用して、ファイルの配信時にその都度検査します。真のゼロトラスト ソリューションはすべての接続を終了するため、インライン プロキシー アーキテクチャーは、暗号化されたトラフィックを含むすべてのトラフィックを宛先に到達する前に検査できます。
2. きめ細かなコンテキストベースのポリシーでデータを保護。ゼロトラストのポリシーは、アイデンティティー、デバイス、場所、コンテンツなど、アクセスのリクエストや権限をリクエスト全体のコンテキストに基づいて検証します。ポリシーは適応性を備えているため、ユーザー アクセスはコンテキストが変化するたびに継続的に見直されます。
3. 攻撃対象領域を排除することでリスクを軽減。真のゼロトラスト アプローチは、VPNのようにユーザーやエンティティーをネットワークに接続することはありません。代わりにアプリケーションやリソースに直接接続します(ZTNAを参照)。こうすることで水平移動のリスクが排除され、ユーザーとアプリはインターネットからは見えず、発見や攻撃の対象となることはありません。

ゼロトラスト アーキテクチャー(ZTA)とゼロトラスト ネットワーク アクセス(ZTNA)の違い

ゼロトラストの実装についてさらに詳しく見る前に、以下の2つの用語を区別します。

• ゼロトラスト アーキテクチャー(ZTA)は、隙のないアクセス管理、認証、セグメンテーションをサポートするために設計されています。これは、ネットワーク内にあるものをデフォルトで信頼する「城と堀」のアーキテクチャーとは明確に異なり、多くの面においてこれを置き換えるように構築されています。
• ゼロトラスト ネットワーク アクセス(ZTNA)は、ユーザー、ワークロード、データが従来の境界内に存在しない可能性がある場合にアプリやデータへの安全なアクセスをユーザーに提供します。これは、クラウドやハイブリッド ワークが普及した現代では一般的なゼロトラストのユース ケースになります。

言い換えれば、ゼロトラスト アーキテクチャーはZTNAを通して、いつでも、どこからでも、どんなデバイスからでもリソースにアクセスできるようにするために必要な基盤を提供します。ZTNAは、より敏捷性があり反応の速いセキュリティ アプローチになり、マルチクラウド構成とリモート ワークに適しています。

ゼロトラストの実装が抱える課題

リモート ワークの普及、IoTデバイスの台頭、クラウドの採用 ー これらが急速に進められる中、ゼロトラスト戦略の形成は困難な作業のように感じられるかもしれません。ここでは課題となり得る典型的な例と、それらを克服する方法について解説します。

どこから始めればいいかわからない

ゼロトラストへの取り組みを始めるにあたって、使用しているエコシステム特有の問題点を特定することが重要です。攻撃対象領域の外部公開や過剰な特権アクセスなどのセキュリティ リスクに限らず、低品質なユーザー エクスペリエンス、技術的負債、インフラストラクチャー、接続に関するコストが問題点となることもあり得ます。簡単なところから着手することで、より難易度の高い問題に取り組むための基盤を作り上げていきます。

過去の投資に縛られる

これまでに投資したものを変更するというのは、たとえそれが今のニーズに応えられなくなったとしても難しいものです。新しいシステムを取り入れる前の段階で、従来型のツールや技術が現在のビジネス目標に対応できていて、設備投資や運用コストの要件を満たし、クラウド、モビリティー、IoTにおける現在のトレンドの中にあって確実に安全を維持しているかどうかを見極める必要があります。

関係者の支持が必要になる

ゼロトラストは組織の多くの関係者に影響を与えます。ゼロトラスト トランスフォーメーションがもたらすメリットや課題は常に共有し、何が原動力となっているのかだけでなく、認識されにくい法的またはコンプライアンス上のリスクを含む懸念材料も把握しておくことが重要です。主なユース ケースを特定したら、影響度の低いユース ケースから開始します。そして、具体的な成果を提示することで、早い段階から支持を得られます。

ゼロトラストを実装するには

ゼロトラスト トランスフォーメーションには多くの時間を要しますが、現代の組織が競争を勝ち抜き、発展していくためには必要不可欠です。そして次の3つの要素こそが、トランスフォーメーションを成功に導く鍵となります。

• 知識と信念 — コストや複雑性を軽減し、目標を達成するために、技術をより効果的に利用できる新しい方法を理解する。
• 破壊的技術 — 過去30年間にわたって変化してきたインターネット、脅威、従業員に対応できない従来型のソリューションから脱却する。
• 文化や考え方の変化 — チームを1つにまとめることで成功を促進する。ITの専門家にもゼロトラストのメリットを理解してもらい、協力体制を確立する。

特にアーキテクチャーとワークフローが深く確立されてしまっている場合、変化にはわずらわしさが伴うことを認識することが重要です。作業を段階的に実施していくことでこれを克服することができますが、Zscalerはゼロトラストの流れを4つの段階に分割しています。

1. 従業員を活性化して保護する
2. クラウド ワークロード内のデータを保護する
3. IoT/OTセキュリティを近代化する
4. 顧客とサプライヤーを安全に結び付ける

ネットワークとセキュリティを変革することでこれらの目標を1つずつ達成し、場所や使用するネットワークに関わらず、ユーザー、デバイス、アプリケーションを安全に接続するゼロトラスト アーキテクチャーが実現します。

ゼロトラストのベスト プラクティス

ゼロトラストは、単にマイクロセグメンテーション、多要素認証(MFA)、アクセス許可を構成して、オンプレミスのセキュリティを再考するものではなく、今日のネットワーク、従業員、脅威の現状に対応して、運用における安全性、敏捷性、競争力を高めることを意味します。

ゼロトラストの実装におけるベスト プラクティスについては、技術的な必要を超えた要素が関わってきます。エンドポイントをセキュリティで保護し、最小特権の原則を適用させて、AI、ML、自動化を活用する必要があるのはもちろんですが、効果的に実践しようとする前に以下のような計画を立てて、新しいセキュリティ戦略の実装に伴う課題に取り組む必要があります。

• まずは始めてみて課題を少しずつ解消していく。リスクやユーザー エクスペリエンス、コスト面などの問題をゼロトラスト採用のきっかけとして捉え、最初から高いゴールを設定するのではなく、少しずつゼロトラストを浸透させていきます。
• これまでの投資を再評価する。ネットワークやクラウドのセキュリティ、ユーザー エクスペリエンス、ベンダーとの関係性などに組織全体で不備がないかを確認し、ゼロトラストで最大の効果を発揮できる場所を特定します。
• 主な関係者の支持を得る。最初に、主要なチームの優先順位とニーズを適切に把握することから始めます。そうすることで、実際に支持が得られるユース ケースがどのようなものかが明白になり、最も重要なスタート地点が見えてきます。
• 自分一人で達成しようとしない。ゼロトラストの実現に必要な専門知識が社内で不足している場合は、実績のある専門サービスやマネージド セキュリティ サービス プロバイダーなど、専門家のサポートを活用してください。
• 相互配信計画(MDP)を検討する。これは組織とベンダー間で締結されるもので、達成目標とそのために必要なステップが明確にまとめられています。

Zscalerのソリューション

Zscalerは、クラウドネイティブのZscaler Zero Trust Exchange™プラットフォームを使用してゼロトラストを提供します。プロキシー アーキテクチャー上に構築されたこのプラットフォームは、どのネットワークを介した場合でも、ビジネス ポリシーを使用してユーザー、デバイス、アプリケーションを安全に接続します。具体的には以下の4つの手順で実行します。

1. すべての接続を終了し、暗号化されたトラフィックを含むすべてのトラフィックのデータや脅威を詳細かつリアルタイムに検査します。
2. アイデンティティーとデバイスを判断し、ユーザー、デバイス、アプリケーション、コンテンツなどを含む、コンテキストに基づくビジネス ポリシーを使用してアクセス権を検証します。
3. 暗号化された1対1のトンネルを通じて、ユーザーとアプリケーション間のセグメンテーションを提供するポリシーを適用します。
4. ネットワークを通ることなく、インターネット上でZero Trust Exchangeを経由してユーザーをアプリケーションに直接接続します。

Zero Trust Exchangeのメリット

• 脅威の水平移動を防止： ユーザーはネットワークにアクセスせずにアプリに直接接続するため、脅威が水平移動して他のデバイスやアプリケーションに感染することはありません。
• インターネットの攻撃対象領域を排除：アプリケーションはZero Trust Exchangeの背後に隠され、インターネットからは見えないため、攻撃対象領域が排除されて標的型サイバー攻撃を防止します。
• 優れたユーザー エクスペリエンスを提供：世界150拠点以上のデータ センターのエッジでポリシーが適用され、クラウド アプリに対して効率的に管理および最適化された直接接続を利用できます。
• コストと複雑さを軽減：簡単に管理、展開ができ、VPN、複雑なファイアウォール、追加のハードウェアは一切必要ありません。
• ビジネスの成長に合わせて拡張：プラットフォームはクラウド ネイティブかつマルチテナントに設計されていて、世界150拠点以上のデータ センターに隈なく配置されており、ユーザーが必要とする安全な接続を提供します。