ゼロトラストは、ますます増え続けるパブリッククラウド、プライベートクラウド、SaaSアプリケーション、DevOps、ロボテックプロセスオートメーション(RPA)など、最新のデジタルビジネス環境を保護するために考案された戦略的なサイバーセキュリティモデルです。ゼロトラストは、ネットワーク境界の外側のみならず内側であっても、すべてを信頼しないという考え方に基づいています。ゼロトラストモデルでは、組織のシステムへのアクセスを許可する前に、接続を試みるすべてのユーザーおよび活動を検証する必要があります。ゼロトラストの主な目的は、ほとんどの組織が運用している最新の環境内でサイバー攻撃のリスクを軽減することです。
「ゼロトラスト」および「ゼロトラストアーキテクチャ」は、2010年に業界アナリストJohn Kindervag氏によって提唱されました。この「信頼せずに常に検証する」という概念は即座に受け入れられ、Google 社などの大企業がゼロトラストモデルを独自の解釈で構築し始めました。米国人事管理局(OPM)で大規模な違反が発生したことを鑑み、下院は政府機関にゼロトラストフレームワークを採用してサイバー攻撃を阻止することを推奨しました。
ゼロトラストモデルは、境界線の防護に重点を置いて攻撃者を外側に締め出せば、境界線の内側にあるすべてのユーザーや活動を許可しても、組織は脅威にさらされないという仮定に基づく、いわゆる「城を堀で防御する」従来のサイバーセキュリティに対するアプローチとは大幅に異なります。従来のアプローチは、ファイアウォールや同類のセキュリティ対策に大きく依存しており、社内の脅威が特権アカウントへのアクセス権を取得したり付与されることに対して無防備でした。
今日のテクノロジーエコシステムは、デジタルトランスフォーメーションによってさらに複雑化しているため、従来のセキュリティ戦略には調整が必要です。攻撃対象領域が拡大し続けると、境界に焦点を当てたアプローチはますます効果的ではなくなります。さらに、リモートベンダーが重要な内部システムへの特権アクセスを頻繁に必要とする場合、どのユーザーが何にアクセスする必要があるのかを追跡することがますます困難になる可能性があります。一方で、ゼロトラストはあらゆるところから実施することができ、適切なユーザーおよび人以外に紐づくIDのみを、必要なときに必要なデータだけにアクセスさせることができます。ゼロトラストフレームワークでは、ユーザーの場所、使用されているエンドポイントデバイスやマシン、データとワークロードがホストされている場所(オンプレミス、クラウドまたはハイブリッド環境)に関係なく、「ソフトウェアで定義された境界」により、人および人以外に紐づくIDに対して安全な特権アクセスが提供されます。
ゼロトラストを組織で実施する方法
ゼロトラスト技術はひとつだけではありません。多要素認証(MFA)、IDおよびアクセス管理(IAM)、特権アクセス管理(PAM)、ネットワークセグメンテーションなどの既存の技術とアプローチを組み合わせた、効果的なゼロトラスト戦略は、包括的な多層防御を実現します。ゼロトラストでは、最小特権の原則などのガバナンスポリシーも重視されます。
ゼロトラストに沿った最新のアーキテクチャを構築するとき、組織は多くの場合、経時的なプログラムによる段階的なアプローチを採用します。これには、以下の手順の一部またはすべてが含まれます:
>強力な特権アカウントの保護。社内の脅威および外部からの攻撃の大部分が、特権アクセスの悪用によるものであることが十分に確証されています。組織は、環境全体にわたって最も重要な特権アカウント、認証情報、シークレットを特定し、最も機密性の高いデータおよび重要なインフラストラクチャを危険にさらす可能性のある弱点や脆弱性を特定する必要があります。得られた知的情報に基づいて、アクセス制御を実装することで、ゼロトラストに関連する最もリスクの高い特権アカウントを保護できます。エンタープライズ、クラウド、エンドポイント全体にわたって、およびDevOpsパイプライン全体を通じて、その他のユーザーやアプリケーションに至るまで、順を追って保護を拡張できます。
ビジネスクリティカルな資産には、複数ステップの認証を実装します。ゼロトラストモデルでは、ティア0アセットを他のすべてのアセットよりも優先して保護する必要があります。ユーザーとデバイスの信頼性に焦点を絞るには、継続的な多要素認証(MFA)が不可欠です。さらに、ステップアップまたはジャストインタイムの認証と、アクセスポイントでの特権ユーザーの認証を可能にする管理上の承認プロセスにより、特権認証情報を利用した攻撃のリスクを軽減できます。
エンドポイントセキュリティの強化悪意のある攻撃者または社内の脅威が、信頼できるユーザーのように見せかけて、特権認証情報にアクセスする場合、リスクの高いアクティビティを検出することが難しくなります。エンドポイントの検出と応答、アンチウイルス/NGAV、アプリケーションのパッチ適用、OSのパッチ適用を組み合わせることで、組織はエンドポイントデバイスの特権を管理および保護して、攻撃のリスクを軽減できます。さらに、組織は、特定の状況において特定のアカウントで実行される特定のアプリケーションのみを信頼するために、制限モデルを実装する必要があります。これにより、ランサムウェアとコードインジェクション攻撃のリスクを軽減できます。
特権の経路を監視。特権アクセス経路を継続的に監視することで、悪意のある社内の脅威や外部からの攻撃を防止できます。組織は、エンドユーザーがアクセスできる範囲を厳密に管理し、エンドポイント、アプリケーション、ユーザー、システム間に分離レイヤーを構築し、アクセスを継続的に監視することで、攻撃対象を減らす必要があります。
最小限の特権の原則を実施。誰が(人的ユーザーと人以外のユーザーの両方)どの資産にいつアクセスしてどのようなアクションを実行できるのかを把握することが重要です。組織は、属性ベースのアクセス制御に沿って、最小限の特権の原則を幅広く実施して、エンタープライズレベルのポリシーと特定のユーザー基準を組み合わせてセキュリティと可用性のバランスをとる必要があります。