ゼロトラストセキュリティとは?
ゼロトラストセキュリティソリューションでは、エンドユーザーが継続的に認証、許可、検証を受ける必要があります。そのため、24 時間 365 日、アプリケーションやデータへの安全なアクセスが確保されます。
ゼロトラストセキュリティについて
2010 年、Forrester Research が「ゼロトラスト」という言葉を生み出しました。当時、Forrester のシニアアナリストであった John Kindervag 氏は、「セキュリティは崩壊しており、どのネットワークも信頼できない」と指摘しました。Kindervag 氏はこの問題を解決するために、ネットワークトラフィックを検査するセキュリティソリューションの利用を提案しました。このようなソリューションを利用すれば、社内外のネットワークトラフィックソースを分析し、その中に隠れているサイバー脅威を発見することができます。これにより、信頼できるエンドユーザーのみが自社のネットワークアプリケーションやデータにアクセスできるようになります。
その 1 年後、Google は BeyondCorp イニシアティブを立ち上げ、ユーザーベースおよびデバイスベースの認証によるネットワーク境界セキュリティを推進しました。BeyondCorp により、Google の従業員は仮想プライベートネットワーク (VPN) なしで同社のネットワークにアクセスできるようになりました。また、Google 従業員はいつでもどこからでも安全に仕事ができるようになりました。
2018年、Forrester のアナリストである Chase Cunningham 氏は、Zero Trust eXtended (ZTX) エコシステムを立ち上げ、企業がセキュリティをアップグレードするために優先すべき 7 つのカテゴリを定めました。
- 従業員のセキュリティ
- デバイスのセキュリティ
- ワークロードのセキュリティ
- ネットワークのセキュリティ
- データのセキュリティ
- 可視化と解析
- 自動化とオーケストレーション
2020年、米国国立標準技術研究所 (NIST) が「NIST SP 800-207 Zero Trust Architecture」を発表し、ゼロトラストの 7 つの原則を示しました。
- データとコンピューティングサービスを 「リソース 」として扱うこと
- すべての通信の保護
- セッション単位でのリソースへのアクセス許可
- 動作属性と環境属性を含むポリシーに基づいてリソースへのアクセスを決定
- リソースの整合性とセキュリティの監視と測定
- リソースにアクセスする前のユーザーとデバイスの認証と承認
- リソース、ネットワークインフラストラクチャ、通信に関する情報を収集し、その情報を使用して組織のセキュリティポスチャを強化する方法を特定すること
2021年 5月、ホワイトハウスは米国連邦政府機関に対して NIST 800-207 への準拠を求める大統領令を発表しました。それ以来、多くのグローバル組織が NIST 800-207 をゼロトラストの事実上の標準として扱っています。
ゼロトラストセキュリティとは?
ゼロトラストは、「何も信頼せず、すべてを検証する」という原則に基づくセキュリティフレームワークを指します。
このフレームワークでは、アプリケーションやデータへのアクセスが許可されていることを確認するエンドユーザーのみが信頼されます。
ゼロトラストセキュリティの仕組み
企業はゼロトラストプロテクションソリューションを使用して、アプリケーションやデータへの不正アクセスや、IT 環境全体でのラテラルムーブメントをブロックします。また、ゼロトラストアーキテクチャーを確立することで、コンテキストベースのアクセスコントロールポリシーを適用できるようになります。
たとえば、エンドユーザーのロールや使用するデバイスなどの基準に基づいてエンドユーザーを定義するゼロトラストセキュリティポリシーを設定できます。企業のアプリケーションやデータにアクセスするには、承認されたユーザーが本人確認を受ける必要があります。権限のないユーザーがアプリケーションやデータにアクセスしようとした場合、ゼロトラストアクセスポリシーによって、そのユーザーがアクセスできないようにします。
ゼロトラストアーキテクチャを構築するには、IT 環境のユーザーとトラフィックを監視・制御する必要があります。ゼロトラストソリューションを使用して、環境全体のトラフィックを暗号化、監視、検証することもできます。アプリやデータへのアクセスを制限するための生体認証やその他の 多要素認証 (MFA) 手法もあります。
ゼロトラストプロテクションソリューションのメリット
- IT 環境全体のリソースに対する可視化の強化:すべてのリソースと、そのリソースを利用するエンドユーザーとデバイスの全体像を把握できるようにし、不審なユーザーやデバイスの活動について通知します。
- IT 管理の改善:アクセス要求を自動化し、特定の条件が満たされた場合にのみアプリケーションやデータへのユーザー/デバイスのアクセスを許可します。
- セキュリティの強化:ユーザーやデバイスがアプリケーションやデータにアクセスする方法とタイミングを制御します。
- セキュアなユーザーエクスペリエンス:セキュリティを犠牲にすることなく、許可されたユーザーにアプリケーションやデバイスへのシームレスなアクセスを提供します。
- コンプライアンス:金融サービスや医療などの規制の厳しい業界の要件に従って、アプリケーションとデータを保護します。
ゼロトラストプロテクションが重要である理由
ゼロトラストプロテクションソリューションにより、攻撃対象領域は縮小します。このソリューションでは、自社のアプリケーションとデータ、およびそれらを監視、管理、保護する方法を検討する必要があります。そうすることで、ゼロトラストプロテクションポリシーを確立して、許可されたユーザーだけがアプリケーションやデータにアクセスできるようになります。
ゼロトラストセキュリティソリューションの種類
1.ネットワークアクセス
ゼロトラストネットワークアクセス (ZTNA) ソリューションは、リソースをエンドユーザーやデバイスに接続します。また、ネットワークのマイクロセグメンテーションも可能です。
2.エンドポイント
ゼロトラストエンドポイントソリューションは、アプリケーションやデータへのアクセスを要求することで、ユーザーのデバイスを検証します。デバイスがハッキングされておらず、ウイルスなどの悪意のあるソフトウェアがないことを確認します。さらに、そのデバイスが HIPAA、PCI DSS、GDPR などのデータセキュリティ要件に準拠して使用されていることも確認します。
3.アプリケーションとデータ
ゼロトラストソリューションの中には、アプリケーションとデータへのアクセスレベルを定義できるものもあります。このようなソリューションでは、IT 環境全体のリソースに対するアクセスレベルを設定することができます。たとえば、さまざまなデータが保存されている共有サーバーがあるとします。そのような場合、ゼロトラストプロテクションソリューションを使用して、データをさまざまなカテゴリに分類できます。そして、選択したデータカテゴリに基づいて、ユーザーとデバイスのアクセスを管理することができます。
4.自動化と可視化
ゼロトラストセキュリティソリューションは、ユーザーとデバイスの活動を自動的に記録します。提供されるダッシュボードとレポートにより、誰がいつ自社のアプリケーションやデータにアクセスしているのか、またその他の関連のあるアクセス制御情報を確認することができます。
5.オールインワン
オールインワンセキュリティソリューションは、複数のゼロトラスト機能を兼ね備えています。幅広い保護レベルを提供します。また、複数のライセンスを必要とする傾向があります。
ゼロトラストプロテクションの始め方
1.計画の策定
どのようなアプリケーションとデータを保護する必要があるかを把握します。その際、次のようなサイバーセキュリティの課題に対処する必要があります。
- 社内にサイバーセキュリティの専門知識が不足している:ゼロトラストプロテクション戦略は、サイバーセキュリティへの投資と社内のサイバーセキュリティチームから最高の成果を引き出すことにつながるはずです。
- 質の低いユーザーエクスペリエンス:エンドユーザーには、使いやすく、作業の邪魔をせず、最高のサイバー保護を提供するゼロトラストソリューションが必要です。
- コンプライアンス違反:業界のデータセキュリティコンプライアンス要件に準拠する必要があります。準拠できなければ、規制違反による罰則を受けるリスクがあります。
- 高額なサイバー保険料:ゼロトラストセキュリティソリューションは、サイバー保険を補完し、サイバー保険料を下げることができます。
2.関連するユースケースへの対応
以下の脅威からビジネスを保護するゼロトラストセキュリティソリューションを選択してください。
- ランサムウェア:ランサムウェア攻撃を自動的に通知し、修復します。
- サプライチェーン攻撃:サプライチェーン攻撃によって業務が中断される前に、サプライチェーンのアプリケーションとデータにアクセスできるユーザーとデバイスを表示します。
- インサイダーの脅威:アプリケーションやデータへのアクセスを許可する前にユーザーの本人確認をし、インサイダーによる脅威から保護します。
さらに、ユーザーとデバイスの活動を追跡できるように、動作分析機能が搭載されたゼロトラストプロテクションソリューションを選択します。
3.ゼロトラストプロテクションの最適化
セキュリティポスチャを監視、評価し、必要に応じてゼロトラストプロテクション戦略とソリューションを更新します。その際には、以下のゼロトラスト原則に従ってください。
- 常時特定:シングルサインオン (SSO) と多要素認証 (MFA) を活用し、ユーザーには生体認証、電子メール、SMS、その他のパスワードレス認証で認証情報を検証することを課します。
- 常時制御:アプリケーションとデータ全体に適切なアクセス制御を適用し、ユーザーが業務遂行に必要なものだけにアクセスできるようにします。
- 常時分析:ネットワークとシステムの活動を記録して検証することで、セキュリティに関する洞察が得られ、セキュリティポスチャの改善に役立てることができます。
- 常時保護:保護が必要なアプリケーションとデータを特定し、それらを内部から保護する方法を検討します。
従業員にもゼロトラストセキュリティを徹底させましょう。適切なトレーニングを受けた従業員は、アプリケーションとデータのセキュリティ確保に貢献できます。
ゼロトラストプロテクションソリューションに求めるべき機能
優れたゼロトラストセキュリティソリューションとは、クライアントやゲートウェイ用にすでに使用しているプラットフォームを補完し、以下の機能を提供するソリューションです。
- クラウド管理型:管理サーバーやインフラストラクチャを必要とせず、いつでも、どこからでも、どのデバイスからでも安全にアクセスできます。
- 他のサイバーセキュリティソリューションとの統合:既存のセキュリティ製品と連携し、1 つのコンソールでサイバーセキュリティのあらゆる側面を管理できます。
- ユーザーエクスペリエンスと管理操作性:摩擦のないユーザーエクスペリエンスを提供し、アプリケーションの問題やその他のセキュリティ問題に関する情報に簡単にアクセスできます。
Sophos ZTNA について
Sophos ZTNA はゼロトラストネットワークアクセス (ZTNA) ソリューションであり、誰でも、どこでも、ビジネスアプリケーションとデータに安全に接続できます。
Sophos ZTNA の主な機能:
- エンドユーザーが必要なアプリケーションとデータに安全にアクセスできるようにします。
- アプリケーションをマイクロセグメント化し、ラテラルムーブメントを阻止します。
- Windows Hello for Business を活用するパスワードレスオプションを使用して、RDP アクセスをロックダウンして保護します。
- サイバー犯罪者がネットワークへの足掛かりとする前に、攻撃経路を排除します。
- 新しいアプリケーションを安全に立ち上げ、ユーザーとデバイスの登録と削除を実行します。
- アプリケーションの状態と使用状況を把握します。
Sophos ZTNA は、スタンドアロン製品としても、Sophos Firewall や Intercept X と完全に統合されたSynchronized Security ソリューションとしてもご利用いただけます。
今すぐお問い合わせください
動画:リモートアクセス VPN とゼロトラストネットワークアクセス (ZTNA) の比較
関連するセキュリティトピック: 脅威ハンティングとは?