企業ネットワークと単一のセキュリティ境界を構築する時代は終わりつつあります。ユーザーは、公共のインターネットを介してリモートで作業をすることが増えています。SaaS (Software-as-a-Service) アプリ、クラウドプラットフォーム、およびその他のクラウドベースのサービスの増加により、主な要素としてネットワークを使用してリソースを保護する効果が失われてきています。単一で外部から隔離された企業ネットワークに依存することはもはやなくなり、ネットワーク内に存在するすべてのシステムを信頼する余裕がなくなりました。
ゼロトラストへの参入とは、セキュリティについて熟考し、どのように対応するかに関するサイバーセキュリティの理念です。ゼロトラストは、「何も信頼せず、すべてを検証する」という前提に基づいており、物理的またはデジタル的な場所に関係なくリソースを保護し、初めから何も信頼しないことに重点を置いています。
ゼロトラストを実現させるベンダー、製品、テクノロジーはありません。むしろ、組織内の文化的な変革と、リソースを保護するパラダイムを変化させるさまざまなソリューションが必要です。こちらの記事では、ゼロトラストの概念、ゼロトラストモデルを実装するメリット、および組織がゼロトラストモデルへ移行するために必要な手順について説明します。
ゼロトラストとは何ですか?
ゼロトラストは、セキュリティについて熟考し、どのように対応するかを考えるモデルと理念です。
企業ネットワークの内部であれ外部、またはネットワーク自体であっても、疑うことなく誰かや何かを信じたりするべきではありません。従来のファイアウォールのような静的防御を使用して、暗黙的な信頼をネットワークの場所に基づいて制限する必要があります。
最終的には何かを信頼する必要がありますが、ゼロトラストでは、この信頼は一時的なものであり、これまでに使用した以上に複数のデータソースから動的に確立され、常に再評価されます。
信頼されていないネットワークに関しては、インターネットを日常的に使用することで何度も経験しています。公共のインターネットを使用するコンピュータは、従来の境界内のコンピュータとはまったく異なる方法でセキュリティが保護されます。外部の脅威からコンピュータを保護するには、特別な監視と多層防御が必要となります。
ゼロトラストモデルでは、すべてのデバイスをインターネットに接続しているかのように使用できます。 単一の境界を設定するのではなく、すべてのデバイス間にチェックとコントロールを適用して、マイクロ境界を作成する必要があります。
ゼロ・トラストを採用する主なメリット
ゼロトラストモデルを採用することで、数多くのメリットが生じます。そのため、お客様の生活をよりスムーズにするためにコアモデルのいくつかをご紹介します。
-
IT 資産全体の管理
オフィス内から、ユーザーが使用するクラウドプラットフォームまでを制御企業の境界外での制御が不足したり、リモートユーザとの連携に苦労したりすることはもうありません。 -
すべてのユーザーを同じ方法で管理、保護
企業の境界の内側や外側がなくなったため、すべてのユーザーを同じように扱うことができます。これにより、IT セキュリティが簡素化されるだけでなく、すべてのデバイスとユーザーが等しく扱われるようになります。 -
使用中のインフラストラクチャを完全に制御していない場合でさえも、セキュリティを保持
アイデンティティ、場所、デバイスのセキュリティ状態、MFA、オーバーレイの監視と分析を使用することで、あらゆる種類の環境、プラットフォーム、サービスにわたって強力なセキュリティを維持できます。 -
マルウェアや攻撃者の動きが大幅に減少
攻撃者は一旦内部に侵入したら、ネットワーク全体をすべて思い通りにするというよりも、侵害されたユーザーがアクセスした最小限のシステムにしかアクセスしません。認証されたユーザーを信頼し続けないことで、システム間でチェックが実施され、分散する機能がさらに制限されます。
ゼロトラストの概要
ゼロトラストとは大きな発想であるため、それに関して多くの議論が展開されています。基本的に、経験に沿って心に留めておくべきいくつかのゼロトラストに対する主な概念を要約しておきます。
ネットワークに「内部」は存在しない
例えば、カフェの公共 Wi-Fi など、信頼できない場所から仕事をしているとします。そこで、すべてのデバイスが公共のインターネットなど、すべてのネットワークの中で最も危険な場所に直接接続されていると想定しましょう。これが実際に起こっていると想像することで、従来の企業の境界を盾にする方法でないやり方で、セキュリティを適用しなければいけません。
何も信頼せず、すべてを検証
ネットワークの内部と外部の両方に攻撃者がどのような時も存在し、常に攻撃をしていると想定します。ユーザーやデバイスは自動的に信頼されないようにし、接続を考慮する前に認証する必要があります。
セキュリティはリアルタイムな適用が必要
ゼロトラストを実現するために導入するセキュリティポリシーは、できるだけ多くのデータソースとできるだけ多くの異なる技術からの洞察に基づき、動的で自動的に変更される必要があります。静的ポリシーは、もしそのユーザーがデバイスを使用している時にデバイスが侵害された場合は、ユーザーは保護されません。悪意のある動作の識別のように、ユーザーのポリシーがデバイスのセキュリティ状態も考慮している場合、ポリシーはこの考慮を適用して、動的に適応できます。
ゼロ・トラストの原則
絶対に何も信頼しない。何も信頼しない場合は、リスクがある場所に関連するセキュリティ対策を講じる必要があります。
すべてを検証する。小切手を渡せば自然と信頼をもたらすと思い込んではいけません。認証情報を持っているということは、本当の意味での信頼ではありません。それは、ただ単に認証情報があるというだけです。認証情報は盗まれる可能性があります。
このことを 4つのシンプルな原則に分類するので、ご留意ください。
常に識別
単一の信頼できる ID が必要となり、SSO (シングルサインオン) 使用してあらゆる場所で使用できます。すべては、多要素認証 (MFA) を使用して認証される必要があります。ユーザーがどこにいても、アクセスしようしているものが何であれ、認証情報を検証し、二要素 (多要素) 認証があることを検証し、定期的に再認証をしてください。
常に制御
必要な個所に制御とチェックを適用し、最小権限の原則を採用して実行します。ユーザーは、ジョブを実行するために必要な最小限の権限のみにアクセスできるようにする必要があります。例えば、ドイツ人のスタッフのみが使用する人事システムがある場合は、ドイツ人のスタッフのみがアクセスできるようにします。たとえアクセスのリスクが低いと思われていても、誰にでもアクセス権を与えるべきではありません。
常に分析
認証が上手くいったり、そのユーザーまたはデバイスにアクセスが許可されたからといって、信頼できるという意味ではありません。インサイダーの脅威や悪意のある攻撃者が、有効な認証で情報にアクセスする可能性もあります。すべてのネットワークおよびシステムアクティビティを記録し、定期的にアクセスを分析、検証して、認証後に発生することを確認します。SIEM (セキュリティ情報およびイベント管理)、EDR (Endpoint Detection and Response)、MDR (Managed Detection and Response) は、まさにこのニーズに対応するために登場しました。
常に保護
サイバーセキュリティに対して「インサイドアウト」のアプローチを使用します。重要なデータに焦点を当て、データが作成された瞬間から削除される瞬間までのネットワーク内のデータの流れに従って、脆弱性のポイントを特定する必要があります。
ゼロトラストの原則を把握したら、それに向かって行動することができます。こちらについては、PDF バージョンの記事で参照できます。
ゼロトラストのテクノロジースタック
ネットワーク上のすべてのリソースとアセットを保護するには、多くの技術を必要とします。すべての問題を解決する単一のベンダー、製品、またはテクノロジーは存在しません。
ゼロトラストのテクノロジースタックは、ゼロトラストの管理と、さまざまなリソースとアセットにおけるセキュリティと制御という 2つの主要な領域に対応する必要があります。
管理は、次の 3つのサブ領域に分類されます。
-
オートメーションとオーケストレーション – 動的なポリシーの定義、さまざまな技術の調整、すべての実装を行う
-
可視性と解析 – ネットワークを常に監視し、すべてが正常に機能していることを確認するだけでなく、脅威や侵害が発生した場合はそれらを特定
-
API – さまざまなテクノロジーを統合して、1つのシステムから別のシステムにデータを取り込むことが可能
リソースとアセットは、次の 5つのサブ領域に分類されます。
-
従業員 – 業務をする上で連携するユーザー、管理者など
-
データ – すべての組織にとって必要不可欠であり、最も大切な資産
-
デバイス – 業務の遂行に使用するサーバー、ノート PC、仮想マシンなど
-
ワークロード – データ処理、計算処理、レポート生成などに使用するサービスとアプリ
-
ネットワーク – データフロー、Web、メール、Wi-Fi、インターネットなどの通信チャネル
ソフォスが提供するサポート
シングルベンダーが組織をゼロトラストモデルに移行することはできませんが、ソフォスにお問合せ頂ければ移行に役立つさまざまなテクノロジーをご紹介させていただきます。
ゼロトラストの管理
Sophos Central クラウドネイティブのサイバーセキュリティプラットフォームにより、ゼロトラスト環境を管理すべてのテクノロジーをシングルコンソールでオーケストレーションして、1か所で監視し、API を使用してお客様が現在お使いの他のサードパーティ技術と連携させます。
また、SIEM を使用して、ソフォス以外の製品やソフォス製品からログを集約し、現在の状況を完全に監視することが容易になります。ソフォスの API を使用すると、Sophos Central プラットフォームから情報を簡単に入手し、使用しているどんな SIEM にもアクセスできます。
Sophos Central を介して制御される Sophos Synchronized Security も、ここで大きな役割を果たします。Synchronized Security を有効にすると、ソフォスソリューションは情報を相互に共有し、インシデントに自動的に対応します。ゼロトラストのコンテキストでは、ソリューションは動的なポリシーを通じて状況に適応し、マシンの隔離などのような複雑なタスクを自動化できます。
リソースとアセットのセキュリティと制御
ソフォスの製品の多くは、複数のリソースとアセットを同時に保護するのに役立ちますが、決して 1つの技術を採用して移行するという意味ではありません。たとえば、ユーザーを保護するには、強靭なゼロトラストのアーキテクチャネットワークの一部として、多数の異なるテクノロジーが必要となります。
Cloud Optix
パブリッククラウド、データ、デバイス、ワークロード、ネットワーク内のセキュリティを確保するのに役立ちます。
Phish Threat
従業員の安全を確保するのに役立ちます。
SafeGuard
データの保護に役立ちます。
Sophos Wireless
ネットワークのセキュリティ保護に役立ちます。
Intercept X
すべてのリソースとアセットを保護できます。
Managed Threat Response
すべてのリソースとアセットを保護できます。
XG Firewall
すべてのリソースとアセットを保護できます。
Sophos Mobile
デバイス、データ、従業員の安全を確保するのに役立ちます。
Intercept X for Server
ユーザーのデバイスとワークロードの両方を保護できます。
Secure Web Gateway
ネットワークとワークロードの両方を保護できます。
Sophos Email
ネットワークとワークロードを保護に役立ちます。
Sophos Home
従業員の安全を確保するのに役立ちます。
これらの技術を採用することで、ゼロトラストモデルに移行する時も安心です。しかし、ユーザーがどこにいてもクラウドサービスを利用できるようにするには、すべてのシステムとサービスで単一の信頼できるアイデンティティソースを使用するために、SSO を備えた強力な IAM ソリューションが必要になります。これはゼロトラストの重要な部分です。
まとめ
現状では、ゼロトラストはサイバーセキュリティに対する基本的理念にすぎず、すぐに受け入れられることはほとんどありません。しかし、セキュリティの境界が頻繁に失われてくるにつれ、導入の必要性がますます高まっています。サイバー犯罪者は革新的に成長してきているので、防御策として対応するのに苦労しています。ゼロトラストモデルとは、サイバーセキュリティプロトコルの新しい基準を設定しながら、脅威を最小化する方法です。
今までの考え方を変えていきましょう。今こそサイバーセキュリティを進化させるときです。
Sophos Central でゼロトラスト環境を管理
30日間有効な Sophos Central の無償評価版で、お客様のゼロトラストの計画にどのように適用するかお試しください。
また、すべての製品へのゲートウェイとしても機能します。
-
統合コンソール - すべてのソフォス製品を単一の Web ベースのインターフェイスから管理します。
-
すべての製品 - ソフォスのエンドポイント、ファイアウォール、メール、モバイル、サーバ保護など、スイート全般をご利用いただけます。30日間お試しいただだけます。クレジットカード情報を入力する必要はありません。自動的に試用期間は更新されません。
-
インスタントアクセス - 数分で起動して実行します。ソフォス製品は、現在ご使用のベンダーと並行して動作します。