Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

Zero Trustセキュリティモデル

Zero Trustのスローガンは「決して信頼せずすべてを確認する」です。

現在の組織を真に保護するためには、Zero Trustセキュリティモデルを実装し、次の主要原則に従って運用する必要があります。

  • 継続的な検証
  • 侵害された場合の被害半径を限定する
  • 分析収集と脅威への対応を自動化する

Zero Trustセキュリティは、要求されたすべてのリソース(オンプレミス、クラウド、ハイブリッド)に対するユーザのアクセス権限(人間と機械)を継続的に検証し、ユーザアクションを監視してベースライン行動分析と比較し、高度な検証や即時アクションが必要な異常がないかをチェックします。

One Identityが貴社のZero Trustを実現するのに役立つ仕組みをご覧ください

Zero Trustのメリット

1. 組織に不可欠なものを保護する

Zero Trustモデルは、現代のビジネスで実施されている最新でクラウドファーストかつリモートワークの方式をサポートする方法で、組織にとって不可欠な従業員、アプリケーション、およびデータを保護します。これは、すべてのリソースが保護されたネットワーク内に存在し、すべてのユーザがログイン時に安全に検査されることが前提だった従来の境界ベースのセキュリティをはるかに超えています。最新の企業のインフラストラクチャは、複数の物理サイト、無数の仮想マシン、パブリックおよびプライベートのクラウドシステム、いくつものプラットフォーム、環境、およびオペレーティングシステムに分散しています。そして、ユーザはリモートで作業し、複数のデバイスからアクセスしています。従来の境界モデルは時代遅れなのです。

2. デジタル変革に対応して保護する

クラウドとSaaSベースのリソースを安全に統合し、ユーザがほぼどこからでも作業でき、複数のデバイスで接続できるようにします。Zero Trustアーキテクチャはネットワークセキュリティ、情報セキュリティ、およびクラウドセキュリティを向上させます。システムの脆弱性を解消することで、悪意あるマルウェア、フィッシング、未承認のユーザによるアクセス、およびIDの侵害のリスクが大幅に低減されます。

3. 潜在的な侵害による損害を抑える

すべての接続、すべてのユーザ、すべてのリソースが、悪意のある攻撃者の侵入地点になる可能性があります。Zero Trust制御を使用すると、ユーザの権限とIDが確認されるまで、アクセスは許可されません。このため、侵害による潜在的な損害は限定的で、より簡単に検知できます。ユーザが業務に必要な(それ以上でもそれ以下でもなく)リソースのみにアクセスできるように制御できます。

4. ジャスト・イン・タイム(JIT)プロビジョニングを実装する

ユーザと資産を保護するワークフロー(JITプロビジョニング)で、必要に応じて即座にプロビジョニングできる機能を使用し、リソースへのアクセスを厳密に制御することで資産を保護します。貴重なITヘルプデスクの時間も節約でき、組織がピーク時に必要なアクセスを安全に拡張することもできます。
Zero Trustの定義とは

Zero Trustセキュリティとは

Zero Trustセキュリティは、堅牢で選択的なサイバーセキュリティを実装するための実証済みのモデルです。Zero Trustは、脆弱な権限、不必要なアクセス、過剰なアクセスを取り除き、特定の委任と細部にわたる適切なプロビジョニングを実現します。

  • Zero Trustを有効化すると、管理者パスワードを共有することがなくなり、管理者のアクションすべてに対し、個別かつ動的に認証を行うことができます。
  • 最小権限を確実に実装する場合、ある管理者の仕事に必要な権限のみを過不足なく発行する作業が含まれます。
  • 有効なZero Trustアーキテクチャは、企業のセキュリティ体制とコンプライアンスを向上させると同時に、潜在的な侵入に対する機密データおよび資産の露出を抑えることができます。
Zero Trustモデルの7つの中心原則(NIST SP800-207)とは

Zero Trustモデルの7つの中心原則(NIST SP800-207)とは

  1. すべてのデータソースとコンピューティングサービスをリソースと見なす。
  2. すべての通信は、ネットワークの場所にかかわらずセキュリティが確保される。
  3. 個々のエンタープライズリソースへのアクセスは、セッションごとを基本として承認される。
  4. リソースへのアクセス権は、動的なポリシーにより決定される。これはクライアントID、アプリケーションやサービス、および要求する資産の観測できる状況を含み、その他の挙動および環境の属性が含まれる場合もある。
  5. 企業は、所有する資産および関連する資産すべての完全性とセキュリティ態勢を監視および測定する。
  6. すべてのリソースの認証および承認は、アクセスを許可する前に動的かつ厳密に実行される。
  7. 企業は、資産、ネットワークインフラストラクチャ、および通信の現状に関する情報をできる限り収集して、セキュリティ体制の改善に使用する

Zero Trustセキュリティが必要な理由

2021年の第1四半期から第2四半期の間で、データ漏洩の発生件数は38 %まで増加しました。データ漏洩による平均コストは、2020年の386万ドルに対し、2021年は424万ドルになりました。さらに、サイバー犯罪による損害額は、2025年までに10兆5千億ドルを突破すると推測されています。このような脅威に対処するため、ITセキュリティへの投資が増加しています。それでも未だに、ITセキュリティリーダーの78%が、自分の組織はサイバー攻撃に対し十分保護されていないと考えています。この課題を解決するため、多くの企業がZero Trustセキュリティモデルを採用しています。

従来の信用モデルでは、組織内部のネットワークにあるものはすべて信用できると想定していました。Zero Trustセキュリティでは、その点が大きく異なります。「信用」を「脆弱性」と同じものとして認識するのです。組織のネットワークを攻撃者から保護するためには、この脆弱性を完全に排除する必要があります。それがZero Trustセキュリティが必要になる理由です。

Zero Trustセキュリティ通説トップ5の真実

Zero Trustを実現させる方法

Zero Trustを実現する方法

組織でZero Trustを達成可能にするには、統一IDセキュリティプラットフォームによる統合アプローチが必要です。IDのセキュリティ確保と管理のための手法を熟考の上作り出すことは非常に複雑なタスクですが、セキュリティにおける重要なピースは、その実装方法です。Zero Trustは、従来の境界防御をIDベースの恒常的な動的制御に置き換えます。したがって、これらのIDを管理し保護することがすべてのZTプロジェクトの焦点となり、統一IDセキュリティプラットフォームによって新しいセキュリティ体制が実現されます。
Zero Trustへの取り組みの第一歩

Zero Trustへの取り組みの第一歩

ほとんどの組織にとって、 Zero Trustの実装は、この領域におけるすべての取り組みを定義する既に進行中のセキュリティプロジェクトです。構築の鍵はID、つまり、IDを保護し、IDを管理するための正確で耐久性のあるプロセスを実装し、完全な制御と監視の下で特権IDを取得することです。これらの基礎が整ったとき、組織は最小特権の構えや常時認証の導入に取り組み、現在使用されているレガシーシステムとは根本的に異なるZTNAのような次世代テクノロジーに投資を開始できるのです。

これを開始する簡単な方法は、Zero Trust(およびトラストネットワーク)を実装し、セグメンテーションを使用して、セキュリティポリシーに基づいて隔離されたゾーンを作成することです。例えば、社内ユーザおよびデバイス用の高信頼ゾーン、外部ユーザおよびデバイス用の低信頼ゾーン、信頼できない、または不明なエンティティ用の非信頼ゾーンをネットワークに設定することができます。各ゾーンには、異なる認証および承認機構、暗号化標準、ファイアウォール用のルール、および監視ツールを指定できます。このように、セグメンテーションは、攻撃対象領域の削減、攻撃者のラテラルムーブメントの制限、最小特権の原理の適用に役立ちます。

Zero Trustアーキテクチャの構築に取り組むための前提条件とは

Zero Trustを成功させるには、IDの無秩序な増加に対処するために、網を十分に広げて張ることから始めます。これは、つまり、人だけではなく、マシンのIDや、組織が多世代、ハイブリッド、およびエッジのIT環境に移行するのに伴って拡大し続けるアカウントにも注目するということです。円を小さく描きすぎると、悪意のある攻撃者のために通用口を開けっ放しにしておくことになります。

もう1つの重要な前提条件は、境界でのセキュリティを最適化することですべてを保護しようとする従来の手法から、侵害は避けられないと想定して代わりにすべてを検証するために投資を最適化する考え方に変えることです。コンテキストに基づく認識、セッション監視、行動分析を活用することで、組織は、組織に対する新たな脅威をより迅速かつ効率的に予測、検知して、是正措置を講じることができます。

最後に、Zero Trustは既存のネットワークに合わせて改造する必要があるため、既存のインフラストラクチャに実装するのが難しい場合があります。既存のシステム、アプリケーション、およびネットワークに対して、IT管理者は、既存の環境にZero Trustをどのように重ね合わせられるかを決定する必要があります。

NISTのZero Trustアーキテクチャとは

アメリカ国立標準技術研究所(NIST)によれば、Zero Trustアーキテクチャ(ZTA)とは、Zero Trustの原則に基づいた企業のサイバーセキュリティアーキテクチャで、データ漏洩を防止し、内部のラテラルムーブメントを制限するよう設計されているものです。

Zero Trustアーキテクチャ(ZTA)では、組織のサイバーセキュリティを強化し、脅威から資産を保護することを目指しています。このアーキテクチャでは、脅威は従来のネットワーク境界の内部と外部の両方に存在すると認識しており、セキュリティ侵害は避けられないものと想定しています。さらに重要なのが、ユーザには業務の実行に必要とされるアクセス権のみを与えるという点です。最終的に、異常なアクティビティや不正行為の可能性があるアクティビティを特定し、サイバー攻撃がネットワーク全体に拡大することを防止します。

Zero Trustの原則を使用して取り組む最大の阻害要因とは

前途有望なZero Trustを実現する上での主な阻害要因は断片化です。今日、ほとんどの組織がアクセス権の対処でこの問題に直面しています。平均的な大企業は、アクセス権を管理するために25の異なるシステムを使用しています(出典: 第3回グローバル・パスワード・セキュリティ年次報告書(英語版))。このサイロ化されたアプローチが、可視性を制限し、ギャップや不整合、さらには多くのリスクを引き起こします。このアプローチには複雑性も内在し、組織は常時接続の特権を付与することを余儀なくされます。

Zero Trustの実装を目指している先見性のある多くの組織は現在、この問題を別の角度から見ています。問題をより全体的な視点で捉え、IDセキュリティに統一されたアプローチを取ることで、サイロを橋渡しし、すべてのIDが相互に関連付けられ、可視化されるようにします。権限の追加、削除、調整をより適切かつ迅速に行うことができ、これがZero Trust戦略の基礎となります。

2つ目の関連する阻害要因は、アプリケーション間の統合ワークフローに関する自動化の欠如です。多くの組織がZero Trustを追求する方法がばらばらであることを考えると、これはよくあることです。組織がZero Trustのさまざまな要素(IDや特権など)に対処するために最善のソリューションを組み合わせる場合でも、製品が統合されていないために、多くの摩擦があります。活動を合理化し、最適な結果を達成するために、組織は自動化されたオーケストレーションを優先する必要があります。

組織が取り組み中のZero Trustイニシアティブでプロジェクトの失敗を最も招きやすい要因とは

Zero Trustプロジェクトが失敗する理由の多くについて既に説明しました。すべてのIDに網を十分に広げて張っていない、継続的な検証に集中する考え方に変えていない、この戦略を断片的な方法で追求しているなどがありました。

失敗のもう1つのポイントが、矮小化して期間を短く見積もることです。計画の初期段階であっても、脅威の状況(さらにはITの状況)がもはや静止していることはないことの認識が重要です。特定のプロセスセットにロックインされたり、ハイブリッドインフラストラクチャに制約されたりすることのない、柔軟で動的なサイバーセキュリティ戦略を実装することが重要です。継続的に適応できるようになることで、ユーザの役割や責任の変化、ITインフラストラクチャの変化、そして当然ながら、新たに発生する脅威に迅速に対応できます。

今すぐ開始する

貴社でZero Trustを実現させましょう