マイクロセグメンテーションなくしてゼロトラストはあり得ない理由

ゼロトラストの作成者によると、マイクロセグメンテーションがなければ、ゼロトラストのセキュリティプロジェクトは不完全だそうです。

ゼロトラストのゴッドファーザーであり、イルミオの新しいチーフ・エバンジェリストでもあるジョン・キンダーヴォーグは、インダストリー・ソリューションズ・マーケティング担当シニア・ディレクターのラグー・ナンダクマラに話を聞き、次のことを探りました。

• サイバーセキュリティの従来のトラストモデルの限界
• ゼロトラストセキュリティの本質
• ゼロトラストを実現するためにマイクロセグメンテーション（ゼロトラストセグメンテーションとも呼ばれる）が不可欠な理由

彼らのディスカッションの抜粋を見る:

トラストモデル:サイバーセキュリティの最大のリスク

Kindervagが1990年代後半にサイバーセキュリティの仕事を始めたとき、彼はアプリケーションとワークロードを保護するためにファイアウォールだけをインストールしていました。これは、彼が「本当に嫌っていた」サイバーセキュリティのトラストモデルに依存していました。

「トラストモデルはセキュリティポリシーを台無しにした」と彼は説明した。「物理インターフェースには信頼レベルを割り当てるでしょう。何かが内部ネットワークに向かっている場合、信頼レベルは100、つまり最も高い信頼レベルになり、インターネット接続はゼロ、つまり最低の信頼レベルになります。それ以外はすべて、0 から 100 までの間の一意の数字が付けられます。 適応型セキュリティアルゴリズムと呼ばれていましたが、適応型でも安全でもありませんでした。」

Trust モデルは、ネットワーク内のすべてのワークロードを暗黙的に信頼します。これにより、どうしてもファイアウォールを通過する悪質なワークロードが、ネットワーク内から組織の最も価値の高いデータに自由かつ迅速に移動できるようになります。

Kindervag氏は、トラストモデルが極めてリスクの高い結果をもたらすことを目の当たりにしたときの話を次のように語っています。「米国財務省でプロジェクトに取り組んでいたとき、大量のデータが流出して、ウクライナに解決したIPアドレスに送られることに気付きました。そして、サーバーの IP アドレスを解決したところ、そのサーバーは州の金融システムでした。「なぜ国の真ん中にあるこの州の財務データがすべてウクライナに送られるのか」と自問しました。」

Kindervagが部門のセキュリティチームにこの質問をしたとき、彼らには答えがありませんでした。さらに悪いことに、彼らには交通の流れをすぐに止める権限がありませんでした。

「私は『何が許されているの？』と尋ねました。彼は一枚の紙を掲げて、この用紙に記入するように言った。私は、『ああ、セキュリティがひどく壊れている』と思いました。」

Kindervagは財務省での経験から、サイバーセキュリティに対するより良い、より近代的なアプローチを見つけることに関心を持つようになりました。彼はこの経験を「ゼロトラストになったものの起源の一部」と呼びました。

トラストモデルの何が問題なの？ゼロトラストの起源

Kindervagは、トラストモデルの基礎は、私たちがネットワークを理解しようとした方法に由来すると考えています。

「私たちは人間の世界を取り上げて、それをデジタルの世界に直接移植しようとしました」と彼は言います。「それはうまくいきません。わかりやすくするためにネットワークを擬人化していたのですが、それが原因でこのような根本的な問題が発生し、大規模なデータ漏えいにつながっていました。」

Kindervagは、人をネットワーク上にいると言うのが一般的だが、それは何が起こっているのかを正確に反映したものではないと説明した。実際には、パケットは人ではなくネットワーク上にあります。「人が信頼できないと言っているのではありません。私は、人はパケットではないと言っているのです」と彼は言います。

Kindervagの視点から見ると、人々はネットワーク上にいるというこの欠陥のある見方は、ネットワーク内には暗黙の信頼が必要であるという考えが根強く残っています。セキュリティチームは、同僚を信用していないと組織に思わせたくありません。

しかし、目標が人ではなくワークロードの信頼性に疑問を投げかけることであれば、トラストモデルの欠点、そしてKindervagのゼロトラストモデルの重要性がはるかにわかりやすくなります。

特に今日の進化し続ける脅威環境では、侵害がネットワークの境界を越えて広がることは避けられません。ゼロトラストは、これらの侵害が侵入したら暗黙的に信頼されないようにするため、トラストモデルは今日の複雑なネットワークには無関係で不適当なものになります。

Kindervagによると、「ゼロトラストは、機密データや規制対象データが悪意のある攻撃者の手に渡るデータ漏えいを防ぎ、その他のサイバーセキュリティ攻撃を成功させないようにすることを目的としたサイバーセキュリティ戦略です。」

言い換えれば、ゼロトラストは成功した攻撃を失敗した攻撃に変えます。Kindervagによると、このメッセージは「あらゆる組織の最高レベルの人々の共感を呼ぶように設計されているが、市販の市販のテクノロジーを使用して戦術的に実装する必要がある」とのことです。

ゼロトラストがマイクロセグメンテーションを必要とする理由

現在、多くの組織がゼロトラストプログラムを開始していますが、Kindervag氏は、サイバーセキュリティチームがZTNAを実装したらゼロトラストを達成したと誤解していると述べています。

「なぜ彼らは間違っているのですか？」キンダーヴォーグに聞いた。「彼らは何を保護しているのかわからないので、保護しているものにできるだけ近いコントロールができないからです。」

多くの場合、組織は明確な戦略やプロセスではなく、テクノロジーを使ってゼロトラストを実現したいと考えています。これにより、自社の攻撃対象領域を把握して理解し、ひいてはネットワークの保護に必要なきめ細かなポリシーを実装することができなくなります。保護が必要なリソース、アプリケーション、またはデータの近くでセキュリティ制御を行わなければ、ゼロトラストは成り立ちません。

「最初に知っておくべきことは、何を保護しているのかということです。見えないものは守れない」とキンダーヴォーグは説明する。「次に、保護しようとしているものにできるだけ近い場所にコントロールを配置してください。それがセグメンテーションという行為です。」

ゼロトラストセグメンテーション（ZTS）とも呼ばれるマイクロセグメンテーションを実装することで、セキュリティチームは悪意のある攻撃者がネットワークを介して拡散することを困難にし、組織全体に大きなメリットをもたらします。

ゼロトラストセグメンテーションのROIとは？

セキュリティチームは、ZTSが自社のゼロトラストアーキテクチャの基盤であると同時に、組織全体のセキュリティプロセスとネットワークユーザーエクスペリエンスを向上させるための基礎にもなり得ることを認識しつつあります。

Kindervagは、ZTSがROIを実現する4つの主な方法を挙げました。

1. 経費の削減: ZTS では複数のツールを統合できます

2. 使いやすさの向上: ZTSはセキュリティツールの数を減らすことで、セキュリティチーム、そして組織全体が簡単にセキュリティと連携し、必要なデータやリソースにアクセスできるようにします。

3. 運用の柔軟性の向上: Kindervagは、ポリシーの作成と展開が非常に簡単なため、ZTSはセキュリティチームの作業負荷を7〜10倍削減すると推定しています。

4. 侵害の影響を軽減: 侵入口で侵入を封じ込めることで、ZTSは侵害がネットワーク全体に広がるのを防ぎます。これにより、侵害の修復コスト、法的問題や手数料が軽減され、顧客や利害関係者の信頼への影響も軽減されます。

サイバーセキュリティが何十年も頼りにしてきた従来のトラストモデルは不十分であり、本質的に欠陥があることが証明されています。侵害は依然としてネットワーク内を自由に移動でき、最終的には大きなリスクと結果につながります。

ゼロトラストは今日のセキュリティ脅威への最善の対応であり、サイバーセキュリティ戦略を変革しています。しかし、ゼロトラストは単独では存在できません。そのためには、ゼロトラストセグメンテーションという重要なパートナーが必要です。

今すぐお問い合わせ 組織でゼロトラストセグメンテーションを始める方法について詳しく学んでください。