ゼロトラストアーキテクチャとは?完全ガイド

組織がゼロ トラストを実装していない場合、サイバー レジリエンスは構築されていません。

サイバーセキュリティの脅威は常に進化しており、従来の防御メカニズムではもはや十分ではありません。侵害やランサムウェア攻撃は避けられないため、組織はゼロトラストを採用することが重要です。

この包括的なガイドでは、ゼロ トラスト アーキテクチャを構築することの意味を詳しく説明し、その中核となる概念、ネットワーク設計の原則、データのセキュリティ保護における重要な役割を探ります。さらに、 ゼロ トラストアーキテクチャの基礎となる、ゼロ トラスト セグメンテーションの重要な側面についても詳しく説明します。

ゼロトラストセキュリティ戦略とは何ですか?

ゼロ トラスト セキュリティ モデルは、本質的に、従来のセキュリティの信頼モデルからのパラダイム シフトです。

リモートワーク、クラウドベースのサービス、ますます複雑化するハイパーコネクテッドネットワークが特徴の時代において、境界中心のモデルはもはや効果的ではありません。境界はもはや存在せず、世界中の環境、ユーザー、デバイスに分散しています。  

従来の予防および検出テクノロジーは、セキュリティスタックの重要な要素ではありますが、ネットワークに明確で静的な境界があるときに構築されました。今日では、避けられない侵害やランサムウェア攻撃の拡散を阻止するには十分ではありません。  

ゼロトラストは、脅威が外部と内部の両方のソースから発生する可能性があることを認識しており、プロアクティブで適応的なセキュリティアプローチが必要です。このモデルは、組織が場所に関係なく、アプリケーションやワークロードを自動的に信頼すべきではないと主張しています。代わりに、侵害が発生することを想定し、侵害封じ込めテクノロジーを使用して準備する必要があります。  

ゼロ トラスト モデルは、2010 年代にJohn Kindervagによって作成され、次の点に重点を置いています。

• オンプレミス環境と並行してパブリッククラウドとプライベートクラウドを含む、場所とホスト間で一貫したセグメンテーションを提供します
• リスクがネットワークの外部と内部の両方に固有のものであると仮定する
• ネットワーク内のあらゆるものが本質的に許可されていると想定していた数十年にわたるセキュリティの信頼モデルに挑戦する

ゼロトラストはテクノロジー、製品、プラットフォームではなく、あらゆる規模、場所、業界のあらゆる組織に実装できるアーキテクチャモデルであることに注意することが重要です。

ゼロトラストアーキテクチャとは何ですか?

ネットワーク境界内では暗黙の信頼があり、ネットワーク境界外では懐疑的な見方を想定する従来のセキュリティモデルとは異なり、ゼロトラストは内部と外部の両方で固有の信頼がゼロであると想定しています。リソースにアクセスしようとするすべてのワークロード、アプリケーション、ユーザー、デバイス、またはシステムは、厳密に認証され、承認され、継続的に監視されます。

すべての侵害とランサムウェアに当てはまることが 1 つあるとすれば、それは彼らが横方向に移動することを好むということです。ゼロトラストアーキテクチャの中心的な焦点は、侵害やランサムウェア攻撃によるラテラルムーブメントとデータ流出のリスクに対処することです。  

ゼロトラストは、移動や流出を完全に防ぐことができるとは想定していません。代わりに、攻撃が発生したときに攻撃を阻止し、遅らせるための事前の対策を講じています。

ゼロトラストアーキテクチャの設計原則の4つのコア原則

ゼロトラストアーキテクチャの実装には、ネットワーク設計における特定の原則とベストプラクティスに従うことが含まれます。堅牢なゼロトラスト ネットワークを構成する 5 つの重要な要素を見てみましょう。  

1. 最小特権アクセス

最小権限の原則により、ユーザーとシステムはタスクを実行するために必要な最小限のアクセスレベルを持つことになります。これにより攻撃対象領域が制限され、セキュリティ インシデントの潜在的な影響が軽減されます。必要な権限のみを付与することで、組織は不正アクセスやデータ侵害のリスクを最小限に抑えることができます。

2. 継続的認証

従来のセキュリティモデルでは、多くの場合、ワークロード、アプリケーション、およびユーザーはエントリーポイントでのみ認証されます。ゼロトラストは、ネットワークの外部と内部の両方で継続的な認証を提唱しています。この動的なアプローチには、ワークロード、アプリケーション、またはユーザーの ID とアクセス権を継続的に評価し、動作、デバイス ステータス、その他のコンテキスト要因のリアルタイムの変化に基づいて調整することが含まれます。

3. エンドポイントの信頼性

ゼロトラストでは、ユーザー認証を超えて、 エンドポイント デバイスの信頼性まで監視対象が拡張されます。組織は、パッチ レベル、セキュリティ構成、組織ポリシーへの準拠などの要素を考慮して、デバイスのセキュリティ体制を評価する必要があります。事前に定義されたセキュリティ標準を満たすデバイスのみにアクセスが許可されます。

4. ゼロトラストセグメンテーション (ZTS)

‍ZTS はマイクロセグメンテーションとも呼ばれ、あらゆるゼロ トラスト アーキテクチャの基本要素です。組織は、ネットワーク全体を防御するためにモノリシックな境界に依存するのではなく、ZTS を使用してネットワーク内に小さな分離されたセグメントを作成します。各セグメントには独自のセキュリティ制御があり、横方向の移動を制限し、潜在的な侵害を抑制します。このきめ細かなアプローチにより、全体的なサイバーレジリエンスが強化され、多くのグローバル セキュリティ コンプライアンス要件の達成に役立ちます。

ゼロトラストセグメンテーション:ゼロトラストの基本コンポーネント  

ZTS は、あらゆるゼロ トラスト アーキテクチャの基礎であり、ネットワーク トラフィックを区分して制御する効果的な手段を提供します。このアプローチでは、ネットワークを、それぞれ独自のセキュリティ制御セットを持つ、より小さな独立したセグメントに分割します。静的な従来のファイアウォールと比較して、ZTS を使用するとネットワークのセグメント化が簡単になります。  

ZTSは、最も差し迫ったセキュリティ課題のいくつかを解決します。

• 横方向の移動を阻止する: ZTS の主な目的の 1 つは、ネットワーク内での侵害やランサムウェア攻撃の拡散 ( 横方向の移動とも呼ばれる) を阻止することです。従来のセキュリティ モデルでは、脅威がネットワークにアクセスすると、自由に移動し、機密データが侵害され、重要な資産にアクセスされ、運用が停止される可能性があります。ZTS は、この横方向の移動を制限し、脅威がネットワーク全体に広がるのを防ぎます。‍
• 重要な資産を分離して保護する:ビジネス機能、データの機密性、およびユーザーの役割に基づいてネットワークをセグメント化することにより、組織は重要な資産の保護を優先できます。強化されたセキュリティ制御により、価値の高いデータとシステムを特定のセグメント内に分離できるため、不正アクセスのリスクが軽減されます。‍
• ハイブリッド攻撃対象領域全体にわたるエンドツーエンドの可視性を実現: ZTS は、クラウド、エンドポイント、データセンターを含むネットワーク全体のすべてのワークロードとアプリケーションのトラフィックおよび通信の完全なエンドツーエンドの可視性がなければ、きめ細かなセグメンテーションは実現できないことを認識しています。組織は、この可視性を利用してセキュリティ リスクに関する洞察を獲得し、セグメンテーションを実行する必要がある場所について、より情報に基づいた意思決定を行うことができます。
• コンプライアンスの促進: ZTS は多くのグローバルな規制コンプライアンス要件を満たしています。ZTS は、エンドツーエンドの可視性を提供し、セキュリティ ポリシーを明確に定義し、ワークロード間の転送中のデータを暗号化することで、組織が業界固有の規制や標準に準拠していることを実証するのに役立ちます。
• 脅威に対するきめ細やかで動的な対応: ZTS は、新たな脅威に対して組織が機敏に対応する能力を強化します。セキュリティ インシデントや疑わしいアクティビティが発生した場合、組織は影響を受けるセグメントを迅速に隔離し、ネットワーク全体への潜在的な影響を最小限に抑えることができます。

ゼロトラストアーキテクチャを実装するための8つのステップ

ゼロトラストアーキテクチャを採用するには、戦略的かつ段階的なアプローチが必要です。ゼロトラストをうまく実装するために組織が取るべき重要な手順と、イルミオZTSがどのように役立つかは次のとおりです。

1. データの特定

ゼロ トラストへの取り組みを始めるには、何を保護する必要があるかを把握することが重要です。インベントリを作成して、機密データがどこにどのようなものであるかを可視化します。

2. トラフィックを発見する

目に見えないものを保護することはできません。Illumio ZTS のアプリケーション依存関係マップを使用すると、アプリケーション間のトラフィック フローとアプリケーションの依存関係を完全にリアルタイムで可視化できるため、組織の攻撃対象領域をより深く理解できるようになります。可視性がネットワークの変更、特にクラウドの急速な変化を反映していることを確認して、ネットワークの状況をリアルタイムで正確に把握できるようにします。

3. セキュリティポリシーを定義する

ネットワークトラフィックフローを確認すると、デフォルト拒否セキュリティルールを使用してゼロトラストアーキテクチャの構築を開始するのに役立ちます。Illumio ZTSは、各アプリケーションに最適なポリシーを自動的に生成し、リスクの高いトラフィックフローや不要なトラフィックフローを特定するのに役立ちます。  

4. 転送中のデータを暗号化する

ゼロトラストアーキテクチャの重要な部分は、多くのコンプライアンス要件に加えて、すべての環境で転送中のデータを暗号化することです。Illumio ZTSは、最新のすべてのオペレーティングシステムに存在するIPSec暗号化ライブラリを使用するIllumio SecureConnectを使用して、個々のワークロードで転送中のデータ暗号化を可能にします。

5. テスト

新しいゼロトラスト セキュリティ ポリシーのテストはワークフローの重要な部分であり、完全な施行を行わずにポリシーがネットワークにどのような影響を与えるかをモデル化する方法を提供します。Illumio のシミュレーション モードを使用すると、セキュリティ チームは、ポリシー実装によるリスクと構成ミスが少なくなり、ネットワークの停止や可用性の問題が発生しないことを確認できます。‍

6. 強制

シミュレーション モードでポリシーをテストしたら、完全に適用します。ポリシー違反のアラートをリアルタイムで追跡します。Illumioを使用して、意味のあるコンテキストデータと組み合わせたアラートを取得し、アプリケーションのライフサイクル全体を完全に可視化します。

7. 監視と保守

エンタープライズセキュリティと実装を維持および維持するには、絶え間ない作業と労力が必要です。ゼロトラストアーキテクチャはテクノロジーではなく、フレームワークとプロセスであることを忘れないでください。学んだことを活かして、企業内の新しいアプリケーションごとにゼロトラストセグメンテーションを実装し、決して信頼せず、常に検証するアプローチを維持しながら、長期的に最適なワークフローを見つけることができます。

8. 自動化とオーケストレーションを採用する

今日の複雑で絶えず変化するネットワークを管理するには、セキュリティチームは自動化とオーケストレーションを採用する必要があります。これらの最新のツールを使用すると、チームは安定した予測可能で信頼性の高いネットワークをより適切に維持できます。  

Illumio の顧客がゼロ トラスト アーキテクチャをどのように構築しているかについて詳しく説明します。弊社の顧客成功事例をお読みください。

プロアクティブで最新のサイバーセキュリティはゼロトラストアーキテクチャから始まる

組織が増大する複雑さとセキュリティの脅威に対処する中、ゼロトラストを採用することは単なる戦略的な選択ではなく、先を行くために必要です。ゼロトラストアーキテクチャは、組織がプロアクティブなサイバーセキュリティのスタンスを取るのに役立ち、ますます相互接続されダイナミックな世界でデータとインフラストラクチャを保護できるようにします。

今すぐ Illumio ZTS について詳しくご覧ください。無料のご相談とデモについてはお問い合わせください。