セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Illumio Editorial
Illumio Editorial
2022年3月18日
23分読む

ゼロトラストセキュリティモデルを広く開かれた環境に実装する方法

セキュリティに保護された境界を備えたオンプレミス ストレージが含まれていたのは、それほど昔のことではなかったことです。組織は、機密データがどこにあるか、物理的なアクセスを許可される人数が限られているため、保護の強さに自信を持つことができました。

これは、私たちが今日住んでいるデジタル世界ではありません。要塞化された境界は、遠隔地の環境とモバイルデバイスの急増に取って代わられています。ビジネス データは現在、世界中のサーバーに格納されている仮想化ストレージに分散されています。これにより、企業に優れた柔軟性と拡張性がもたらされますが、セキュリティギャップを悪用しようとする悪意のある攻撃者の攻撃対象領域も広がります。

この課題に対応するため、セキュリティ専門家はゼロトラスト セキュリティの新しい時代を切り開いています。ゼロ トラスト アプローチの最も基本的な目的は、誰、何、どこにいるかに関係なく、すべてのリソース間のすべてのアクセス要求を検証することです。基本的に、ゼロ トラストはセキュリティに関する考え方と戦略ですが、これを完全に実装するのは難しい場合があります。

この投稿では、ゼロトラスト手法の起源について説明し、ますますリモートで境界のないクラウドファーストの環境で組織がゼロトラストセキュリティを実装する方法について説明します。

ゼロトラストの簡単な歴史

ゼロ トラストという用語は、1990 年代に計算セキュリティに関する博士論文で初めて議論されましたが、現在の意味では使用されていませんでした。この概念は、パラダイムの基礎となる原則について Forrester Research が議論した後、2010 年頃にさらに注目を集めるようになりました

Forrester は、組織内で信頼できる境界という考え方にはリスクがあることを認識していました。認証情報が侵害される可能性があるだけでなく、内部脅威の防止については一切言及されていません。したがって、別段の証明がない限り、すべてのネットワーク トラフィックは信頼できないと見なされる必要があります。

それから数年が経ち、モバイル化が進む(そして今ではリモートワークも増える)労働力が、境界の基本的な概念さえも再定義しつつあります。これとクラウド ソリューションの台頭により、資格情報ベースの認証からのさらなる移行が必要になります。人材に焦点を当てるだけでなく、 ゼロ トラスト フレームワークを拡張してデータに焦点を当てる必要があります。つまり、次世代のセキュリティ ツールでは、ネットワーク アクティビティ、ユーザー アクセスと権限、データ アクセスと使用を考慮する必要があります。

ゼロトラストでは、ユーザーが誰であるかを尋ねるだけでは不十分です。すべてのログイン試行は、次のようなコンテキストを要求する必要があります。

  • デバイスは既知のデバイスとして使用されていますか?
  • ログインは既知の場所またはネットワークから来ていますか?
  • 彼らはどのようなデータまたはアプリケーションにアクセスしようとしていますか?

もちろん、こうしたすべてのコンテキストを要求し、検証することは、ますますオープンになる環境において、言うほど簡単ではありません。セキュリティ専門家は、ますますオープンになるデジタル環境における新たなトレンドに備える必要があります。さらに一歩進んで、現代のセキュリティ環境でゼロ トラスト パラダイムを採用する方法を見ていきます。

ボーダレス環境でのゼロトラストの実装

今日のデータ急増とリモートワークの性質上、かつてのようにセキュリティ境界を適用することはほぼ不可能です。それでは、この戦略を結果とテクノロジー主導のセキュリティパラダイムに変えるためのいくつかの実行可能なステップを見てみましょう。

保護サーフェスの定義

組織の環境を保護するための最初のステップは、その環境を定義することです。本質的には、存在しない境界線を設けようとしているのです。このアプローチでは、すべてのユーザー、デバイス、権限、トラフィックを含むネットワークと環境の全体的な視点が必要です

これは、クラウドベースのサービスを使用したり、サーバーの共有ホスティングを利用したりする場合に特に困難になります。Hosting Data の業界専門家 Alex Williams 氏によると、 リソースを共有するときはいつでも、セキュリティが打撃を受ける可能性があるとのことです。「サーバーの非常に共同的な性質により、ウイルスがサーバーサイト全体に広がり、リンクされている人々に感染する可能性があります」とウィリアムズ氏は言う。「セキュリティをカスタマイズする方法はありません。本質的には、ホスティング チームがあなたを守ることに頼っていることになります。」

特定の設定に関係なく、最新の攻撃対象領域は常に拡大しています。いくつかの方法があります。 攻撃対象領域を定義するしかし、ゼロトラストでは、何を 保護しなければならないかという観点から具体的にアプローチします。

これにより、ビジネスにとって最も価値のあるものに焦点が絞られます。「保護サーフェス」には、次のものが含まれます。

  • データ(個人を特定できる情報や支払いカード情報など)
  • アプリケーション(CRMや支払いプロセスなど、データにアクセスするために使用されるもの)
  • 資産 (POS 端末など、データを処理するサーバーまたは機器)
  • サービス (DNS や Active Directory など、データへのアクセスに使用されるビジネス クリティカルなサービス)

保護されたサーフェスを定義すると、ユーザー認証に関連する従来のアクセス管理に加えて、データ管理と資産管理が統合されます。

ゼロトラストポリシーの草案

保護サーフェスを定義したら、この情報を使用して組織全体のポリシーを正式に設定する必要があります。ゼロトラストでは、誰が、何に、いつ、どこからアクセスできるかを尋ねる必要があります。特定のリソースに対してアクセス要求が行われるたびに、いくつかの質問をする必要があります。

  • 誰がアクセスする必要がありますか?
  • どのデバイスにアクセスできる必要がありますか?
  • ユーザーはいつアクセスできますか?
  • ユーザーはどこからアクセスできますか?
  • リソースは何に使用できますか?

これらの質問は、さまざまな資産やサービスの固有のニーズをカバーするのに十分な具体的な実行可能な手順に変換する必要があります。属性ベースのアクセス制御 (ABAC) モデルは、さまざまなリソース グループの属性を対象としたポリシーを作成するのに役立ちます。

ただし、サービスの種類ごとに異なるポリシーがあるからといって、それが会社全体のポリシーではないということではありません。このテーマに不慣れな場合は、ゼロ トラスト ポリシー戦略の策定について専門家に相談することを検討してください。

「仮想」境界を形成する

仮想境界を強化するために適用できるツールや戦術はいくつかあります。オープンランドスケープでは、ネットワークフローをマッピングし、クラウドネイティブリソースの可視性を高めることが主な焦点となるはずです。

オンプレミスと仮想リソースが混在するハイブリッド クラウド環境がある場合もあります。また、社内ソフトウェアとサードパーティ製ソフトウェアを扱う必要もあります。ABAC モデルは、ルールを統合してより完全な可視性を提供するのに役立ちます。さらに、ゼロ トラストを実施するには、サービスをセグメント化する必要があります。

保護されたソースをきめ細かく制御できるマイクロセグメンテーション ツールは、侵害が発生した場合に攻撃の重大性を軽減するのに役立ちます。クラウドベースのマイクロサービスを使用する場合、セグメンテーションは特に重要です。仮想壁を構築しないと、攻撃者は盗んだ認証情報 1 セットだけでシステムを横方向に移動できるようになります。適切なツールを使用すると、システムの動作をリアルタイムで可視化できるため、ポリシーの適用にも役立ちます。

一貫した監視とテスト

ポリシーと実装に自信が持てるようになったとしても、システムの脆弱性のテストを決してやめるべきではありません。事前に構築されたポリシーをテストして、疑わしいアクティビティが検出され、脅威が発生した場合に緊急措置を講じるために使用できることを確認します。脆弱性をマッピングし、自己満足に陥らないようにするために、社内または外部委託で定期的に敵対的テストを実行することも役立ちます。

チームを教育する

最後に、組織全体でゼロトラストパラダイムを推進するには、ターゲットを絞った教育を使用して全員を参加させる必要があります。IT 部門から経営幹部まで、ポリシーの変更がなぜ実施され、どのような影響を与えるのかを全員が理解することが重要です。

たとえば、アクセス管理と多要素認証によってログインプロセスがどのように変化するか、そしてこれが会社、従業員、顧客にとってなぜ重要なのかについて従業員をトレーニングする必要があります。

結論

デジタルの世界は常に変化しており、セキュリティ専門家はこうした変化に適応する重荷を負っています。ロックダウンされたオンプレミスデバイスの時代は終わり、ハイブリッドクラウド、 エッジコンピューティング、モノのインターネットに置き換えられました。

ゼロトラストは、多層のデータ中心のセキュリティで企業がこの状況に立ち向かうのに役立ちます。そして、適切に実装されれば、セキュリティが不便に感じる理由はありません。むしろ、責任と健全なサイバー衛生を促進する組織全体の優先順位の変化になる可能性があります。

ゼロ トラスト セグメンテーションの先駆者でありリーダーである Illumio がどのように役立つかをご覧ください。

関連トピック

アイテムが見つかりませんでした。

関連記事

イルミオでガートナー ITIOCS NA 2024 に備えましょう!
Segmentation

イルミオでガートナー ITIOCS NA 2024 に備えましょう!

12月10日から12日までラスベガスのベネチアンで開催されるGartner ITIOCS North America 2024のブース206で、イルミオでサイバーセキュリティ戦略を将来にわたって保証する方法をご覧ください。

詳細はこちら
中小企業がゼロトラストセグメンテーションを必要とする10の理由
Segmentation

中小企業がゼロトラストセグメンテーションを必要とする10の理由

中小企業(SMB)が悪質な行為者の最大の標的である理由と、ゼロトラストセグメンテーションで攻撃を封じ込める方法をご覧ください。

詳細はこちら
イルミオイノベーションの振り返り:2024年に構築したもの
Segmentation

イルミオイノベーションの振り返り:2024年に構築したもの

ゼロトラスト、AI 自動化、ランサムウェア保護におけるイルミオの 2024 年トップ イノベーションをご覧ください。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る