ゼロトラストの導入方法:5つのステップと導入チェックリスト

ZTNA:ゼロトラストネットワークアクセス

ゼロトラストを導入するには?

ゼロトラストセキュリティモデルにより、データとITリソースのセキュリティを強化すると同時に、エコシステムの可視化を拡張できます。ゼロトラスト導入には、一般的にはネットワークへのマイクロセグメンテーションの追加、多要素認証の追加、エンドポイントデバイスの検証など、最低5つのステップが含まれます。

ゼロトラストの導入ステップおよびゼロトラスト技術ソリューションを選定中に考慮すべき重要なポイントについて説明します。また、ゼロトラスト導入に伴う課題およびそれらに対処する方法も説明します。

これは、ゼロトラストネットワークアクセス(ZTNA)に関する連載記事の一部です。

ゼロトラスト導入の5つのステップ

ゼロトラスト導入に役立ついくつかの原則と技術を以下に示します:

1 SASEの導入

SASE(セキュアアクセスサービスエッジ)は、SD-WANとネットワークセキュリティポイントソリューションを一元化し、クラウドネイティブサービスに統合します。ゼロトラスト戦略の一環として、SASEを導入できます。ここでは、SASEソリューションを検討する際に考慮すべきポイントについて説明します。

  • 統合- 既存のネットワークアーキテクチャとシームレスに統合できる、SASEソリューションを選定するのが理想的。例えば、重要なインフラをオンプレミスで運用している場合、クラウドリソースやレガシーインフラへ安全に接続できるゼロトラストコンポーネントを提供するSASEソリューションを選択するのが賢明です。
  • 機能- 潜在的な脅威を阻止し、侵害された場合の被害を軽減する機能を提供するSASEソリューションが必要。これには、例えばマイクロセグメンテーション、パッチ適用、サンドボックス、IDアクセス管理などが含まれます。
  • 封じ込め- 侵害の防止を完全に保証することはできない。ネットワークに侵入した脅威を確実に封じ込めて、全体的な影響を軽減するSASEソリューションを選択するのが理想的です。

SASEは、以下の技術をすべて単一のマネージドサービスにパッケージ化しているため、より容易に導入できます。

2マイクロセグメンテーションの利用

マイクロセグメンテーションは、セキュリティの境界線をより小さなゾーンに分割します。これにより、ネットワークの特定部分へのアクセスを分離できます。この分離により、特定の関連ゾーンへのアクセスを一部のユーザー、アプリケーション、サービスにのみ許可し、他のゾーンへのアクセスを制限できます。

関連コンテンツ:CATOのゼロトラストネットワークに関するガイド

3多要素認証(MFA)の適用

MFAは、複数の認証要素入力をユーザーに要求します:

  • 知識要素 – パターン、パスワード、PINなど、ユーザのみが知っている情報。
  • 要素 – スマートカード、スマートフォン、ATMカードなど、ユーザが所有している情報または物品。
  • 生体要素:網膜スキャン、顔スキャン、指紋など、ユーザーの生体特性。

すべての要素が正常に検証された場合のみ認証されます。

4最小特権原則(PoLP)の導入

PoLPは、ユーザーのアクセスや許可を業務遂行に最低限必要な範囲に絞り込みます。例えば、リソースやファイルの実行、読み込み/書き込みなど、最小限のアクセス許可をユーザーに付与できます。

また、システム、アプリケーション、デバイス、プロセスなど、人以外に紐付くリソースにも最小特権原則を適用してアクセスを制限できます。これにより、許可されているアクティビティの実行に必要な権限のみがリソースに付与されます。

5すべてのエンドポイントデバイスを検証

何も信用せずに、すべてのデバイスを検証します。ゼロトラストセキュリティにより、エンドポイントを検証し、IDに基づくアクセス制御をエンドポイントレベルまで拡張できます。通常は、リソースにアクセスを許可する前に、デバイス登録を確認します。デバイス登録により、デバイスを容易に特定および検証できます。デバイスの検証により、リソースのアクセスに使用するエンドポイントがセキュリティ要件を満たしているかどうかを確認できます。

ゼロトラスト導入のチェックリスト

以下は、ゼロトラストソリューションを導入する際にチェックすべきいくつかのポイントです:

容易な導入 システムを即座に立ち上げて実行できる? 

ベンダーがソリューションに合わせて環境を変更する必要がある? 例えば、ファイアウォールのポートオープンが必要?

マルチクラウド対応 複数のパブリッククラウドベンダーとの容易かつシンプルな統合がサポートされている? 

複数のクラウドのワークロードを効率的/効果的に保護できる?

拡張性 拡張性の高いゼロトラストアーキテクチャ? 

拡張性により、ワークロードの要件を満たせる?

セキュリティ ソリューションプロバイダーが提供しているセキュリティ対策は? 

合理的なセキュリティサイクルを維持できる?

不正侵入検知防御システム(IPS)を導入し、すべてのトラフィックをスキャンしてマルウェアを検出している?

可視化 すべてのユーザーのあらゆるリソースへの現在および過去のアクセス要求を一元化されたインターフェースで可視化できる? 

監視や規制監査のために、許可されているデータ、ブロックされているデータに容易にアクセスできることが重要。

サービスとサポート ゼロトラストソリューションのベンダーが問題解決をサポートできる?
付加価値 付加価値を提供するソリューション? 

貴社の既存のセキュリティツールを上回る、付加価値(機能、リスク軽減)を提供するソリューション?

ゼロトラスト導入に伴う課題

ゼロトラスト導入時に以下の課題を調査して解決する必要があります。

複雑なインフラ

現在の企業インフラは、一般的にプロキシ、サーバー、ビジネスアプリケーション、データベース、SaaS(Software-as-a-Service)ソリューションなどで構成されています。インフラの構成要素には、オンプレミスおよびクラウドで実行されているものが含まれます。

既存および新しいアプリケーションやハードウェアが混在しているハイブリッド環境の要件を満たしながら、ネットワークの各セグメントを保護することは容易ではありません。このような複雑な環境でゼロトラストを完全に実現することは困難です。

複数のツールによるゼロトラストの運用

ゼロトラストモデルのサポートに使用できる、さまざまなツール:

  • ZTNA(ゼロトラストネットワークアクセス)またはSDP(ソフトウェア定義の境界)ツール
  • セキュアアクセスサービスエッジ(SASE)またはVPNソリューション
  • マイクロセグメンテーションツール
  • 多要素認証(MFA)
  • シングルサインオン(SSO)ソリューション
  • デバイス承認ソリューション
  • 不正侵入検知防御システム(IPS)

これらのツールの多くは、オペレーティングシステム、デバイス、クラウドプロバイダーがそれぞれ異なります。また多くの場合、同種のデバイスをサポートしていません。オンプレミスのデータセンターおよび複数のクラウドでサービスが実行されていたり、デバイスがWindows、Mac、その他のネットワークに接続されていたり、複数のLinuxディストリビューションや複数のWindowsサーバーバージョンでサーバが運用されている場合もあります。

特に大規模な組織の場合、ゼロトラストツールをすべてのツールや環境で一貫して運用することが難しい場合があります。

関連コンテンツゼロトラストアーキテクチャに関するガイド

マインドセットの調整

大規模な組織でゼロトラストモデルを構築するには、関係者の同意を得て、有効なトレーニングおよび計画を行い、実行する必要があります。ゼロトラストプロジェクトは、ほぼすべての従業員に影響を及ぼすため、すべてのリーダーおよびマネージャーが取り組みに同意する必要があります。一般的に、組織が変更を進めるには時間がかかります。企業の政策がプロジェクトの有効性に逆影響する可能性もあります。

コストと労力

ゼロトラスト導入には、時間と人材および資金が必要です。ゼロトラストモデルには、ネットワークのアクセス領域およびアクセスできるユーザーの定義、適切なネットワークセグメンテーションが必要です。これには、綿密な計画と連携が必要です。

ネットワークセグメンテーションを実施して継続的に維持するには、担当者を割り当てる必要があります。ゼロトラストシステムのより適切な環境との統合により、これらをより容易に行うことができます。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。