ゼロトラストフレームワーク
ゼロトラストフレームワークの説明
従来のネットワークセキュリティモデルは、境界線に焦点を当て、信頼に大きく依存していました。基本的な考え方は、すべての脅威はネットワークの外部から発生し、ネットワーク境界の内側にいる人は信頼できるインサイダーであるというものでした。企業は、ネットワーク境界に防御策を導入することで、マルウェアやその他の脅威を特定し、ネットワークへの侵入を防ごうとしていました。
このようなネットワークセキュリティのアプローチには、ネットワーク境界の消滅、インサイダー脅威の可能性、ネットワークセキュリティソリューションが不完全な保護を提供するという事実など、複数の問題があります。これらの問題に対処するため、当時フォレスター・リサーチ社の副社長兼主席アナリストのジョン・キンダーヴァーグ氏は、セキュリティポリシー内の信頼は潜在的な脆弱性であるという概念に基づき、ゼロトラストセキュリティ戦略というコンセプトを打ち出しました。
ゼロトラストセキュリティ戦略とは、暗黙の内部者を信頼し、外部者を信用しないという考え方から、誰に対しても信頼を自動的に拡大しないことへと移行するものです。その代わり、アクセスや許可は、ビジネスニーズと役割の要件に基づいてケースバイケースで付与されます。ゼロトラストアーキテクチャーを読むと、ゼロトラストについてよく分かります。
ゼロトラストネットワークとは?
組織の環境にゼロトラスト原則を導入するには、ゼロトラストネットワークを構築する必要があります。ゼロトラストネットワークとは、ゼロトラストネットワークアクセス(ZTNA)やソフトウェア定義境界(SDP)などのゼロトラストポリシーを、組織の環境全体で一貫して実装し、実施するものです。
以下では、レガシーな境界ベースのセキュリティモデルから、現代のサイバー脅威に対応・管理できるゼロトラストネットワークに移行する方法について説明します。
ステップ1:保護対象の特定
企業資産へのアクセスを管理することは、ゼロトラストセキュリティ戦略の中心的な考え方です。前述のとおり、ゼロトラストポリシーでは、ロールベースのアクセス制御により、ケースバイケースでリソースへのアクセスを提供します。そして、リソースへのアクセスを管理するために、企業はリソースが何であるかを知る必要があります。
ゼロトラストネットワークを構築する上で重要なのは、企業が保護したいリソースで構成される保護する面を定義することである。保護面は組織のDAASで構成されています。
- データ :ゼロトラスト戦略を採用する最も一般的な理由の1つは、データ漏洩を回避し、データ保護規制のコンプライアンス要件を満たすためです。組織のデータを識別し、分類することは、これらのリソースへのアクセスを適切に管理するために不可欠です。
- 資産:現代の企業は、従来のコンピュータ、モバイルデバイス、クラウドベースリソース、IoTデバイスなど、さまざまな企業資産を保有しています。リモートワークやモバイルデバイスの増加により、多くの企業が資産目録全体の可視性を維持することに苦労しています。このような可視性のギャップに対処することは、ゼロトラストの効果的な展開にとって非常に重要です。
- アプリケーション:アプリケーションは、あらゆるビジネスにとって貴重な資源であり、サイバー攻撃の一般的なターゲットでもあります。アプリケーションの脆弱性を利用することで、攻撃者は貴重なデータへのアクセスや、他のターゲットへの攻撃の足がかりを得ることができます。企業は、自社のアプリケーションを保護するための戦略を策定するために、自社のアプリケーションを完全にリストアップする必要があります。
- サービス:クラウドの普及は、多くの組織がクラウドベースのサービスを利用、または提供していることを意味します。これらのサービスは、サイバー犯罪者にとって潜在的な脆弱性や攻撃のベクトルでもあるため、同様に特定し保護する必要があります。
ステップ2:相互依存性の調査
ゼロトラストネットワークは、特権を最小にするという原則に基づいて運営されています。これは、ユーザーが自分の仕事をするために必要な権限だけを与えられることを意味します。
これらの権限を適切に割り当てるには、企業は従業員やIT資産がそれぞれの役割を果たすために必要なアクセスや権限を理解する必要があります。これを達成する最善の方法は、組織の日常業務でどのような活動が行われているかを監視することです。
企業ネットワークを監視することで、企業はDAAS、インフラ、サービス、およびユーザー間の通信と相互依存のマップを作成することができます。これらのネットワークフローを見ることで、ゼロトラストポリシーの一環としてどの通信を許可し、どれを不適切または不要としてブロックすべきかを決定することが可能です。
このように、組織のネットワーク内の依存関係と通信パターンを調べることは、ゼロトラスト戦略を展開するための準備に役立ちますが、メリットはこれだけではありません。異常なフローや疑わしいフローが検出された場合、インシデントレスポンス活動を開始し、企業がネットワーク内の感染を根絶するのに役立てることができるのです。
ステップ3:マイクロセグメンテーションの導入
アクセス制御は、通常、ネットワークセキュリティアプライアンスを経由してトラフィックがルーティングされるネットワーク境界で実施されます。ゼロトラストストラテジーを実現するためには、企業リソースのきめ細かい保護とアクセス制御を実現するために、このような境界を数多く設ける必要があります。
企業ネットワーク全体にネットワークの境界を設けるには、マイクロセグメンテーションを導入する必要があります。マイクロセグメンテーションは、企業の各資産を独自の境界内に配置し、レイヤー7でトラフィックの監視とフィルタリングを実行します。
このレイヤー7の監視は、ゼロトラストに必要な可視性を実現するために不可欠なものです。クラウドコンピューティングとサービスベースの配信モデルの台頭により、レイヤー3/4のトラフィック分析では、ネットワークトラフィックの目的を判断するために必要な粒度と可視性が得られなくなりました。レイヤー 7 解析を使用すると、企業はアプリケーション層のデータを表示し、アクセス制御の決定に含めることができます。
マイクロセグメンテーションポリシーを策定する場合、キプリング法は有用なリソースとなります。これは、以下の6つの質問に対する回答に基づいて、ゼロトラストポリシーを定義するものです。
- だれがリクエストしているのか?
- 要求されているリソースはなにか?
- リクエストはどこから来るのか?
- クエストはいつ行なわれたのか?
- なぜ、ユーザーはそのリソースにアクセスする必要があるのか?
- ユーザーはどのようにアクセスを要求しているか?
これらの質問に答えることで、企業は特定のリクエストが企業のセキュリティポリシーに準拠しているかどうかを判断することができます。例えば、あるリソースへのアクセスは特定のコンピュータからのみ許可されているにもかかわらず、リモートワーカーのデバイスからそのリソースへのアクセスが要求されることがあります。その作業員がリソースへの正当なアクセス権を持っていたとしても、リクエストが間違ったデバイスから来たものであれば、承認されるべきではありません。アクセス制御を正しく判断するためには、「誰が」「どこから」アクセスしたかを把握することが重要です。
ゼロトラストへの取り組みを開始する
最近の出来事から、従来のセキュリティ対策が通用しないことが明らかになりました。データ漏洩は日常茶飯事で、ランサムウェア攻撃は増加傾向にあり、その他のサイバー脅威もなくなっていません。企業にとって、遠隔地の従業員を保護する必要性はかつてないほど高まっています。
ゼロトラストネットワークの導入は多段階のプロセスですが、最も重要なステップは、企業のゼロトラストポリシーを実施するための適切なセキュリティソリューションを選択することです。従来のセキュリティソリューションは、ゼロトラストポリシーを実施するための範囲やセキュリティの粒度が不足しています。ZTNAは、ガートナーのSecure Access Service Edge(SASE)フレームワークに不可欠なコンポーネントであり、レガシーソリューションに代わる理想的な選択肢を提供するものです。
SASEは、ゼロトラストの導入をシンプルかつ容易にします。SASEでは、すべてのトラフィックがSASEのPoP(Point of Presence)を経由するため、レイヤー7のトラフィック解析とセキュリティポリシーの適用が可能です。また、SASEは、現代の企業にとってますます重要となっているZTNAによるリモートワーカーへのゼロトラストポリシーの適用も可能です。SASEのZTNA機能については、以下のリンクで詳細をご覧ください。
Cato Networksは、SASE分野のリーダーであり、ガートナーのZTNA Market Guideにおいて、今後企業が必要とするネットワーキングとセキュリティのソリューションを提供する企業として、複数回評価されています。SASEを利用したゼロトラストの導入方法については、弊社までお問い合わせください。または、デモをご依頼いただき、Cato SASE Cloudの機能をご自身でお確かめいただくことも可能です。
