ゼロトラスト原則:ゼロトラストとは?

ZTNA:ゼロトラストネットワークアクセス

ゼロトラストとは?

これまで多くの企業が、信頼に基づく、境界線を重視したセキュリティ戦略を採用してきました。ネットワークの境界にセキュリティソリューションを導入して脅威を阻止する一方で、ネットワーク内のユーザーは信頼できるため組織のすべてのリソースにアクセスできるという考え方です。しかし、ネットワークの境界が消失し、社内の脅威の可能性があり、完全な保護を提供するセキュリティソリューションが事実上ないという状況において、このセキュリティアプローチの有効性は限られています。

このように現実に即さないアプローチを改めるために、ゼロトラストセキュリティは、「何も信用せずにすべてを検証する」という原則に基づくセキュリティ戦略への移行を目的としています。ゼロトラスト・セキュリティは、企業リソースへのアクセスを無制限に許可せず、状況に応じて許可します。アクセス許可をロールに基づくアクセス制御(RBAC)に基づいて行い、ユーザにそれぞれのロールに必要なアクセス許可のみが割り当てられます。

ゼロトラストへの移行には、ゼロトラストアーキテクチャの導入および企業全体にゼロトラストルールを適用するツールを選定する必要があります。

ゼロトラストネットワークアクセス(ZTNA)/ソフトウェア定義の境界(SDP)は、ゼロトラストアーキテクチャの重要な構成要素の一部です。ZTNA/SDPは、ゼロトラスト原則をリモートネットワークアクセスに適用します。無制限のネットワークアクセスを許可されたユーザーに提供する仮想プライベートネットワーク(VPN)などの従来のソリューションとは異なり、ZTNA/SDPは特定のリソースへのアクセスを状況に応じて許可します。

ZTNAは、ITインフラ全体にわたって、一貫して展開及び適用しなければ効果がありません。SASEのZTNA機能は、変化する働き方を満たすニーズに複数のソリューションで対応します。

ゼロトラストセキュリティモデルの重要性

サイバーセキュリティに対する従来のアプローチは、現代のサイバー脅威の防止にもはや有効ではありません。今日、ランサムウェア攻撃が日々発生しており、RDP認証やアクセス制御の不備を悪用する手口が最も一般的な攻撃手段になっています。米国の組織の52%が、境界線に基づくセキュリティソリューションでは対処できない、社内の脅威にさらされています。

ゼロトラスト原則の導入は、企業のIT資産へのアクセスを制御する最も効果的な手段です。ゼロトラストは、以下のような技術により、一般的な攻撃を検出およびブロックします:

  • 強力なID検証:ゼロトラストのセキュリティソリューションによるアクセスは、RBAC(ロールに基づくアクセス制御)に基づきます。適用すべきRBACを特定するには、ユーザーIDを検証するシステムが必要です。ゼロトラストシステムには、多要素認証(MFA)を含む、強力なユーザ認証が含まれます。これにより、IDをリクエストするエンティティが実物であり権限があることが検証されます。
  • 挙動分析:アカウント乗っ取り攻撃は一般的な脅威です。初期アクセスにRDPを利用する多くのランサムウェア攻撃の原因となっています。攻撃者は、ユーザーアカウントの正しい認証情報を突き止めて、システムにログインします。ゼロトラストシステムは、挙動分析により、通常とは異なる疑わしいユーザーの行動(いつもとは異なる場所からのログインや標準外のリソースへのアクセスなど)を監視します。このような異常が検出された場合、システムは侵入の可能性を調査または対応する行動をとります。
  • マイクロセグメンテーション:アクセス制御やセキュリティポリシーは、主にネットワークの境界で適用されます。つまり、境界線に基づくソリューションには、ネットワークの可視化や内部のセキュリティに適用する機能がほとんどあるいはまったく含まれていません。ゼロトラストセキュリティソリューションは、多くの場合、マイクロセグメンテーションにより、境界線を作成してリソースを境界内に分離し、綿密なセキュリティ制御を行います。
  • 最小特権による制御米国の組織の53%が、機密リソースへのアクセスに使用する、特権ユーザーの認証情報を盗まれた経験があると回答しています。ゼロトラストセキュリティは、最小特権の原則に基づきます。これにより、職務遂行に必要な最小限の特権のみがユーザーやアプリケーションなどに許可されます。

従来のセキュリティモデルやセキュリティ制御はこれまでも効果がありませんでしたが、企業ネットワークの複雑化に伴い、さらに深刻な問題となっています。現代の企業ネットワークは、オンプレミス、クラウドベース、リモートリソースなど、複数の環境にまたがっています。これらの環境をサイバー攻撃から守るには、ゼロトラストによる詳細な可視化と綿密な保護が必要です。

ゼロトラストモデルの中心的な原則

フォレスターは、サイバーセキュリティ戦略の新しい方法を「ゼロトラスト」と名付けました。ゼロトラストアーキテクチャの中核機能には、以下が含まれます:

  • 特定:効果的なゼロトラストアーキテクチャには、企業の環境とその使用方法に関する詳細な知識が必要です。これには、効果的なゼロトラストポリシーを構築するために、企業ネットワーク内のデバイスとその相互関係を特定することが含まれます。
  • 保護:ゼロトラスト戦略は、企業リソースへのアクセス管理により、サイバー脅威を阻止します。不正な行動をブロックすることで、侵入や機密リソースへの不正アクセスを食い止めることができます。
  • 検出:ゼロトラストソリューションは、組織の環境と活動を綿密に可視化します。この可視化により、ブロックされたアクセス要求やその他の異常な行動に基づいて、潜在的な侵入を検出できます。
  • 対応:ゼロトラストソリューションは、組織の環境で脅威が検出された場合のインシデント対応にも役立ちます。例えば、悪意のある行動や潜在的な特権の乱用を阻止する、新たなアクセス制御を適用できます。

フォレスターとガートナーは、ゼロトラストアーキテクチャを導入するためのソリューションの選定に関するアドバイスなど、ゼロトラストに関するさまざまなリソースを公開しています。例えば、ガートナーのZTNAマーケットガイドは、ゼロトラスト原則を導入する安全なリモートアクセスソリューションの選定ガイダンスを提供しています。

ゼロトラストを達成するには

#1. 組織のニーズを把握

ゼロトラストセキュリティモデルは、セキュリティとビジネス生産性のバランスをとり、従業員が支障なく職務遂行できるように開発されています。一方で、企業リソースへの不正アクセスや悪用は、組織のゼロトラストセキュリティ制御によってブロックする必要があります。

つまり、ゼロトラストを効果的に導入するには、組織のニーズを事前に知っておく必要があります。例えば、テレワークを行っている組織は、従業員による企業リソースの使用やゼロトラストネットワークアクセス(ZTNA)設定方法を把握する必要があります。また、セキュリティ面では、規制項目および分散した従業員が規制要件に違反しないようにする方法を考慮する必要があります。

#2.すべての資産のディレクトリを作成

ゼロトラストセキュリティ戦略は、最小特権の原則に基づき、組織のすべての資産へのアクセスを管理することが目的です。したがって、ゼロトラスト戦略を策定する前に、すべての企業資産のディレクトリを作成することが不可欠です。これにより、ゼロトラストの導入範囲を効率的に見極め、環境全体にわたってゼロトラストポリシーを一貫して効果的に適用できる適切なセキュリティソリューションを確保できます。資産のディレクトリは、ゼロトラストシステムのロールベースアクセス制御(RBAC)の定義にも役立ちます。

#3.攻撃に先んじる:予防策

予防は、最適なサイバーセキュリティ対策です。検出ベースのセキュリティ制御は、攻撃者がすでに侵入している場合の対応策です。予防策により、組織のシステムへの侵入または何らかの被害が発生する前に攻撃を阻止できます。

潜在的な攻撃シナリオを特定し、適切なセキュリティ制御を講じることが、重要な予防策です。例えば、COVID-19パンデミックの影響でテレワークへのシフトが進む中、従業員がサイバー攻撃の主な標的となっています。ゼロトラストアクセスソリューションにより、テレワークを保護して、在宅勤務者のコンピュータの脆弱性を狙った攻撃を低減できます。

#4. 継続的な監視と迅速な対応

ゼロトラストセキュリティアーキテクチャは、企業のITリソース利用を綿密に可視化します。リソースへのすべてのアクセス要求をロールベースアクセス制御(RBAC)で検証し、環境内での行動を把握できます。

詳細な可視化は、潜在的な侵入や特権乱用を検出する非常に有効な手段ですが、イベントを常時監視する必要があります。ゼロトラスト戦略の一環として、ゼロトラストソリューションを監視し、検出された侵入者が組織に大きな被害を与える前に、攻撃を阻止する対策を講じる必要があります。

#5. 広範なセキュリティ戦略との整合性

ゼロトラストセキュリティ戦略を導入することで、企業のITセキュリティを大幅に改善できます。しかし、ゼロトラストプログラムは、企業のセキュリティ戦略、あるいはより一般的にはIT戦略の構成要素に過ぎません。

ゼロトラストセキュリティ戦略には、企業のセキュリティ戦略やITネットワーク戦略との整合性が重要です。戦略目標が一致していることを確認し、同じソリューションを使用する機会を特定し、複数のユースケースに対応することで、ゼロトラスト戦略をより容易かつ継続的に展開できます。

ゼロトラストに伴う課題

多くの組織がゼロトラストセキュリティ戦略の価値を認めているにも関わらず、多くの場合、まだ取り組みが進んでいません。ゼロトラスト戦略の導入を困難にしている理由として、以下が考えられます:

  • ゼロトラストアーキテクチャの構築:効果的なゼロトラストアーキテクチャは、IT環境全体にわたってゼロトラスト原則を一貫して適用します。これを実現する適切なソリューションがなければ、結果として複雑で管理に手間のかかるセキュリティアーキテクチャになってしまいます。
  • レガシーソリューションの廃止:多くの企業が、境界を重視したセキュリティ戦略をサポートするために、さまざまなポイントセキュリティ製品に投資しています。ゼロトラストに移行するには、これらのレガシーソリューションを段階的に廃止する必要がありますが、投資済みの技術や契約などが理由で困難な場合があります
  • アクセス制御の定義:アクセス制御は、ゼロトラストセキュリティの重要なポイントです。ゼロトラストアーキテクチャの構築には、リソースの使用状況を把握し、それに応じて、アクセス制御の定義に必要な可視化を提供するソリューションが必要です。

これらはいずれも、ゼロトラストセキュリティ導入を検討している組織にとって大きな課題です。適切なツールと戦略があれば、これらをすべて解決できます。

SASEによるゼロトラスト導入

ゼロトラストアーキテクチャの導入により、いくつかのセキュリティ面のメリットがもたらされます。ゼロトラスト原則を効果的に導入および適用するには、適切なセキュリティツールを利用する必要があります。

テレワークが進んでいる現在の環境において、安全なリモートアクセスはセキュリティの中核機能といえます。ゼロトラストをテレワークに導入する場合、SASEのZTNAをご検討ください。SASEによる分散型組織へのゼロトラスト導入の詳細については、Cato Cloudのデモをご依頼いただくか、弊社宛にお問い合わせください。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。