マイクロセグメンテーションなしでゼロトラストがない理由

ゼロトラストの作成者によると、マイクロセグメンテーションがなければ、ゼロトラストセキュリティプロジェクトは不完全です。  

ゼロトラストのゴッドファーザーであり、イルミオの新しいチーフエバンジェリストであるジョン・キンダーヴァグは、インダストリーソリューションマーケティングのシニアディレクターであるラグー・ナンダクマラと対談し、以下について探りました。

• サイバーセキュリティの従来の信頼モデルの限界
• ゼロトラストセキュリティの本質
• ゼロトラストセグメンテーションとも呼ばれるマイクロセグメンテーションがゼロトラストを実現するために不可欠な理由

彼らの議論の抜粋をご覧ください。

信頼モデル:サイバーセキュリティの最大のリスク

Kindervagが1990年代後半にサイバーセキュリティの仕事を始めたとき、彼はアプリケーションとワークロードを保護するためにファイアウォールのみをインストールしていました。これはサイバーセキュリティのトラストモデルに依存していましたが、これは彼が「本当に嫌いな」ものでした。

「トラストモデルはセキュリティポリシーを台無しにしました」と彼は説明した。「物理インターフェイスに信頼レベルを割り当てます。何かが内部ネットワークに向かっている場合、信頼レベルは 100 (最高の信頼レベル) になり、インターネット接続はゼロ (最も低い) になります。それ以外はすべて、0から100までの一意の番号を持ちます。 それは適応型セキュリティアルゴリズムと呼ばれていましたが、適応型でも安全でもありませんでした。」

信頼モデルは、ネットワーク内のすべてのワークロードを暗黙的に信頼します。これにより、必然的にファイアウォールを通過する悪意のあるワークロードが、ネットワーク内で組織の最も価値の高いデータに自由かつ迅速に移動できるようになります。

キンダーヴァグ氏は、トラストモデルが非常にリスクの高い結果をもたらすのを見たときの話を語った:「米国財務省でプロジェクトに取り組んでいたとき、大量のデータが離れ、ウクライナに解決したIPアドレスに移行していることに気づきました。そして、サーバーのIPアドレスを解決したとき、それは州の金融システムでした。私は自問しました。『なぜ国の真ん中にあるこの州に関する財務データはすべてウクライナに行くのでしょうか?』

キンダーヴァグが同署の警備チームにこの質問をしたとき、彼らは答えを得ておらず、さらに悪いことに、交通の流れをすぐに止める許可も得られていなかった。  

「私は『何をしていいの?』と尋ねました。彼は一枚の紙を掲げて、このフォームに記入するように言いました。『ああ、セキュリティが壊れているんだ』と思いました。"

Kindervag 氏は財務省での経験から、サイバーセキュリティに対するより優れた、より近代化されたアプローチを見つけることに興味を持ちました。彼はこの経験を「ゼロトラストとなったものの起源の一部」と呼んだ。

トラストモデルの何が問題なのでしょうか?ゼロトラストの起源

Kindervag は、トラスト モデルの基礎は、私たちがネットワーキングを理解しようとした方法に由来すると考えています。

「私たちは人間の世界をデジタル世界に直接移植しようとしました」と彼は言いました。「それはうまくいきません。私たちはネットワークを理解しやすくするために擬人化していましたが、それが大規模なデータ侵害につながる根本的な問題を引き起こしていました。」

キンダーヴァッグ氏は、人々をネットワーク上にいると呼ぶのは一般的だが、それは何が起こっているのかを正確に反映しているわけではないと説明した。実際には、パケットは人ではなくネットワーク上にあります:「人は信頼できないと言っているわけではありません。私は、人々はパケットではないと言っているのです」と彼は言いました。

Kindervag の観点から見ると、人々がネットワーク上にいるというこの欠陥のある見方は、ネットワーク内に暗黙の信頼が必要であるという考えを維持しています。セキュリティチームは、同僚を信頼していないと組織に思われたくありません。

ただし、人ではなくワークロードの信頼性に疑問を投げかけることが目的であれば、トラストモデルの欠陥と、Kindervagのゼロトラストモデルの重要性を理解するのははるかに簡単です。

特に今日の進化し続ける脅威の状況では、侵害がネットワーク境界を越えることは避けられません。ゼロトラストは、これらの侵害が内部に侵入すると暗黙的に信頼されないようにするため、トラストモデルは無関係で、今日の複雑なネットワークには適さなくなります。

Kindervag によると、「ゼロトラストは、機密データや規制されたデータを悪意のある攻撃者の手に流出させ、他のサイバーセキュリティ攻撃を失敗させるデータ侵害を阻止するために設計されたサイバーセキュリティ戦略です。」

言い換えれば、ゼロトラストは成功した攻撃を失敗した攻撃に変えます。Kindervag 氏は、このメッセージは「あらゆる組織の最高レベルの共感を呼ぶように設計されていますが、市販の既製のテクノロジーを使用して戦術的に実装されるように設計されています」と説明しました。

ゼロトラストにマイクロセグメンテーションが必要なのはなぜですか?

現在、多くの組織がゼロトラストプログラムを開始していますが、Kindervag氏は、サイバーセキュリティチームがZTNAを実装するとゼロトラストを達成したという誤解があると述べました。  

「なぜ彼らは間違っているのですか?」キンダーヴァグは尋ねた。「なぜなら、彼らは自分たちが何を守っているのか分からないので、自分たちが守っているものにできるだけ近いコントロールを持っていないからです。」

多くの場合、組織は明確な戦略やプロセスではなく、テクノロジーを使用してゼロトラストを実現したいと考えています。これにより、攻撃対象領域を把握して理解し、ネットワークを保護するために必要なきめ細かなポリシーを実装する能力が妨げられます。保護が必要なリソース、アプリケーション、またはデータの近くにセキュリティ制御がなければ、ゼロトラストは存在しません。

「最初に知っておく必要があるのは、何を守っているのかということです。見えないものを守ることはできません」とキンダーヴァッグ氏は説明した。「次に、保護しようとしているものにできるだけ近づけて制御します。それがセグメント化の行為です。」

ゼロトラストセグメンテーション(ZTS)とも呼ばれるマイクロセグメンテーションを実装することで、セキュリティチームは悪意のある攻撃者がネットワークに拡散することを困難にし、組織全体に大きなメリットをもたらします。

ゼロトラストセグメンテーションのROIは?

セキュリティチームは現在、ZTSがゼロトラストアーキテクチャの基盤であることを認識していますが、組織全体のセキュリティプロセスとネットワークユーザーエクスペリエンスを向上させるための基盤にもなり得ます。

Kindervag は、ZTS が ROI を実現する 4 つの主な方法を挙げました。

1. 経費の削減: ZTS を使用すると、複数のツールを統合できます

2. 使いやすさの向上: ZTS はセキュリティ ツールの数を減らすことで、セキュリティ チームと組織全体がセキュリティと連携して必要なデータやリソースに簡単にアクセスできるようにします。

3. 運用の柔軟性の向上: Kindervagは、ポリシーの作成と展開が非常に簡単であるため、ZTSはセキュリティチームのワークロードを7倍から10倍に削減すると推定しました。

4. 侵害の影響を軽減します。 ZTS は、侵入ポイントで侵害を封じ込めることで、侵害がネットワーク全体に広がるのを防ぎます。これにより、侵害の修復コスト、法的問題と手数料、および顧客と利害関係者の信頼への影響が削減されます。  

サイバーセキュリティが何十年にもわたって依存してきた従来のトラストモデルは不十分であり、本質的に欠陥があることが証明されています。侵害は依然としてネットワーク内で自由に移動することができ、最終的には重大なリスクと結果につながっています。  

ゼロトラストは、今日のセキュリティ脅威に対する最善の対応であり、サイバーセキュリティ戦略を変革しています。しかし、ゼロトラストは単独で存在することはできません。それには、ゼロトラストセグメンテーションという重要なパートナーが必要です。  

組織でゼロトラストセグメンテーションを開始する方法の詳細については、今すぐお問い合わせください。