ゼロトラストアーキテクチャとは?完全ガイド

組織が ゼロトラストを実装していない場合、サイバーレジリエンスを構築していません。

サイバーセキュリティの脅威は常に進化しており、従来の防御メカニズムではもはや十分ではありません。侵害やランサムウェア攻撃は避けられないため、組織はゼロトラストを採用することが重要です。

この包括的なガイドでは、ゼロトラストアーキテクチャを構築することが何を意味するのかを詳しく説明し、そのコアコンセプト、ネットワーク設計原則、およびデータの保護における極めて重要な役割を探ります。さらに、ゼロトラストアーキテクチャの基礎となる ゼロトラストセグメンテーションの重要な側面についても詳しく説明します。

ゼロトラストセキュリティ戦略とは何ですか?

ゼロトラストセキュリティモデルの核心は、従来のセキュリティの信頼モデルからのパラダイムシフトです。

リモートワーク、クラウドベースのサービス、ますます複雑化するハイパーコネクテッドネットワークが特徴の時代において、境界中心のモデルはもはや効果的ではありません。境界はもはや存在せず、世界中の環境、ユーザー、デバイスに分散しています。  

従来の予防および検出テクノロジーは、セキュリティスタックの重要な要素ではありますが、ネットワークに明確で静的な境界があるときに構築されました。今日では、避けられない侵害やランサムウェア攻撃の拡散を阻止するには十分ではありません。  

ゼロトラストは、脅威が外部と内部の両方のソースから発生する可能性があることを認識しており、プロアクティブで適応的なセキュリティアプローチが必要です。このモデルは、組織が場所に関係なく、アプリケーションやワークロードを自動的に信頼すべきではないと主張しています。代わりに、侵害が発生することを想定し、侵害封じ込めテクノロジーを使用して準備する必要があります。  

ゼロトラストモデルは、2010年代に John Kindervag によって作成され、以下に焦点を当てました。

• オンプレミス環境と並行してパブリッククラウドとプライベートクラウドを含む、場所とホスト間で一貫したセグメンテーションを提供します
• リスクがネットワークの外部と内部の両方に固有のものであると仮定する
• ネットワーク内のあらゆるものが本質的に許可されていると想定していた数十年にわたるセキュリティの信頼モデルに挑戦する

ゼロトラストはテクノロジー、製品、プラットフォームではなく、あらゆる規模、場所、業界のあらゆる組織に実装できるアーキテクチャモデルであることに注意することが重要です。

ゼロトラストアーキテクチャとは何ですか?

ネットワーク境界内では暗黙の信頼があり、ネットワーク境界外では懐疑的な見方を想定する従来のセキュリティモデルとは異なり、ゼロトラストは内部と外部の両方で固有の信頼がゼロであると想定しています。リソースにアクセスしようとするすべてのワークロード、アプリケーション、ユーザー、デバイス、またはシステムは、厳密に認証され、承認され、継続的に監視されます。

すべての侵害とランサムウェアに当てはまることが 1 つあるとすれば、それは彼らが横方向に移動することを好むということです。ゼロトラストアーキテクチャの中心的な焦点は、侵害やランサムウェア攻撃によるラテラルムーブメントとデータ流出のリスクに対処することです。  

ゼロトラストは、移動や流出を完全に防ぐことができるとは想定していません。代わりに、攻撃が発生したときに攻撃を阻止し、遅らせるための事前の対策を講じています。

ゼロトラストアーキテクチャの設計原則の4つのコア原則

ゼロトラストアーキテクチャの実装には、ネットワーク設計における特定の原則とベストプラクティスに従うことが含まれます。堅牢なゼロトラスト ネットワークを構成する 5 つの重要な要素を見てみましょう。  

1. 最小特権アクセス

最小特権の原則 により、ユーザーとシステムは、タスクを実行するために必要な最小レベルのアクセス権を確実に持つことができます。これにより、攻撃対象領域が制限され、セキュリティ インシデントの潜在的な影響が軽減されます。必要な権限のみを付与することで、組織は不正アクセスやデータ侵害のリスクを最小限に抑えます。

2. 継続的認証

従来のセキュリティモデルでは、多くの場合、ワークロード、アプリケーション、およびユーザーはエントリーポイントでのみ認証されます。ゼロトラストは、ネットワークの外部と内部の両方で継続的な認証を提唱しています。この動的なアプローチには、ワークロード、アプリケーション、またはユーザーの ID とアクセス権を継続的に評価し、動作、デバイス ステータス、その他のコンテキスト要因のリアルタイムの変化に基づいて調整することが含まれます。

3. エンドポイントの信頼性

ゼロトラストは、ユーザー認証を超えて、 エンドポイントデバイスの信頼性を含む監視を拡大します。組織は、パッチ レベル、セキュリティ構成、組織ポリシーへの準拠などの要素を考慮して、デバイスのセキュリティ体制を評価する必要があります。事前定義されたセキュリティ標準を満たすデバイスのみがアクセスを許可されます。

4. ゼロトラストセグメンテーション (ZTS)

‍マイクロセグメンテーションとも呼ばれるZTSは、ゼロトラストアーキテクチャの基本要素です。組織は、ネットワーク全体を保護するためにモノリシックな境界に依存する代わりに、ZTS を使用してネットワーク内に小規模で分離されたセグメントを作成します。各セグメントには独自のセキュリティ制御があり、横方向の移動を制限し、潜在的な侵害を封じ込めます。このきめ細かなアプローチにより、全体的なサイバーレジリエンスが強化され、多くのグローバルなセキュリティコンプライアンス義務の達成に役立ちます。

ゼロトラストセグメンテーション:ゼロトラストの基本コンポーネント  

ZTSはゼロ トラストアーキテクチャの基礎であり、ネットワークトラフィックを区画化して制御するための効果的な手段を提供します。このアプローチでは、ネットワークをより小さく分離されたセグメントに分割し、それぞれに独自のセキュリティ制御セットがあります。静的なレガシーファイアウォールと比較して、ZTSを使用すると、ネットワークのセグメント化が簡単になります。  

ZTSは、最も差し迫ったセキュリティ課題のいくつかを解決します。

• 横方向の動きを止める: ZTSの主な目的の1つは、侵害やランサムウェア攻撃がネットワーク内で広がるのを阻止することであり、これはラテラルムーブメントとも呼ばれます。従来のセキュリティ モデルでは、脅威がネットワークにアクセスすると自由に移動し、機密データが侵害され、重要な資産にアクセスし、運用が停止する可能性があります。ZTS はこのラテラルムーブメントを制限し、脅威がネットワーク全体に広がるのを防ぎます。‍
• 重要な資産を分離して保護します。 ビジネス機能、データの機密性、ユーザーの役割に基づいてネットワークをセグメント化することで、組織は 重要な資産の保護に優先順位を付けることができます。強化されたセキュリティ制御により、価値の高いデータとシステムを特定のセグメント内で分離できるため、不正アクセスのリスクが軽減されます。‍
• ハイブリッド攻撃対象領域全体をエンドツーエンドで可視化します。 ZTSは、クラウド、エンドポイント、データセンターを含むネットワーク全体にわたるすべてのワークロードとアプリケーションのトラフィックと通信を完全に エンドツーエンドで可視 化しなければ、きめ細かなセグメンテーションは実現できないことを認識しています。組織は、この可視性を利用してセキュリティリスクに関する洞察を得て、セグメンテーションを行う必要がある場所について、より適切な情報に基づいた意思決定を行います。
• コンプライアンスの促進: ZTS は、多くのグローバルな規制コンプライアンス要件を満たしています。ZTS は、エンドツーエンドの可視性を提供し、セキュリティ ポリシーを明確に定義し、ワークロード間の転送中の暗号化を行うことで、組織が業界固有の規制や標準への準拠を実証するのに役立ちます。
• 脅威に対するきめ細かく動的な対応: ZTSは、新たな脅威にア ジャイルに対応する 組織の能力を強化します。セキュリティ インシデントや不審なアクティビティが発生した場合、組織は影響を受けるセグメントを迅速に分離し、ネットワーク全体への潜在的な影響を最小限に抑えることができます。

ゼロトラストアーキテクチャを実装するための8つのステップ

ゼロトラストアーキテクチャを採用するには、戦略的かつ段階的なアプローチが必要です。ゼロトラストをうまく実装するために組織が取るべき重要な手順と、イルミオZTSがどのように役立つかは次のとおりです。

1. データの特定

ゼロトラストへの取り組みを開始するには、何を保護する必要があるかを知ることが重要です。インベントリを作成することで、機密データがどこにあるのか、何があるのかを可視化します。

2. トラフィックを発見する

見えないものは確保できません。Illumio ZTSのアプリケーション依存関係マップは、アプリケーション間のトラフィックフローとアプリケーションの依存関係を完全に リアルタイムで可視 化し、組織の攻撃対象領域をより深く理解するのに役立ちます。ネットワークの変化、特にクラウドのペースの速い変化を可視性に反映して、ネットワークをリアルタイムで正確に把握できるようにします。

3. セキュリティポリシーを定義する

ネットワークトラフィックフローを確認すると、デフォルト拒否セキュリティルールを使用してゼロトラストアーキテクチャの構築を開始するのに役立ちます。Illumio ZTSは、各アプリケーションに最適なポリシーを自動的に生成し、リスクの高いトラフィックフローや不要なトラフィックフローを特定するのに役立ちます。  

4. 転送中のデータを暗号化する

ゼロトラストアーキテクチャの重要な部分は、多くのコンプライアンス要件に加えて、すべての環境で転送中のデータを暗号化することです。Illumio ZTSは、最新のすべてのオペレーティングシステムに存在するIPSec暗号化ライブラリを使用するIllumio SecureConnectを使用して、個々のワークロードで転送中のデータ暗号化を可能にします。

5. テスト

新しいゼロトラストセキュリティポリシーのテストはワークフローの重要な部分であり、ポリシーがネットワークにどのように影響するかをモデル化する方法を提供します。イルミオのシミュレーションモードを使用すると、セキュリティチームは、ポリシーの実装のリスクが低くなり、構成ミスが少なく、ネットワークの停止や可用性の問題が発生しないようにすることができます。‍

6. 強制

シミュレーション モードでポリシーをテストしたら、完全に適用します。ポリシー違反のアラートをリアルタイムで追跡します。Illumioを使用して、意味のあるコンテキストデータと組み合わせたアラートを取得し、アプリケーションのライフサイクル全体を完全に可視化します。

7. 監視と保守

エンタープライズセキュリティと実装を維持および維持するには、絶え間ない作業と労力が必要です。ゼロトラストアーキテクチャはテクノロジーではなく、フレームワークとプロセスであることを忘れないでください。学んだことを活かして、企業内の新しいアプリケーションごとにゼロトラストセグメンテーションを実装し、決して信頼せず、常に検証するアプローチを維持しながら、長期的に最適なワークフローを見つけることができます。

8. 自動化とオーケストレーションを採用する

今日の複雑で絶えず変化するネットワークを管理するには、セキュリティチームは自動化とオーケストレーションを採用する必要があります。これらの最新のツールを使用すると、チームは安定した予測可能で信頼性の高いネットワークをより適切に維持できます。  

イルミオのお客様がゼロトラストアーキテクチャをどのように構築しているかについての洞察を得ることができます。お客様の成功事例をお読みください。

プロアクティブで最新のサイバーセキュリティはゼロトラストアーキテクチャから始まる

組織が増大する複雑さとセキュリティの脅威に対処する中、ゼロトラストを採用することは単なる戦略的な選択ではなく、先を行くために必要です。ゼロトラストアーキテクチャは、組織がプロアクティブなサイバーセキュリティのスタンスを取るのに役立ち、ますます相互接続されダイナミックな世界でデータとインフラストラクチャを保護できるようにします。

イルミオZTSの詳細を今すぐご覧ください。無料相談とデモについてはお問い合わせください。