ブログ記事

ゼロトラストの導入方法

SecurityZero Trust
2分で読めます

ゼロトラストとは、アイデンティティが検証されるまではネットワークの内外問わずに誰も信頼しないという考え方に基づくサイバーセキュリティモデルのことです。 このフレームワークでは、アイデンティティは認証・認可により継続的に検証されます。 そして、アイデンティティを確認された人がシステムに入ったからといってセキュリティは停止せず、その人がネットワーク内でほかのシステムへアクセスする際にも継続的に検証されます。

ゼロトラストのセキュリティへのアプローチは、ネットワークの境界ではなく、アイデンティティインフラストラクチャ全体を防御するものです。 ユーザーが組織の一員であるから、あるいは正しいパスワードを入力したからといって、そのユーザーを簡単に信頼することはできなくなっています。 私たちはユーザーの属性や行動パターンに注目して、誰がどのようにアクセス権を得ようとしているのか、そしてそのアクセス権で何をするつもりなのかを理解する必要があります。

従来のネットワークセキュリティの、セキュリティ上の課題とは何か?

従来のネットワークセキュリティモデルは、ネットワーク境界で企業のネットワークとアプリケーションへのアクセス権を統制します。 このモデルを、ゼロトラストを推進する思想的リーダーはよく「城と堀」の哲学と呼びます。この考え方では、ファイアウォールや仮想プライベートネットワーク(VPN)、アクセス制御、メールセキュリティ、ウェブセキュリティ、セキュリティ情報・イベント管理(SIEM)などのセキュリティプロトコルを利用して、ネットワーク外からのアクセスを制御します。

しかし、ますます多くの企業がオンプレミスからハイブリッド環境やクラウド環境に移行し、またリモートワークや個人所有デバイスの利用が増えるにつれて、境界での防御やネットワーク内のラテラルムーブメント(ネットワーク内の他のシステムへの侵入)の制御はますます困難となっています。 その結果として、企業はネットワークセキュリティにゼロトラストアプローチを採用し始めているのです。

お客様の会社にゼロトラストアーキテクチャを導入する方法に関するヒントをいくつかご紹介します。

最小権限の原則(PoLP)の適用

ゼロトラストは、最小権限の原則(PoLP)を前提としています。最小権限の原則、あるいは最小権限でのアクセスとは、「誰もが潜在的な脅威であるので、誰に対しても職務遂行に必要な権限のみが付与されるべきである」という前提に立って進められるセキュリティプロトコルです。 最小権限の原則は、人であるユーザーだけでなく、プログラムやアプリケーション、システム、デバイスにも適用できます。

最小権限でのアクセスを採用すると、ネットワーク内からのユーザーのアクセスも制限されるため、特権ユーザーの認証情報やデータ、資産の保護と安全性の確保に役立ちます。そのため、攻撃者がIT環境にアクセスした場合でも、PoLPによって攻撃者が特権アカウントへのアクセス権を得るリスクが低減し、結果として情報漏洩のリスクも低減します。

多要素認証(MFA)の導入

認証はあらゆるサイバーセキュリティ戦略において根幹をなすべきものですが、ゼロトラストに関しては特にそうです。 認証方法はたくさんありますが、多要素認証ではユーザーのアイデンティティを検証してネットワークやマルチクラウド環境へのアクセス権を付与するために、ユーザーに複数の形式の証拠(要素)の提供を要求することにより、一段階上のセキュリティを実現します。

検証のための多要素認証には、以下のものが含まれます。

マイクロセグメンテーションの利用

マイクロセグメンテーションとは、データセンターやクラウド環境を異なるセグメントに分割し、ユーザーのセグメントに対するアクセスを組織におけるロールに基づいて制限するものです。 そうすることで、ユーザーとそのワークロードの安全が確保され、別の場所に移動する権限がない限りはネットワークの特定のセグメントに隔離されます。

マイクロセグメンテーションを行うと、すべてのネットワーク活動を可視化できるため、管理者は確認した状況に基づいて個別のセグメンテーションを作成して、潜在的な脅威のネットワーク内のラテラルムーブメントを防ぐことが可能になります。

ネットワークの監査

導入したゼロトラストを機能させるには、IT環境内のすべてのユーザーとシステムにゼロトラストを適用する必要があります。 アイデンティ、アクセス制御、アクセスポリシーを含めて、ネットワークの監査を実行するところから始めましょう。 ネットワーク内のセキュリティとアクセスプロトコルを構築する際には、データとアプリケーションが存在する場所と、誰がアクセス権を持っていてどのようにそれを利用するかといったアクセスポリシーとアクセス制御を理解することが重要なステップとなります。

次に、ユーザーがネットワークやアプリケーションにアクセスする前にそれらユーザーのアイデンティティを検証でき、ユーザーのロールに基づいてアクセス権をプロビジョニングでき、ユーザーポリシー管理を自動化し、ユーザーがネットワーク内でどのようにアクセス権を使用しているかを制御しモニタリングできる、アイデンティティおよびアクセス管理ソリューションを採用すべきです。

結論

今やほとんどの企業がマルチクラウド環境で運営され、従業員は分散してリモートワークの形態で就労していることから、ゼロトラストアーキテクチャの採用はかつてないほどに重要となっています。 アイデンティティ中心のゼロトラストモデルへのアプローチこそが、企業のセキュリティインフラストラクチャの中核をなすべきなのです。

自社のクラウドプラットフォームの制御を可能にしましょう。

SailPointとゼロトラストに関する詳細を確認しましょう。

アイデンティティ セキュリティ戦略に欠かせないデータ保護を考える

アイデンティティ セキュリティ戦略に欠かせないデータ保護を考える

組織全体で管理している機密データの可視化と統制を強化し、リスクを最小限に抑える方法をご紹介。データ保護とアイデンティティ管理のベストプラクティス

eBookをダウンロード
マシンIDを管理するための効果的な戦略

マシンIDを管理するための効果的な戦略

マシン アイデンティティ(ID)セキュリティ ソリューションによって、サービス アカウントやAPIなどの人以外のIDを管理し、企業セキュリティを強化する方法をご紹介します。

ホワイトペーパーをダウンロード
リスク軽減とは

リスク軽減とは

ベスト プラクティスと原則を考慮しながら、各組織に固有のニーズに合ったモデルの形でリスク軽減策を導入する方法をご覧ください。

記事を読む