今年のカンファレンスサーキットやサイバーセキュリティコミュニティにおいて、ゼロトラスト(2010年に最初に造られた用語)は、おそらく業界で最も注目を浴びた用語でした。ブロックチェーンや機械学習は脇に置いておきましょう。

stock zero trust image

前回の投稿では、ゼロトラストセキュリティの意味と、フレームワークがセキュリティコミュニティに提供する教訓について説明しました。また、ゼロトラストを実装する際に直面する次の課題についても説明しました。

  • レガシーアプリケーション/ネットワークリソースとツール、およびプロトコルの保護に関する問題
  • フレームワークが国際法(GDPRなど)と理論的に矛盾する可能性があることを前提にした規制への逆風
  • 典型的な大規模グローバル企業には、実装に必要とされる組織全体の可視性や制御が不足しているという迫り来る現実。

ほとんどの企業が真のゼロトラスト体制をまだ達成できない理由はほかにも数多くありますが、このフレームワークの必要性に関する業界の合意は高まっています。実際に、ゼロトラストモデルを実装することは、組織のネットワーク全体を再設計することを意味し、コストがかかり、多くの場合、経営幹部(さらには取締役会)の承認を必要とする政治的な動きになる可能性があります。

この投稿では、業界のベストプラクティスに準拠しながら、過剰に設計されたネットワークのオーバーホール、無駄なIT予算、および潜在的にコストのかかる組織崩壊の可能性を明確に回避する真のゼロトラストモデルのフレームワークの概要を説明します。

ゼロトラスト戦略を構築するための5つのステップ

法外なコストのかかるオーバーホールを必要としない現実的なゼロトラストモデルへの道のりには、可視性と制御をはじめとする、すべてのユーザーのID、振る舞い、リスクプロファイルに関する戦略的理解と実行能力を形成することが含まれます。これには、すべてのIT環境(クラウド、オンプレミス、ハイブリッド)を網羅する必要があります。

zero trust pie chart

組織のセキュリティポスチャを劇的に向上させるゼロトラスト戦略の構築を始めるための5つのステップを次に示します。

ステップ#1. ネットワークリソースへのアクセス時に信頼性を検証し、リアルタイムで実行する

現在、無視されているアセットを含めます。これまでは保護されておらず、信頼性やリスクに依拠していない、攻撃者により使用され悪用されている、レガシーシステムやツール、プロトコルに焦点を当てます(例えば、PsExecは悪意あるアクターによく使用されます)。

ステップ#2. 信頼(特にデバイスに関して)を定義する

組織にとって、信頼とは何でしょうか?理論的には、ネットワークレベルでの概念に従って判断すると、信頼とは特定の時点(4次元)にまとめられたアイデンティティ、アクセスレベル、デバイスのリスクのすべてに基づいています。しかし、デバイスの管理ソリューションがない場合はどうすればよいのでしょうか?また、証明書を利用していない場合はどうなるのでしょうか?このような場合、最初にこれらの要素を実装する必要があるということなのでしょうか?

デバイスの信頼は、認証ユーザーとデバイスの所有権関係を判断しながら、デバイスのアクティビティに関連付けられている他の機能に基づいて定義できます。EDRデータやエンドポイント保護ソフトウェアを利用することもできます。これらは、認識されている従来のデバイスリスクの補償コントロールとして簡単に使用できます。

ステップ#3. ユーザー重視のアプローチでセキュリティポスチャをカスタマイズする

ゼロトラストの概念では、責任の転換とエンドユーザーレベルでのセキュリティを重視する必要性を認識することが肝要です。これは、エンドユーザーに権利を与え、リソースにアクセスするために必要なアクションを実行できるようにすることを意味しています。エンドユーザーは、MFAでのデバイス登録、証明書のインストール、アクセス権を取得するために必要なレベルへのシステムのパッチ適用、連携するMFAベンダーの選択、または組織の定義された信頼レベルを満たすためのその他の手段など、問題を修正できることが期待されます。

ステップ#4. ユースケースを収集する

ソリューションで対処する必要がある状況を調査し定義します。多くのユーザーは、インターネットアクセスと、おそらくはVPNがあれば十分です。ゼロトラストは状況を管理することであり、カスタムポリシーベースのアプローチが最も現実的なオプションです。自分のユースケースに優先順位を付ける必要があります。例えば、最初にドメインの認証を精査し、次にサービスとアプリケーションへのアクセスを確認してから、ツールを確認する必要があります。Webプロキシで簡単に実行できるという理由だけで、分析をWebアプリケーションに限定しないでください。アプリケーションのタイプに関係なく、認証が関連するあらゆる側面を精査してください。

ステップ#5. 徐々に拡張する

リモートアクセスVPNをすぐに破棄する必要はありません。Googleでも、広く知られたゼロトラストの概念の1つと考えられているBeyondCorpの適用と実行には何年もかかりました。他の例として、ゼロトラストの実用モデルとして定義されているNetflix Lisaがあります。Netflix LisaがVPNをすぐに除外することはありません。定義したユースケースに優先順位を付けたら、これらの状況をルールに取り入れます。時間の経過とともに、組織は監査モードからアクティブな強制モードに移行できます。

専門家からのヒント

このアプローチで始めることにより、組織は、現在のインフラストラクチャの基盤を壊すことなくゼロトラストを実装できます。全体的な戦略は、すべての状況を1つの場所で包括的に管理し、全体像を把握しながらコストを削減し、運用効率を向上させることです。

従来、大手企業でのほとんどのゼロトラスト実装は、すべてのアクセスポイントの前にプロキシを配置しようとしていました(Webアプリケーション用のプロキシやSSH用のプロキシなど、他の通信用のオンプレミスプロキシも含む)。これらのすべてのプロキシは、最終的に認証プロバイダに接続されます。しかし、ゼロトラストを実現するための理想的なシナリオは、この複雑に繋ぎ合わされたソリューションを使用する代わりに、ID、振る舞い、およびリスクに基づいた評価レイヤーを追加することで認証プロバイダをよりスマートにすることです。このタイプの一元化されたアプローチは、実装を容易にするだけでなく、現在のプロキシアプローチではこれまで対処できなかったより多くのユースケースにも対応します。

アイデンティティおよびアクセス脅威防御でゼロトラストをサポートする方法

現時点では、ゼロトラストのワンストップショッピングは、大半の組織にとって現実的ではなく、またその可能性もありません。ほとんどの場合、組織は主にWebアプリケーションに重点を置いていますが、そこからさらに進む方法がわからないか、適切なツールを持っていません。ネットワーク内の労力を注いでいる場所や状況に組織がゼロトラストを導入しやすくするために、アイデンティティおよびアクセス脅威防御(IATP)は、ネットワークにメスを入れなくても済む重要なコンポーネントになる可能性があります。

IATPを使用すると、組織はサイロ化したソリューションとプラットフォーム全体で統一された可視性とプロアクティブな制御を実現できます。IATPは、適応可能なポリシーベースの対応により、影響を受ける前に脅威を未然に防ぎます。

アイデンティティ、振る舞い、リスクに基づいたエンドユーザーのセキュリティエクスペリエンスに対する適応可能な個別のアプローチを伴います。特に、クラウドストライクの製品のようなIATPソリューションでは、以下をサポートできます。

  • すべてのアプリケーションのアクセス制御(Webサービス、ネットワークツール、レガシーアプリ、ドメインログオン、サービスアクセス、リモートデスクトップ)
  • ポリシールールによる適応可能な状況に応じた管理
  • リスク評価と脅威の検出
  • リアルタイムでのアイデンティティとアクセスの検証
  • 従業員のワークフローと生産性に不必要な負担をかけない包括的な制御

IATPアプローチは、ユーザーの場所、デバイス、ワークフローに関係なくシームレスに機能し、組織の攻撃対象領域を大幅に削減できます。

まとめ

ゼロトラストモデルには強力なメリットがあるため、この哲学がさらに採用されることを期待しています。将来を見据えた組織は、あらゆるアプリケーション、あらゆるネットワーク(例:Webアプリケーションだけでない)において、疑わしいアクティビティにリアルタイムで対応するプロアクティブな機能を含むゼロトラストポスチャにますます注目しています。IATPによるクラウドストライクのプロアクティブな脅威防御アプローチでは、組織がアイデンティティ、振る舞い、リスクの全体像を把握するゼロトラストを採用するための包括的なソリューションを提供します。