数年前、組織はシステム、ネットワーク、そして機密データの保護に、従来の境界ベースのセキュリティモデルに大きく依存していました。しかし、高度な持続的脅威(APT)、アプリケーション層DDoS攻撃、ゼロデイ脆弱性といった手法を駆使した現代の攻撃の巧妙化により、このアプローチはもはや十分ではありません。その結果、多くの組織がゼロトラスト・アプローチを採用しています。ゼロトラスト・アプローチとは、デバイスやユーザーが組織のネットワークの内外を問わず、決して信頼を前提とすべきではないという原則に基づくセキュリティモデルです。
ゼロ トラストはセキュリティに対するより積極的なアプローチとなることが期待されていますが、ソリューションを実装する際には、導入前に組織のセキュリティに穴を開けてしまう可能性のあるいくつかの課題が伴います。
ゼロトラストの中核となる要素には、最小権限アクセスポリシー、ネットワークセグメンテーション、アクセス管理が含まれます。ベストプラクティスは従業員の行動改善に役立ちますが、デバイストラストソリューションなどのツールは、保護されたアプリケーションへのアクセスを保護し、組織にとって回復力のあるセキュリティインフラストラクチャを構築します。
1ノルドレイヤー
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模(従業員50~249名)、中規模(従業員250~999名)、大規模(従業員1,000~4,999名)、エンタープライズ(従業員5,000名以上) 小規模、中規模、大規模、エンタープライズ
特徴
ファイアウォール
2 ManageEngine ADSelfService Plus
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
あらゆる規模の企業 あらゆる規模の企業
特徴
アクセス管理、コンプライアンス管理、資格情報管理など
3ツインゲート
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
中規模企業(従業員数250~999名)、大規模企業(従業員数1,000~4,999名)、エンタープライズ企業(従業員数5,000名以上) 中規模企業、大規模企業、エンタープライズ企業
特徴
データセキュリティ
ゼロトラストを理解する
ゼロトラストとは、単なるツールセットや特定のテクノロジーではありません。企業ネットワークの内外を問わず、いかなるユーザーやシステムも自動的に信頼しないという基本的な考え方を軸としたセキュリティ哲学です。ゼロトラスト環境では、ユーザーやデバイスのIDとセキュリティ体制が検証されるまで、いかなるユーザーやデバイスも信頼されません。つまり、ゼロトラストは継続的な検証と厳格なアクセス制御に重点を置くことで、セキュリティを強化することを目指しています。
参照: ハイブリッドクラウド環境でゼロトラストセキュリティを実装するための推奨事項 (TechRepublic フォーラム)
ゼロトラスト・アプローチのもう一つの重要な要素は、最小権限の原則に基づいて運用されることです。つまり、ユーザーとシステムには、タスクを遂行するために必要な最小限のアクセス権限のみが付与されます。このアプローチにより、攻撃対象領域が縮小され、侵害されたユーザーやデバイスが引き起こす潜在的な損害が制限されます。
ゼロトラストのコアコンポーネント
以下は、ゼロ トラストの主要なコンポーネントと、それらを最大限に活用するためのベスト プラクティスです。
アクセス管理
アクセス管理は、組織のネットワーク内のリソースにアクセスできるユーザーを制御することに重点を置いています。効果的なアクセス管理のためのベストプラクティスをいくつかご紹介します。
- 実用的な認証を実装する:実用的な多要素認証メカニズムを実装することで、ネットワーク内のリソースへのアクセスを許可する前に、ユーザーが本人であることを確認することができます。実用的な多要素認証は通常、パスワード、顔認証、モバイル認証、生体認証など、2つ以上の認証方法を組み合わせて行われます。
- OAuthツールの活用:ゼロトラストにおけるアクセス管理は、OAuth(Open Authorization)ツールを使用することでさらに強化できます。OAuthはアクセス委任のためのオープンスタンダードであり、ユーザーが認証情報を共有することなく、サードパーティのアプリケーションやウェブサイトにリソースへの限定的なアクセスを安全に許可する方法を提供します。
- デバイス トラスト ソリューションを採用する:デバイスと会社のアプリケーション間の追加の保護レイヤーとして、デバイス トラスト ソリューションは OAuth ツールと統合され、認証フロー中にユーザーの ID とデバイスのセキュリティを確保します。
- ロールベースのアクセス制御(RBAC)を実装する: RBACは、個人ではなくロールに権限を割り当てるアクセス管理の重要な要素です。RBACを導入することで、セキュリティチームは組織全体のアクセス管理を容易にし、従業員に職務内容に基づいて適切な権限を割り当てることができます。
- ユーザーアクティビティの監視:異常や潜在的なセキュリティ侵害を検出するために、ユーザーアクティビティを継続的に監視する必要があります。ユーザー行動分析ソリューションを導入することで、セキュリティ脅威を示唆する可能性のある異常な行動パターンを特定するのに役立ちます。
最小権限
最小権限の原則は、ユーザーとシステムがタスクを実行するために必要な最小限のアクセスレベルのみを持つべきであることを強調しています。以下に、組織が最小権限を実践するための最適な方法をご紹介します。
- デフォルトでアクセスを拒否する:デフォルトでアクセスを拒否し、承認された権限のみを許可するデフォルト拒否ポリシーを実装します。このアプローチにより、攻撃対象領域が縮小され、不要なアクセスが付与されることがなくなります。
- アクセス権限を定期的に確認・更新する:最小権限の適切な運用には、組織リソースへのユーザーアクセスをレビュー・監査し、権限が職務と責任に適合していることを確認することが含まれます。また、従業員が退職した場合やアクセスが必要なくなった場合には、アクセスを取り消すことも含まれます。
- セグメンテーションの実装:ネットワークを隔離されたゾーンまたはマイクロセグメントに分割することで、ネットワーク内での攻撃者の横方向の移動を抑制できます。各ゾーンでは、必要に応じて特定のリソースへのアクセスのみを許可する必要があります。
- 管理者への最小権限:管理者も最小権限の原則の例外ではありません。したがって、管理者アカウントにも最小権限の原則が適用されるよう、努力する必要があります。これにより、内部者による攻撃の可能性を抑制できます。
データ保護
ゼロトラスト・フレームワークでは、不正アクセスやデータ侵害を防ぐために、保存中と転送中の両方で機密データを保護する必要性も強調されています。組織がデータ保護を実装する方法は次のとおりです。
- 強力な暗号化を選択:最高の暗号化ツールを使用して、強力な暗号化プロトコルを実装してください。暗号化は、サーバー、データベース、デバイスに保存されているデータだけでなく、ネットワーク経由で送信されるデータも対象とする必要があります。業界標準の暗号化アルゴリズムを使用し、集中管理機能を備えた暗号化管理ツールによって暗号化キーが安全に管理されていることを確認してください。
- データ分類:データ資産は、組織にとっての機密性と重要度に基づいて分類する必要があります。データ分類に基づいてアクセス制御と暗号化を適用します。すべてのデータに同じレベルの保護が必要なわけではないため、リソースの価値に基づいて優先順位を付けます。
- データ損失防止(DLP)の実装: DLPソリューションを導入し、機密データの不正な共有や漏洩を監視・防止します。たとえユーザーが組織のデータに不正アクセスした場合でも、DLPは意図的か偶発的かを問わず、機密データの転送を識別・ブロックするメカニズムを提供します。
- 安全なバックアップとリカバリ:重要なデータは定期的にバックアップする必要があります。また、バックアップは常に安全に保管され、暗号化されていることを確認してください。データ侵害やデータ損失インシデントの影響を軽減するために、堅牢なデータリカバリ計画を策定しておくことも重要です。
ネットワークセグメンテーション
ネットワークセグメンテーションの実装は、組織がゼロトラストの導入を強化するためのもう一つの方法です。ネットワークセグメンテーションとは、組織のネットワークをより小さな独立したセグメントまたはゾーンに分割し、攻撃対象領域を縮小するプロセスです。以下のヒントは、このプロセスを容易にするのに役立ちます。
- マイクロセグメンテーションの導入:大規模で広範なセグメントを作成する代わりに、ネットワークをより小さく細分化されたセグメントに分割するマイクロセグメンテーションの導入を検討してください。このアプローチでは、各セグメントが分離され、独自のセキュリティポリシーと制御を適用できます。また、アクセスをきめ細かく制御できるようになり、侵害を小さなネットワークセグメント内に封じ込めることで、侵害の影響を軽減できます。
- ゼロトラストネットワークアクセスを導入: ZTNAソリューションは、ユーザーID、デバイスの状態、コンテキスト要因に基づいて厳格なアクセス制御を実施します。ZTNAは、ユーザーとデバイスが使用を許可された特定のネットワークセグメントとリソースにのみアクセスできるようにします。
- リモート アクセスにセグメンテーションを適用する:リモート ユーザーにタスクに必要なリソースのみへのアクセスを許可するように、リモート アクセスのセグメンテーションを実装します。
ゼロトラストセキュリティを8つのステップで実装する方法
ゼロトラスト セキュリティの中核となるコンポーネントを理解した上で、組織内でゼロトラスト セキュリティを正常に実装するための 8 つの手順の概要を説明します。
ステップ1. 攻撃対象領域を定義する
攻撃対象領域とは、不正アクセスが発生する可能性のあるポイントを指します。攻撃対象領域を特定することは、ゼロトラスト・セキュリティ・アプローチのチェックリストにおける最初の項目です。
まず、組織にとって最も重要なデータ、アプリケーション、資産、サービスを特定することから始めましょう。これらは攻撃者の標的となる可能性が最も高いコンポーネントであり、保護の優先順位を高く設定する必要があります。
まず、DAASのインベントリを作成し、ビジネスオペレーションにおける機密性と重要性に基づいて分類することをお勧めします。最も重要な要素に、最初にセキュリティ保護を適用する必要があります。
参照: Zero Trust Access for Dummies (TechRepublic)
ステップ2. データフローとトランザクションをマッピングする
データとアプリケーションを保護するには、それらがどのように相互作用するかを理解する必要があります。社内ネットワーク、社外ネットワークを問わず、アプリケーション、サービス、デバイス、ユーザー間のデータフローをマッピングします。これにより、データへのアクセス方法や潜在的な脆弱性が存在する可能性のある場所を可視化できます。
次に、データがネットワーク内およびユーザー間、あるいはデバイス間で移動する経路を一つ一つ文書化します。このプロセスにより、ネットワークのセグメンテーションとアクセス制御を規定するルールが策定されます。
ステップ3.マイクロセグメンテーション戦略を作成する
ここで言うマイクロセグメンテーションとは、ネットワークをより小さなゾーンに分割し、それぞれにセキュリティ制御を施すプロセスを指します。ネットワークをマイクロセグメンテーションすることで、ネットワーク内でのラテラルムーブメント(横方向の移動)を制限できる可能性が高まります。そのため、攻撃者がアクセスに成功したとしても、他のエリアに容易に移動することはできません。
ソフトウェア定義ネットワーク ツールとファイアウォールを使用して、データの機密性と手順 2 でマッピングされたフローに基づいて、ネットワーク内に分離されたセグメントを作成します。
ステップ4. アクセス制御のための強力な認証を実装する
正当なユーザーのみが特定のリソースにアクセスできるようにするには、強力な認証方法を使用します。MFAは、生体認証やワンタイムパスワードなど、パスワード以外の検証レイヤーを追加するため、ゼロトラストにおいて非常に重要です。
より安全な環境を確保するには、すべての主要システムにMFAを導入し、可能な限り生体認証やハードウェアトークンなどの強力な認証方法を使用することをお勧めします。機密性の高いDAASにアクセスする社内および社外のユーザーには、MFAを必須としてください。
参照: 効果的なサイバーセキュリティ意識向上プログラムの作成方法 (TechRepublic Premium)
ステップ5. 最小権限アクセスを確立する
最小権限アクセスとは、ユーザーが業務を遂行するために必要なデータとリソースのみにアクセスできるようにし、それ以上のアクセスは許可しないことを意味します。これを実現する良い方法は、すべてのリソースへのジャストインタイムアクセスを実装し、最も機密性の高い環境では常時権限をゼロにすることです。
これにより、データの偶発的または悪意のある不正使用の可能性を低減します。また、ロールベースのアクセス制御システムを構築することで、ユーザーの役割と職務に基づいて権限を厳密に定義・適用することもできます。アクセス権限を継続的に確認し、不要になった場合は取り消してください。
ステップ6. 監視および検査メカニズムを構築する
ゼロトラストにおいては、ネットワーク内のすべてのトラフィックをリアルタイムで可視化し、異常なアクティビティを迅速に検知できるため、監視は極めて重要です。そのためには、セキュリティ情報・イベント管理ツールや次世代ファイアウォールなどの継続的なネットワーク監視ソリューションを活用し、すべてのトラフィックを検査・記録する必要があります。また、異常な動作に対するアラートを設定し、定期的にログを監査することも重要です。
ステップ7. ゼロトラスト戦略の有効性を評価する
セキュリティは静的なものではありません。定期的な評価を行うことで、ゼロトラスト戦略が進化するネットワークとテクノロジーを継続的に保護し続けることが可能になります。これには、アクセス制御のテスト、セキュリティポリシーの見直し、そしてDAASの定期的な監査が含まれます。まずは、定期的な監査とセキュリティ評価(侵入テストを含む)を実施し、ゼロトラスト実装の弱点を検証しましょう。組織の成長や新しいテクノロジーの導入に合わせて、ポリシーを調整していくことができます。
ステップ8. 従業員にゼロトラストセキュリティトレーニングを提供する
従業員はセキュリティにおける最も脆弱な部分であることが多いです。フィッシング攻撃への引っ掛かりや機密データの不適切な取り扱いといった人為的ミスが侵害につながる可能性があるため、ゼロトラストの成功には、十分に訓練された従業員の確保が不可欠です。そのため、ゼロトラスト維持における従業員の役割を教育する包括的なセキュリティトレーニングプログラムを開発し、適切なパスワード管理、個人デバイスの安全な使用、フィッシング詐欺の見分け方といったトピックを網羅する必要があります。
2024年のベストゼロトラストセキュリティソリューション
今日では、多くのセキュリティソリューションプロバイダーが、サービスの一環としてゼロトラストを提供しています。ここでは、2024年に私が推奨するトップクラスのゼロトラストセキュリティソリューションをいくつか紹介し、それぞれの強みと最適なユーザー層について解説します。
Kolide: エンドユーザーのプライバシー保護に最適なゼロトラストソリューション
Kolideは、ゼロトラストはエンドユーザーのプライバシーを尊重することで効果的に機能すると考えています。このソリューションは、機密データポリシーの管理と適用のための、よりきめ細やかな方法を提供します。Kolideを利用することで、管理者はクエリを実行して重要な企業データを特定し、ポリシーに違反するデバイスにフラグを立てることができます。
Kolideゼロトラストソリューションの大きな強みの一つは、その認証システムです。Kolideはデバイスのコンプライアンスを認証プロセスに統合しているため、デバイスが標準に準拠していない場合は、ユーザーはクラウドアプリケーションにアクセスできません。
また、Kolide は、IT 部門の作業を増やすのではなく、ユーザーが自分でブロックを解除できるように手順を提供します。
Zscaler: 大企業に最適
Zscaler は、完全なクラウドネイティブ アーキテクチャを提供する、最も包括的なゼロ トラスト セキュリティ プラットフォームの 1 つです。
Zscalerは、人工知能を活用し、ユーザーIDの検証、接続先の特定、リスク評価、ポリシー適用を行い、あらゆるネットワーク上のユーザー、ワークロード、デバイスとアプリケーション間の安全な接続を確立します。また、セキュアWebゲートウェイ、クラウドファイアウォール、データ損失防止、サンドボックス、SSLインスペクションにも優れた技術を提供しています。
Zscalerは、ハイブリッドクラウドまたはマルチクラウドインフラストラクチャを備えた大企業に最適です。しかし、このソリューションで一つ気になるのは、Zscaler Private Accessサービスが、宣伝されている150拠点よりも少ない拠点数でしか利用できないことです。また、無料トライアルはなく、価格については相談が必要です。
StrongDM: DevOps チームに最適
StrongDMは、統合プラットフォームを通じて、データベース、サーバー、Kubernetesクラスターへの安全なアクセスを簡素化することに重点を置いています。StrongDMの継続的なゼロトラスト認証は、進化する脅威に基づいてリアルタイムで調整される適応型のセキュリティ対策を確立します。
StrongDMの単一のコントロールプレーンは、企業の多様なスタック全体にわたる特権アクセスを実現します。StrongDMソリューションの主要機能には、高度なStrongポリシーエンジンとコンテキストシグナルによる詳細な制御が含まれます。StrongDMは、DevOpsチームやインフラへの依存度が高い企業に最適です。
このソリューションは、脅威へのリアルタイム対応、簡素化されたコンプライアンスレポート、そして14日間の無料トライアルを提供している点が気に入っています。StrongDMの価格は1ユーザーあたり月額70ドルからと非常に高額ですが、あらゆるリソースタイプをサポートしています。大きな欠点は、SaaSのみの提供であり、管理対象リソースにアクセスするにはStrongDM APIへの継続的なアクセスが必要になることです。
Twingate: リモートワークを優先する中小企業に最適
Twingateは、従来のVPNに依存せずに、プライベートリソースとインターネットトラフィックをゼロトラストで保護します。このソリューションは、アクセスフィルターを使用して最小権限のアクセスポリシーを適用し、ユーザーがアプリケーション内で特定のタスクを実行するための権限のみを持つことを保証します。
Twingateの気に入っている点の一つは、セットアップの簡単さです。IPアドレスやファイアウォールルールといったネットワークインフラの変更は一切不要です。また、一般的なIDプロバイダー、デバイス管理ツール、セキュリティ情報・イベント管理システム、DNS over HTTPSサービスとの統合も可能です。
コマンドラインインターフェースが Linux ユーザー専用である点は気に入りませんが、段階的な価格設定の中に 14 日間の無料トライアルが含まれているので、その点は補えます。
JumpCloud オープンディレクトリプラットフォーム: 多様なデバイスエコシステムを持つ企業に最適
JumpCloudのオープンディレクトリプラットフォームは、ネットワーク内のユーザーに800以上の構築済みコネクタへの安全なアクセスを提供します。単一のゼロトラストプラットフォーム上で、ID管理とデバイス管理を統合します。クラウドベースのオープンディレクトリプラットフォームは、複数のオペレーティングシステムにまたがるサーバー、デバイス、ユーザーIDを管理するための統合インターフェースを提供します。これには、シングルサインオン、条件付きアクセス、パスワードレス認証などの高度なセキュリティ機能が含まれます。
JumpCloud は、Microsoft 360、AWS Identity Center、Google Workspace、HRIS プラットフォーム、Active Directory、ネットワーク インフラストラクチャ リソースなどの一般的なツールやサービスと統合できるため、多様なデバイス エコシステムを持つ企業に最適であると考えます。
JumpCloud Open Directory の価格は市場で最も安いわけではありませんが、30 日間の無料トライアルは、このソリューションに類似の製品に対する優位性を与えるものだと私は考えています。
Okta Identity Cloud: アイデンティティセキュリティを重視する企業に最適
Okta のシングル サインオン、多要素認証、適応型アクセス制御により、アイデンティティ ファーストのセキュリティを重視する組織にとって信頼できるソリューションとなります。
OktaのMFA機能は、Windows HelloやApple TouchIDといった最新のアクセスおよび認証方式をサポートしています。Okta Identity Cloudの欠点は価格の高さです。機能を一つずつ追加していくと、ユーザー1人あたり月額15ドルまで高額になる可能性があります。30日間の無料トライアルと、エンドユーザーによる設定を容易にするセルフサービスポータルが用意されています。
ゼロトラストアプローチ
実際には、ゼロトラストの導入は一度きりのプロセスではありません。これは、組織におけるテクノロジー、ポリシー、そして文化的な変革を組み合わせたセキュリティアプローチです。原則は一貫していますが、ゼロトラストの導入に使用するツールと戦略は、組織のインフラストラクチャとニーズによって異なります。ゼロトラストアプローチの主要な構成要素には、多要素認証(MFA)、アイデンティティ・アクセス・アクセス(IAM)、ネットワークのマイクロセグメンテーション、継続的な監視、そして最小権限の原則に基づく厳格なアクセス制御が含まれます。
また、ゼロトラストへの文化的転換には、セキュリティをIT部門だけの責任ではなく、組織全体の戦略に統合することが求められます。パスワードポリシーの遵守から不審な活動の報告まで、全従業員にセキュリティ維持における役割を教育し、認識させる必要があります。最終的には、部門間の連携がゼロトラストモデルの成功に不可欠です。
