ゼロ トラストはサイバー セキュリティで最もよく使用される流行語の 1 つですが、このアプローチには具体的に何が含まれるのでしょうか?
ゼロ トラストの原則がどのようにイノベーションを加速し、組織を成功に導くのかを完全に理解する前に、ゼロ トラスト アプローチとは何かを理解することが重要です。
ゼロトラストとは何ですか?
「決して信頼せず、常に検証する」という原則に基づくゼロトラストは、組織のネットワーク内にあるすべてのものを暗黙的に信頼できるという時代遅れの思い込みへの対応として設計されています。従来のセキュリティレイヤーは、ユーザーとデータが常に企業の壁やデータセンターの範囲内(実店舗など)で動作することを前提としています。しかし、今日の企業では、ユーザーとパートナーがどこからでも作業し、データセンターや外部クラウドに展開されたアプリケーションやデータ(オンラインストアなど)にアクセスしています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ITセキュリティに対する従来のアプローチでは、管理されたネットワーク接続やアクセスといったインフラ資産を「多層防御」の考え方で保護することに重点が置かれていましたが、ビジネスユーザーは「スムーズな」考え方でファイルや資産への安全かつ確実なアクセスを求めていました。こうした考え方の違いにより、脅威アクターや悪意のある内部関係者は、生産性の低下や業務の中断といったリスクを負いながら、組織の機密データへのアクセスを悪用することになります。ゼロトラストアプローチは、データを保護すべき戦略的資産と位置付け、ネットワーク内のデジタルインタラクションのあらゆる段階で安全性とアクセスを継続的に検証することで、こうしたリスクを軽減します。こうした知見を踏まえ、セキュリティ専門家はゼロトラストアプローチを組織に導入しようとしています。例えば、連邦政府は今年初め、各機関や民間組織にゼロトラストの採用を義務付け、各機関に戦略導入リーダーを任命するよう促しました。
ゼロトラストをめぐる誤解
マルウェアは組織の規模を問わず脅威をもたらします。ゼロトラスト・アプローチの採用は、その脅威を軽減するための最初のステップとして最適です。ゼロトラスト戦略の構築において組織が犯しがちな最大の誤りの一つは、ゼロトラストをネットワークやデバイスなどのインフラ資産と関連付けてしまうことです。ゼロトラストの目的は、組織が継続的に利用する戦略的資産としてデータを保護するための原則として機能することです。ゼロトラスト・アーキテクチャでは、インフラが企業所有か個人所有か、IT部門によって完全に管理されているか、クラウドに移行されているかに関わらず、同じセキュリティポリシーを適用する必要があります。ゼロトラストの導入を成功させるには、データをアーキテクチャの中心に据え、企業のセキュリティ体制を強化する必要があります。
ゼロトラストの導入において組織が犯しがちなもう一つの誤りは、管理されたネットワーク接続のアップグレードと多要素認証の導入だけでデータ保護が可能だと考えることです。これらのセキュリティ機能は不可欠ですが、多くの企業は、ユーザーやアプリケーションが日々使用する企業データやコンテンツの保護を忘れがちです。こうしたデータは、サードパーティのパートナーからのファイルの受信、管理されていないコラボレーションサイトへのコンテンツのアップロード、サプライチェーンやデータレイクとのファイルの自動交換など、管理されていないシナリオで利用されることがよくあります。こうしたデータは現在、ベンダー、顧客、サプライヤー、事業部門、パートナー組織、コンサルタント、リモートワーカーなど、多岐にわたり共有されています。つまり、かつての部外者であったものが、今では内部者となり、最も強力な境界セキュリティでさえも無意味になっているのです。だからこそ、企業はコンテンツのライフサイクルに着目し、アプリケーション、サーバー、ネットワーク、ユーザーデバイス、データベース、クラウドなど、あらゆる場所を行き来する非構造化データを、その使用方法や保存方法に関わらず、常に保護する戦略を策定する必要があります。
ハッカーのように考える
ゼロトラスト原則を用いてデータとコンテンツを保護するには、セキュリティリーダーは、承認されたユーザーがデジタルファイルにアクセスし共有する様々な方法、ひいては潜在的に侵害される可能性を考慮する必要があります。例えば、すべてのファイルには、豊富なメタデータ、機能コンポーネントのレイヤー、さらにはビジネス用のマクロが含まれています。これらのファイルは、回避型マルウェアの侵入を受けやすいため、ほとんどのユーザーはこれらの情報の存在に気づきません。サイバー犯罪者は、ランサムウェアやゼロデイマルウェアをパスワード保護されたファイルやその他の「スキャン不可能な」ファイルに隠したり、既知の送信者からのフィッシングメールに悪意のある添付ファイルを仕込んだりするなど、高度な難読化技術を開発しています。
ファイルが悪意のある攻撃者によって悪用される様々な方法を理解することで、セキュリティ上の欠陥がどこにあるのかを把握できます。企業のITおよびクラウドインフラストラクチャにおいて、ユーザーやアプリケーションとデータとのやり取りのあらゆる側面をセキュリティで保護する単一のゼロトラストプラットフォームは存在しないことを覚えておいてください。そのため、組織は、コンテンツやデータがどこで使用されても容易に統合・保護できるよう、オープンでAPIベースの多様なセキュリティサービスを実装する必要があります。
結論
セキュリティリーダーは、組織が直面する脅威を再評価し、リスクを軽減するサイバーセキュリティ対策を優先順位付けする必要があります。ゼロトラストへのデータ中心のアプローチは、暗黙の信頼を排除し、管理対象および管理対象外のユーザーとアプリケーションによるデータへのアクセスが侵害される可能性があることを想定し、常に安全で安心なデータ利用を可能にするセキュリティ対策によってリスクを軽減することを意味します。セキュリティアーキテクトは、資産であるデータに至るまで、ゼロトラストアーキテクチャを設計・実装する必要があります。
どのようなセキュリティ技術やサービスを導入するかに関わらず、ゼロトラスト・アプローチの主な目標は、データ中心の文化を導入し、データをソースで保護し、安全なビジネス変革を実現することです。何もしないことの代償はあまりにも大きいのです。
ラヴィ・スリニヴァサン、Votiro CEO – サイバーセキュリティとテクノロジー変革の分野で25年以上の経験を持つラヴィは、CEOとしてVotiroを率いています。Votiroの使命は、あらゆるデジタルファイルが、その入手経路に関わらず、ユーザーが安全にアクセスできる環境を提供することです。Votiro入社以前は、Forcepoint、IBM、Synopsys、Texas Instrumentsで、製品およびマーケティングの分野で数々のリーダーシップ職を歴任しました。
