ネットワーク&エンドポイント

ゼロトラスト・セキュリティーを、ネットワークを再構築することなく導入するための3つの方法

記事をシェアする:

リスクがこの世の中から無くなることはありません。企業で(特に若い世代の従業員の間で)モバイル・デバイスが大量に使用され、モノのインターネット (IoT) が広がり、サイバー犯罪が増加して深刻化する中、多くのセキュリティー専門家は、絶えず進化し続けるネットワークとデータのセキュリティー脅威を防ぐための最も安全なアプローチはゼロトラストであると考えています。

ネットワーク脆弱性は、どんなに可能性の低そうな場所でも発見されることがあります。例えば Bloomberg Businessweek(英語) は、ホテルの客室の電動式のリモート・カーテンのインターネット・ポートが、ホテル内部のコンピューター・システムへのアクセスに利用できるケースを紹介しました。幸い、このセキュリティー・ギャップは、監査中にサイバー・セキュリティー業者によって発見されたものですが、大きな教訓を残した事例となりました。今日のつながる世界において、鍵のかかっていないドア、バックドア、トラップ・ドアは、ほぼあらゆる場所に存在する可能性があります。

ゼロトラスト・セキュリティーとは

「ゼロトラスト」という用語は、米国政府のサイバー・セキュリティーの取り組みの一環としてテクノロジー専門家からの情報提供を求めていた米国国立標準技術研究所 (NIST) に対して、2010年に Forrester Researchのアナリストが提出したレポート内で提唱したものです。Forrester社は、「モビリティーやビッグデータといった変化によって、「より強力な壁の構築」が、「ネットワークを十分に保護することのできない費用のかかる茶番になってしまった」新しい環境について言及し、「セキュリティーを、境界だけでなくネットワーク全体のあらゆる場所に配備する」よう組織に促すゼロトラストの概念を紹介しました。

ゼロトラストとは、一連のプラクティスと、ネットワーク設計の根本原理との両方を指し、状況認識に投資し、堅固な脆弱性とインシデントの管理機能(英語)を開発することで、ITアーキテクチャーのDNAにセキュリティーを組み込むことを要求するものです。

つまりゼロトラストは、「信ぜよ、されど確認せよ」のアプローチから「確認せよ、そして信ずるな」へと反転するものということです。

ゼロトラスト・セキュリティーを実現する3つの手順

Forrester社によると、「準拠する必要のある場所だけでなく、保護する必要のあるシステム・リソースやデータ・リポジトリー」から始めて、ネットワークを完全に再構築するのが理想的です。しかし、ネットワークの再構築は望ましい長期的な目標ではありますが、大規模なプロジェクトを立ち上げることなくゼロトラストのメリットを獲得できる方法は無数にあります。

ゼロトラスト・セキュリティーの原理を組織に導入するために実行できる3つの手順を以下に示します。

1. ID検証の強化

ほとんどのネットワークにとって防御の第一線はパスワードですが、ユーザーの59%は複数のアカウントに同じパスワード(PDF, 英語) を使用しており、残りの41%は恐らく数文字しかパスワードを変えていません。IDおよびアクセス管理 (IAM) ソリューションでは、指紋や虹彩スキャンなどの生態認証要素や FIDO2 サポート・デバイスなどの物理オブジェクトの使用が必要になることのある多要素認証 (MFA)(英語)を適用することで、企業はセキュリティーを強化できます。

2. 機密データのセグメント化

ネットワークのセグメント化またはマイクロセグメント化を行うと、漏えいが発生した場合にネットワークの大部分を安全に保つことができ、損害を最小限に抑えることができます。例えば人事システムは、個人情報 (PII) を含むため、当然の選択です。専門家は、次世代のファイアウォールやデータ・セキュリティー管理などのネットワーク・マイクロペリメーター(英語)を実装し、侵入者が境界の防御を破って侵入できたとしても、既定のデータ・サブセット以外にはアクセスできないようにすることを推奨しています。

3. アクセス・行動履歴の精査

ネットワークの保護に加え、効果的なゼロトラスト戦略には、アクセス行動の監視と、分析を使用したパターンと傾向の調査が含まれます。アクセス行動を追跡(英語)し、パターン、傾向、潜在的な脅威を特定する分析ツールによって、データ・プライバシーが強化され、コンプライアンスへの対応と顧客の信頼向上が実現します。

ビジネスの成功を左右するセキュリティー

ネットワーク・データ漏えいは、クレジット・カード番号などの顧客情報だけでなく、企業の知的財産(英語)や従業員レコードなども危険にさらします。財務上の損害に加えて、評判や顧客の信頼の喪失と、一般データ保護規則 (GDPR) やその他のプライバシー法に違反する漏えいが見つかった場合の法的責任も問題になります。

悪意のあるハッカーは活動を停止することがありませんが、企業の善良なサイバー・セキュリティー・チームも同じです。ゼロトラスト・アプローチは、ハッカーと戦っていくうえでの無数の武器を提供してくれます。

SecurityIntelligence ポッドキャスト「Zero Trust and the Evolving Role of Identity and Access Management(英語)」もぜひご視聴ください。

 


【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】


Adam Case

Adam Case

Technical Offering Manager – Cloud Identity, IBM Security

Adam は、ID およびアクセス管理およびエンドポイント管理の分野において、Fortune 1000 の顧客に対してエンド・ユーザー・セキュリティー・ソフトウェアを実装した経験を持つ、企業セキュリティーの専門家です。現在は、IBM の Cloud Identity スイートの技術製品の指揮をとり、従業員およびコンシューマー・アプリケーションへのアクセスのための企業シングル・サインオンに向けた合理化されたアプローチを企業に提案しています。


この記事は次の記事の抄訳です。
3 Ways to Adopt Zero Trust Security Without Rebuilding Your Network(英語)

 

More ネットワーク&エンドポイント stories
2022-09-15

インシデント・レスポンス研修 (旧称 CSIRT研修)

IBMインシデント・レスポンス研修 (旧称:CSIRT研修)を、2023年3月6日(月曜日)~9日(木曜日)の4日間にて開催! 締切は2023年2月16日(木曜日)です。 サイバー脅威に備えてセキュリティー・インシデント […]

さらに読む

2021-07-02

Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.1 構想のポイント

多くの企業が、サイバー脅威への対応としてセキュリティー監視や有事対応の態勢を整備しています。昨今は特に、1) 脅威を如何に予防するか(Cyber Hygiene)、2)脅威に如何に集団防衛で立ち向かうか(Collecti […]

さらに読む

2021-07-02

Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.2 統合する機能

Vol.1では、グループ全体のセキュリティー態勢を一層向上するためにグループ横断的に専門知見を集約する組織として、Fusion Centerの概要、およびその主な目的と導入効果を説明しました。本稿Vol.2では、構想背景 […]

さらに読む