ゼロトラストとは?
- IAM 用語集
- ゼロトラストとは?
ゼロトラストは、暗黙的な信頼を排除し、すべての人間とデバイスを継続的かつ明示的に検証し、ネットワークシステムとデータへのアクセスを厳密に制限する最新のセキュリティフレームワークです。ユーザーがどこからログインしているかではなく、そのユーザーが誰であるかに注目します。
ゼロトラストの中核となる原則は?
ゼロトラストは、3 つの基本原則に基づいています:
漏洩を想定する。 セキュリティ対策は万全でも、漏洩はいずれ起こるものです。ネットワーク上のあらゆるユーザー(人またはデバイス)が、今まさに危険にさらされている可能性があります。ネットワークのセグメント化、エンドツーエンドの暗号化、スマート分析による潜在的な脅威の特定など、「blast radius(爆発半径)」を最小化するための対策を講じる必要があります。
明示的に検証する。 すべての人間と機械は、組織のネットワークとそこに含まれるすべてのシステム、アプリケーション、データにアクセスする前に、自分が本人であることを証明する必要があります。
最小特権を確保する。 ネットワークにログオンしたユーザーは、業務遂行に必要となる最小限のネットワークアクセス権を持つべきであり、それ以上の権限を持つべきではありません。ゼロトラストの展開には、最小特権でアクセスできるロールベースのアクセス制御(RBAC)が常に含まれます。
ゼロトラストセキュリティはどのように機能する?
ゼロトラストは、暗黙の信頼を排除することによって機能します。歴史的に、ネットワークセキュリティモデルは、ネットワーク境界内のすべてのユーザーとデバイスを暗黙のうちに信頼していました。これは、ネットワークコンポーネントとユーザーがほとんどオンプレミスにしか存在しない場合には、うまく機能しました。しかし、クラウドコンピューティングの普及や、最近ではリモートワークの普及により、「ネットワーク境界」はもはや存在しなくなっています。現在では、圧倒的多数の組織が、オンプレミスの「プライベート」クラウドと少なくともひとつのパブリッククラウドの両方で構成されるハイブリッドデータ環境を使用しており、ユーザーはどこにいても組織のリソースに接続できるようになっています。
ユーザーが認証され、ネットワークへの接続が許可されたとしても、なんでも自由に行えるわけではありません。ユーザーがネットワーク内を移動する際に、アイデンティティとデバイスの検証が行われ、各ユーザーは業務に必要なリソースにのみアクセスすることができます。
ゼロトラストセキュリティモデルにおいては、最小特権アクセスと RBAC は、とりわけセンシティブなデータ資産の「マイクロセグメンテーション」を含むネットワークセグメンテーションにより補完されています。この考え方は、ネットワーク全体には境界がないものの、特定のワークロードやデータのために小さなセグメントに分け、各セグメントに独自の出入口制御を設けるというものです。ゼロトラスト・マイクロセグメンテーションの一般的な使用例として、従業員の税金データや保護された健康情報などの規制対象データを、規制対象外のデータから分離することがあります。
ネットワークへのアクセスレベルを制限し、ネットワークをセグメント化、マイクロセグメント化し、特権ユーザーの数を厳密に制御することで、ゼロトラストは、脅威者がセンシティブなシステムやデータを侵害する能力を制限することができます。
ゼロトラストの利点とは?
ゼロトラストにはさまざまな利点があります。だからこそ多くの組織がゼロトラストを採用しているのです。
- IT およびセキュリティ管理者は、データ環境全体におけるすべてのユーザー、システム、デバイスを可視化することができます。誰がどこからネットワークに接続しているのか、何にアクセスしているのかを確認することができます。
- ゼロトラストは、異なるネットワーク間であっても、人々、アプリケーション、サービスが安全に通信できるようにするので、ユーザーの自由度と柔軟性が高まります。自分のデバイスを使用していても、自宅やその他の遠隔地から安全に接続することができます。
- ゼロトラストは、ユーザーとデバイスを明示的に検証することでパスワードに関連するサイバー攻撃のリスクを大幅に低減させます。ロールベースのアクセス制御と特権アクセス管理により、万が一侵害が発生した場合でも特権昇格のリスクを最小限に抑えます。
- ゼロトラスト認証、ロールベースアクセス制御、ネットワークセグメンテーション/マイクロセグメンテーションは、コンプライアンスへの取り組みを支援し、コンプライアンス監査における検出を減らすことができます。
ゼロトラストセキュリティはどのように実装される?
ゼロトラスト・セキュリティ戦略を実装する際の最大の課題のひとつは、普遍的な実装基準が存在しないことです。多くの企業は、「NIST Special Publication 800-207」に記載されている 7 つのステップからなるプロセスを採用しています:
1. ユーザーを特定する
これには、人間のユーザーと、サービスアカウントなどの人間以外のアイデンティティの両方が含まれます。NIST は、IT 管理者や開発者を含む特権ユーザーは、デジタルリソースへと自由にアクセスできる可能性があるため、特別な精査が必要であると指摘しています。ゼロトラストのフレームワークでは、特権アカウントであっても最小特権にとどめ、アカウントのアクティビティをモニタリングし、ログに記録しなければなりません。
2. ネットワークに接続するすべての資産を特定し、管理する
組織のネットワークに接続するすべての資産を特定し、管理することは、ゼロトラストの展開を成功させるための鍵であると言えます。これには以下が含まれます:
- ノートパソコン、モバイルデバイス、IoT デバイス、その他のハードウェアコンポーネント。
- アプリケーションやデジタル証明書などのデジタルアーティファクト。
- 組織に所有物されてはいないが、組織のネットワークインフラに接続したり、ネットワークリソースにアクセスできるデバイス。
NIST は、包括的な資産インベントリーの作成が不可能な場合があることを認めています。したがって、組織は、「企業が所有するインフラ上に新たに発見された資産を迅速に識別、分類、評価」できることも確認する必要があります。
資産の現状を観察する能力はゼロトラスト認証プロセスの一部であるため、このステップには資産のカタログ化に加えて、構成管理とモニタリングが含まれます。
3. 重要なプロセスを特定し、それらのリスクを評価し、ゼロトラストの「候補」を特定する
組織のミッションに対する重要性を含め、組織のビジネスプロセスとデータフローのリスクを特定し、ランク付けし、評価します。 これにより、どのプロセスがゼロトラスト展開の初期候補としてふさわしいかを知ることができます。 NIST では、クラウドベースのリソースに依存するプロセスやリモートワーカーによって使用されるプロセスから着手することを推奨しています。これらは、最も即効性のあるセキュリティ改善につながるからです。
4. 「候補」に対するゼロトラストポリシーを策定する
これは、ステップ 3 の続きです。ゼロトラストに移行する資産やワークフローを特定したら、その資産やワークフローが使用する、または影響を与える上流と下流のリソースをすべて特定します。これにより、ゼロトラストへの移行「候補」を確定し、それらに適用される最小権限やその他のポリシーが、ワークフローを阻害することなく最大限のセキュリティを達成することを保証します。
5. ツールセット/ソリューションの特定と選択
市場にはゼロトラスト対応ソリューションが多数存在しますが、そのすべてが特定のデータ環境やビジネスニーズに適しているとは限りません。NIST は、ゼロトラストツールを選択する際に、以下の点を考慮に入れることを推奨しています:
そのソリューションは、クライアント資産にコンポーネントをインストールする必要があるでしょうか? これはビジネスプロセスを制限する可能性があります。
そのソリューションは、ビジネスプロセスのリソースがオンプレミスに存在する場合に有効でしょうか? 一部のソリューションでは、要求されたリソースが企業の境界内(いわゆる東西方向のトラフィック)ではなく、クラウド(南北方向のトラフィック)に存在することを前提としています。このことは、ハイブリッドクラウド環境において問題となります。重要な機能を実行するレガシーの基幹業務用アプリケーションは、クラウドへの移行が難しいため、オンプレミスで実行されている可能性があります。
そのソリューションは、分析のためにインタラクションを記録する手段を提供してるでしょうか? ゼロトラストのアクセス判断は、プロセスフローに関連するデータの収集と利用に大きく依存します。
そのソリューションは、様々なアプリケーション、サービス、プロトコルを幅広くサポートしているでしょうか? ソリューションによっては、幅広いプロトコル(SSH、ウェブなど)やトランスポート(IPv4、IPv6)をサポートしているものもありますが、ウェブやメールにしか対応していないものもあります。
そのソリューションでは、既存のワークフローを変更する必要があるでしょうか? ソリューションによっては、所定のワークフローを実行するために追加の手順を必要とする場合があり、組織としてワークフローを変更する必要があることもあります。
6. 初期導入とモニタリングを開始する
NIST は、IT チームとセキュリティチームが、ポリシーとプロセスが効果的で実行可能であることを確認できるように、ゼロトラストを「監視モード」で初期展開することを検討するよう推奨しています。さらに、ユーザーとネットワークのアクティビティの基準値が確立されると、セキュリティチームがその後の異常なアクティビティをより適切に特定することができるようになります。
7. ゼロトラストアーキテクチャを拡大する
ゼロトラストの初期展開が終わったら、次の候補セットを移行する時がやってきます。このステップは継続的なものです。組織のデータ環境やワークフローに変更が生じるたびに、それに応じてゼロトラストアーキテクチャを再評価し、調整する必要があります。
ゼロトラストセキュリティはどのように実装される?
ゼロトラストとゼロ知識は全くの別物ですが補完的な概念です。ゼロトラストのモットーが「誰も信用しない」であれば、ゼロ知識のモットーは「データにアクセスする方法がないので、私たちは何も知りません」となります。
ゼロトラストは、ユーザーとデバイスが正しい属性と特権を持っていることを継続的にモニタリングし検証することで、認証されたユーザーのみがネットワークリソースとデータにアクセスできることを保証します。
ゼロ知識は、独自の暗号化とデータ分離のフレームワークを利用し、IT サービスプロバイダーがサーバーに何が保存されているのかを知ることができないようにします。Keeper はゼロ知識セキュリティプロバイダーであり、弊社のすべての製品はゼロ知識アーキテクチャを使用して構築されています。これは、次のことを意味します:
- 顧客データは(サーバー上ではなく)デバイスレベルで暗号化および復号されます。
- アプリケーションは、(人間が読むことのできる)プレーンテキストのデータを保存しません。
- Keeper のサーバーは、平文でデータを受信、保管することはありません。
- データを復号および暗号化する鍵は、ユーザーのマスターパスワードから派生されます。
- マルチレイヤー暗号化は、ユーザー、グループ、管理者レベルでのアクセス制御を提供します。
- データの共有には公開鍵暗号を使用し、安全に鍵を配布します。
- データは送信され、Keeper のデジタルボルトに保管される前に、ユーザーのデバイス上で暗号化されます。データが他のデバイスに同期される場合、そのデータは他のデバイスで復号されるまで暗号化されたままとなります。
ゼロ知識は、遠隔地からのデータ侵害の「blast radius(爆発半径)」を制限することで、ゼロトラストをサポートします。万が一 Keeper が侵害されたとしても、脅威者が顧客のボルトの中身にアクセスすることは全くもって不可能です - なぜなら、私たちですらそれはできないからです!