データ侵害やサイバーセキュリティ攻撃の成功にかかるコストは、世界中で上昇し続けています。実際、COVID-19が大流行したここ数カ月間、悪質な脅威の事例とその後の被害は急激に増加しています。IBMが毎年発表している「データ侵害のコストに関する調査レポート」によると、1件のデータ侵害インシデントの平均コストはなんと424万ドル(約5億円)という途方もない金額に上っています。これは、この年次レポートが発行され始めて以来の最高額です。
今日のデジタル世界の状況では、もはや中小企業も悪質な攻撃から安全とは言えません。ハッカーから見れば、すべての企業が標的です。COVID-19によってもたらされた変化により、ビジネスを破壊しかねないこれらの脅威から事業を保護することが、より一層重要になっています。
ゼロトラストセキュリティプロトコルの採用は、企業の機密データを保護する最も効果的な方法の一つであることは間違いないでしょう。この記事では、ゼロトラストセキュリティプロトコルの仕組みと、このフレームワークから得られるメリットについて説明します。
ゼロトラストセキュリティとは?
ゼロトラストセキュリティフレームワークの中核にあるのは、いかなる資格情報も信頼するべきではないという前提です。ユーザーが組織のネットワークの外部にいるか内部にいるかに関係なく、アクセスには認証、承認、および継続的な検証が必要です。
ゼロトラストセキュリティにはいくつかの形式があります。実際、企業はこのフレームワークを独自の形式で作成することができます。しかし、ゼロトラストセキュリティのプロトコルの標準を作成した公認の組織が多数あります。NIST 800-207は、機密情報への不正アクセスを防止し、資格情報とアクセスをきめ細かく制御することを目的としたゼロトラストのガイドラインです。
NIST 800-207は、ゼロトラストセキュリティの重要な7つの原則を強調しています。その内容は以下のとおりです。
•すべてのデータソースを「リソース」と見なす
•あらゆる形態の通信の安全を確保する
•「セッション単位」でアクセス権を証明する
•すべてのデバイスの安全を確保する
•アクセス提供前の動的認証・認可を実装する
•ネットワークについてできるだけ多くの情報を収集する
すべての米国連邦政府機関を含むほとんどの行政機関は、NIST 800-207に準拠したゼロトラストセキュリティのプロトコルを採用しています。これは、2020年から2021年前半にかけて増え続けた大物狙いの攻撃への対応です。
ゼロトラストセキュリティのしくみ
実のところ、ゼロトラストセキュリティフレームワークの実装は、単体のソフトウェアをダウンロードするといった単純なものではありません。このプロトコルは、ネットワークとそのデータをあらゆるポイントで保護することを目的とした、いくつかの高度なサイバーセキュリティ技術の組み合わせです。このような先進的な技術には、多要素認証、エンドポイントセキュリティ、クラウド技術などが含まれます。
ゼロトラストセキュリティは、現在のセキュリティの原則である「Trust But Verify(信頼はするが検証はしない)」を脱却したものです。その代わりに、このフレームワークは「Never Trust, Always Verify(決して信頼せず必ず検証する)」という基準で運用されます。このアーキテクチャでは、ネットワーク内外のすべてのユーザーとデバイスについて、継続的な監視と検証が必要です。また、すべてのアクセス要求を検証し、リアルタイムの可視性を確保することが重要です。このモデルでは、ワンタイム確認・検証だけではネットワークのデータを保護するのに十分ではありません。
ゼロトラストセキュリティの基本原則
NIST 800-207 ゼロトラストセキュリティは、7つの基本原則の他に、3つの基本原則に準拠しています。その3つは以下のとおりです。
•継続的な検証
前述のように、ゼロトラストセキュリティフレームワークは「Verify and Never Trust(決して信頼せず必ず認証する)」という原則に基づいています。そのため、このプロトコルでは、いかなるときも、いかなるゾーン、資格情報、アクセス、ユーザー、デバイスも信頼しません。ネットワークにアクセスしようとするすべてのユーザーに対して、継続的な検証が要求されます。ゼロトラストセキュリティプロトコルは、リスクベースの条件付きアクセスによる継続的な検証を行います。この方法なら、高レベルのセキュリティ検証を行ったとしてもユーザーエクスペリエンスが損なわれることはありません。
•資格情報の有効範囲の制限
ゼロトラストセキュリティでは、アクセスを試みるすべてのユーザーを検証するだけでなく、攻撃が成功した場合の被害範囲を常に限定するよう心がけています。アイデンティティベースのセグメンテーションと最小権限の原則により、たとえ資格情報を持つユーザーであってもネットワークへのアクセスは制限されます。
•自動化された情報収集と対応
ゼロトラストセキュリティ戦略は、それまでのセキュリティ上のできごとを基に構築されるべきです。このフレームワークは、効果的に行われれば、継続的にデータを処理し、適切な変更にリアルタイムで対処します。
ゼロトラストセキュリティ実装の各段階
前述のように、ゼロトラストセキュリティプロトコルの実装は簡単ではありません。また、一律に適用できるものでもありません。各組織がそれぞれのニーズに合ったゼロトラストセキュリティ戦略を策定することができます。とは言っても、ゼロトラストプロトコルの実装には、一般的な3つの段階があります。
第1段階は、外部または内部の脅威を可視化することです。この段階では、ネットワークに対して考えられるすべての脅威を特定することが第一の目標となります。この段階では、すべてのエンドポイントを探し出し、その数を確認します。
脅威を特定したら、攻撃の被害の軽減が、ゼロトラストセキュリティフレームワークにおける次の重要なステップです。この第2段階では、リアルタイム監視、行動分析、アクセス制限、侵害の影響などを組み合わせて、起こりうる攻撃に対処する準備が整っている場合がほとんどです。
有効な軽減策を講じたら、最後のステップでは、セキュリティプロトコルを最適化し、組織のあらゆる面をカバーするように保護を拡張します。
ゼロトラストセキュリティを採用するメリット
企業がゼロトラストセキュリティの採用には、多くのメリットがあります。その厳格な属性により、サイバーセキュリティ攻撃やデータ侵害に巻き込まれるリスクを低減します。また、ネットワークにアクセスできるすべての人を含め、ネットワークの現状をより明確に把握することができます。
また、クラウドベースのアーキテクチャに移行しても、ネットワークの制御を失う恐れがありません。ゼロトラストセキュリティでは、IPアドレスやポートなどの異なるネットワーク構成に影響されることなく、資産を十分に保護することができます。
同様に、ゼロトラストセキュリティのプロトコルは、企業がプライバシー標準に準拠していることを保証します。このフレームワークは、インターネットからすべてのユーザーと接続を保護するため、情報を共有したり、悪用したりすることはできません。
ゼロトラストセキュリティのフレームワークをゼロから構築することは、単純でも簡単でもありません。企業の目標や優先順位に精通した専門知識が必要です。
しかし、このような移行を企業がすべて自力で行う必要はありません。セキュアブレインは、ゼロトラストのセキュリティ戦略を補完する、十分に試行を重ねたセキュリティソリューションを提供しています。
セキュアブレインが提供するサービスについては以下よりお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html
本記事はセキュアブレイン英語サイトの翻訳です。
https://www.securebrain.co.jp/eng/blog/what-is-zero-trust-security/
