最近のさまざまな傾向により、企業はデータ損失防止へのアプローチを再考せざるを得なくなりました。デジタル変革、クラウドへの移行の加速、SaaS アプリケーションの急増、ハイブリッド ワークへの移行により、企業はデータ侵害に対してより脆弱になっています。
境界またはファイアウォール内の信頼できるデバイス、あるいは VPN で接続されたデバイスなど、従来のセキュリティ アプローチは、このような複雑なネットワークではもはや適切ではありません。
データ侵害は、これまで以上に企業に多大な損害を与えています。IBM の 2022 年データ侵害コストレポートによると、ASEAN 地域でのデータ侵害の平均コストは 287 万ドルで、2021 年の 1 億 4,000 万ドルから増加しています。企業がデータ損失防止戦略を根本的に転換する必要があることは明らかです。データ損失リスクに対処するための新しいアプローチの 1 つが、ゼロ トラスト セキュリティ モデルです。
実際、ゼロ トラスト アプローチは、組織が従うべきコンプライアンス要件を導入するさまざまな政府機関からも支持されています。米国では、ホワイト ハウスの大統領令により、ゼロ トラスト アプローチが、さまざまなセクターにわたる最新のサイバー セキュリティ プログラムのベスト プラクティスとして明確に義務付けられました。
これは複雑な領域なので、まずはゼロトラスト セキュリティ モデルの簡単な説明から始めましょう。
ゼロトラストデータ保護の簡単な定義
ゼロ トラスト データ保護は、ゼロ トラストの原則をデータ アクセスとデータ保護に適用するサイバー セキュリティ モデルです。
の ゼロトラストモデル は、「決して信頼せず、常に検証する」という原則に基づく最新のセキュリティ戦略です。企業のファイアウォールの背後にあるものはすべて安全であると想定するのではなく、ゼロ トラストの原則では、侵害を想定し、各リクエストをオープン ネットワークからのものとして検証します。
Forrester Research は 2010 年に初めてゼロ トラストを定義しました。当時は、一部のテクノロジに必要な統合機能が不足していたため、ネットワーク中心のセキュリティ ポリシーからの移行が制限されていました。10 年が経過し、状況は一変しました。現在では、アクセス制御に重点を置いたオプションが多数あり、ゼロ トラスト データ セキュリティの実装がはるかに容易になっています。
ゼロトラストが企業データを保護する方法
ゼロ トラスト アーキテクチャは、ユーザー側、アプリケーションまたはデータ レベル、送信中などの主要な柱にわたって採用される個別の手法に依存します。
成功するゼロ トラスト セキュリティ ポリシーの重要な特徴を簡単にまとめると次のようになります。
- ネットワークは常に敵対的であると想定してください。
- ネットワーク内の内部および外部の脅威の存在を認識します。
- ネットワークが信頼できるかどうかを判断する際には、ネットワークの場所だけでは不十分であることを理解してください。
- すべてのユーザー、デバイス、ネットワークに対して認証および承認プロセスを設定します。
ユーザー側からの保護
ユーザー側では、ゼロトラストはユーザーとデバイスの識別にとどまりません。アイデンティティアクセス管理 (IAM) システムとの統合、多要素認証 (MFA) とシングルサインオン (SSO) による認証を含むように進化しています。すべてのデバイスまたはユーザーは、最小権限アクセス制御を使用して認証され、明示的に承認されるため、ユーザーの権限範囲内の重要なデータにのみアクセスが与えられます。マルウェアやランサムウェアなどのサイバー脅威を回避するために、ユーザーのデバイスのセキュリティもチェックされます。
アプリケーション/データ側からの保護
アプリケーションまたはデータ レベルでは、ゼロ トラストはネットワークから攻撃対象領域を排除し、機密データの安全ゾーンを作成します。接続はユーザーからアプリへ、またはアプリ間で直接行われるため、ネットワーク内での横方向の移動が排除され、侵害されたデバイスが他のリソースに感染するのを防ぐことができます。ユーザーとアプリはネットワークからは見えないため、発見されたり攻撃されたりすることはありません。データ損失防止機能により、スクリーンショット、印刷、コピー アンド ペースト、ファイル転送も防止され、透かしも生成される場合があります。
データ送信からの保護
ゼロトラストアーキテクチャでは、データ保護のためにいくつかの技術が使用されています。 データ送信 相互 TLS または MTLS、HTTPS、IPsec、データ損失防止などのセキュリティ保護機能を備えています。
HTTPS トンネルは、コネクタとユーザー クライアント間の安全な接続を確立するためにも使用されます。また、ネットワーク上の 2 台以上のデバイス間の安全な接続を確立することもできます。MTLS は相互認証の方法で、ネットワーク接続の終端にいるユーザーが正しい秘密キーを持っていることを保証します。終端にいる各当事者の TLS 証明書には、追加の検証のための情報も含まれます。
IPsec は、通信セッションの各 IP パケットを認証および暗号化することで、インターネット プロトコル (IP) 通信のセキュリティを確保するプロトコルのセットです。データ損失防止には、組織の機密データを不正アクセスから保護するために設計された一連のプロセスとツールが含まれます。
ゼロトラストデータセキュリティが重要な理由
ゼロ トラスト データ保護は、組織のリソースへのアクセスをより安全に管理できるアプローチを提供するため、非常に重要です。ゼロ トラストが今や必須である 5 つの理由をご紹介します。
サイバーセキュリティ
サイバー攻撃はますます巧妙化しています。従来の境界ベースのセキュリティ対策では、機密データの保護がもはや不十分です。ゼロ トラスト セキュリティ モデルは、継続的な検証と承認により不正アクセスのリスクを軽減します。
モバイルワーカー
リモートワークは今後も続くでしょう。つまり、従業員はこれまで以上に多くの場所やデバイスからデータにアクセスすることになります。ゼロ トラスト データ セキュリティにより、アクセス場所に関係なく、ユーザーの ID が検証され、データが保護されます。
インサイダーの脅威
潜在的か偶発的かを問わず、内部脅威はデータ セキュリティに重大なリスクをもたらします。ゼロ トラスト ネットワーク アクセスは、組織内のユーザーを含むすべてのユーザーの権限の確認と付与に重点を置いています。これにより、内部攻撃による潜在的な損害を最小限に抑えることができます。
データプライバシー規制
HIPAA、GDPR、CCPA などの規制要件では、組織に厳格なデータ保護対策を講じることが求められています。ゼロ トラスト データ保護は、許可されたユーザーとデバイスのみがデータにアクセスできるようにすることで、企業の規制遵守を支援します。
クラウド導入
企業がクラウドに移行するにつれて、従来のネットワーク境界は消滅しました。ゼロ トラストは、さまざまな場所やデバイスからデータにアクセスするクラウド セキュリティとハイブリッド クラウドにとって不可欠なものとなっています。
ゼロ トラスト アーキテクチャに CDNetworks を使用する理由
CDNetworks は、今日の企業におけるゼロ トラスト アーキテクチャの重要性を理解しています。このニーズを念頭に置き、当社は企業に安全なリモート アクセスを提供するクラウド サービスである Enterprise Secure Access (ESA) を提供しています。ESA には、ゼロ トラスト アクセスを確立するために必要なすべての重要な技術が組み込まれており、ハイブリッド作業環境を維持しながらクラウドベースのアプリケーションを引き続き使用できます。
ESA はソフトウェア定義境界 (SDP) インフラストラクチャを使用して実装されており、あらゆる環境のあらゆるデバイスであらゆるプラットフォームとの間でゼロ トラスト ポリシーを適用できます。ESA を使用すると、CDNetworks のグローバルに分散された DDoS 耐性エッジ ネットワークを活用してリモート アクセスを高速化し、ユーザーにアプリケーションへの高速かつ安全なアクセスを提供することもできます。管理しやすいプラットフォームでは、アプリケーションとユーザーを個別に、または一括して設定および管理することもできます。さらに、視覚的なレポートとアラートにより、インテリジェントな意思決定をサポートする洞察が得られます。
