テクノロジーがより高度になり、民主化が進むにつれて、悪意のある攻撃者は企業のネットワークを侵害する新しい方法を見つけます。ビジネス慣行の変化と新しい働き方も、企業内の機密データを保護する必要性を生み出しています。この進行中の「綱引き」は、全体的により改善され洗練されたサイバーセキュリティ慣行をもたらします。
ゼロ トラストは、近年企業の注目を集めているモデルの 1 つです。企業に対するサイバー攻撃の数が劇的に増加しているため、多くの企業はデータを保護するためにゼロトラスト アーキテクチャを検討しています。
ゼロトラストとは?
ゼロトラスト セキュリティは、ネットワークにアクセスしようとするすべてのユーザーに身元の確認を求めるサイバー セキュリティ モデルです。これは厳密な要件であり、ネットワーク内外のすべてのユーザーに適用されます。
「ゼロ トラスト」という用語は、Forrester Research のアナリストでありソート リーダーである John Kindervag に由来し、組織のネットワークの内外からセキュリティ リスクがどのように発生するかを説明しました。
ゼロ トラスト セキュリティが必要な理由
これまで、企業は一般に、ネットワークの境界に重点を置いてサイバー攻撃を阻止しようとしてきました。標準的な方法は、ネットワーク内のユーザーとデバイスが自動的に信頼される「信頼するが検証する」方法に基づいていました。これらの信頼できるユーザーはネットワーク内で許可され、その後は毎回再認証する必要はありませんでした。
これは、悪意のある内部関係者や、正当な内部ユーザーの認証情報が攻撃者に乗っ取られるリスクを企業にもたらしました。パンデミックが始まって以来、企業がデジタルトランスフォーメーションやクラウド移行の取り組みを加速させ、リモートワークが進むにつれて、リスクはさらに深刻化しました。米国だけでも、 サイバー攻撃が300%増加 世界経済フォーラムによると、2021年の最初の9か月間で、シンガポールでは2020年に16,117件のサイバー犯罪が発生し、シンガポールサイバーセキュリティ庁(CSA)の報告によると、2019年に記録された9,349件から増加しました。
これらの傾向は、企業がネットワークに入るユーザーを認証して信頼するためのより厳格な方法を必要としていることを明確に示唆しています。これが「ゼロ トラスト アーキテクチャ」の基盤であり、内部と外部の両方のユーザーが、ネットワークにアクセスしようとするたびにアクセス権限を入力することによって、その信頼性を証明する必要があります。
ゼロ トラスト アーキテクチャのしくみ
ゼロトラスト アーキテクチャは、John Kindervag によって提案された「決して信頼せず、常に検証する」という格言に基づいています。これには、多要素認証、エンドポイント セキュリティ、ID 保護、データ暗号化、電子メール セキュリティなどのさまざまな技術の組み合わせが含まれます。
最初のステップでは、ファイル、ワークロード、サービスなど、ネットワークの最も重要で価値のあるデータを特定します。これに続いて、優先度の高い資産を保護するためのゼロトラスト ポリシーの優先順位付けと作成が行われます。
次に、ユーザーが誰で、どのアプリケーションを使用しているか、どのようにネットワークに接続しようとしているのかを理解する必要があります。これにより、重要な資産への安全なアクセスを保証するポリシーを決定して適用できます。
これに続いて、ネットワーク環境内のトラフィックとユーザーに対する継続的な監視と可視化が行われます。暗号化されたトラフィックを含む、特にネットワークの異なる部分間のトラフィックの制御にも重点が置かれています。
ゼロ トラスト モデル: 主な原則
ゼロ トラスト モデルはいくつかの重要な原則に依存しており、これらの原則がすべて連携して、ネットワークの他のより機密性の高い部分への各ユーザーの露出を減らしたり、個々のユーザーの範囲内にない可能性があります。これらの原則には以下が含まれます。
すべての接続を終了する
ゼロトラスト セキュリティ ソリューションは、暗号化されたものを含むトラフィックを宛先に送信する前にリアルタイムで検査できるように、すべての接続を終了します。これは、ファイルが配信されるときにファイルを検査するファイアウォールのようなソリューションよりも有利です。ファイルが悪意のあるものであることが判明した場合にアラートを出すには遅すぎる可能性があります。
コンテキストベースのポリシー
ユーザーがアクセスを要求しているコンテキストは、ゼロ トラスト ポリシーで重要な役割を果たします。アクセスを許可する前に、ユーザーの身元、デバイス、場所、アクセスされているコンテンツの種類、要求されているアプリケーションなどのさまざまな属性が考慮されます。
デバイス アクセス制御
ゼロトラスト モデルでは、デバイスの厳密な制御と監視が行われます。アクセスを試みているさまざまなデバイスの数と、それらが承認されているかどうかを監視します。これにより、デバイスが危険にさらされず、ネットワークの攻撃対象領域が最小限に抑えられます。
マイクロセグメンテーション
マイクロセグメンテーションは、ネットワークのさまざまな部分が個別のアクセス ルールを維持できるように、セキュリティ境界を小さなゾーンに分割する手法です。ゼロトラスト アーキテクチャは通常、ソフトウェア定義のマイクロセグメンテーションを採用し、データ センターや分散型のハイブリッドおよびマルチクラウド環境など、その場所に関係なくデータを安全に保ちます。
多要素認証 (MFA)
ゼロトラスト セキュリティのもう 1 つの基本原則は、多要素認証 (MFA) です。 MFA では、ユーザーは認証のために複数の証拠を提示する必要があります。パスワードを入力するだけでは十分ではありません。これの単純なアプリケーションは、パスワードに加えて、携帯電話やトークンなど、ユーザーが所有する 1 つのデバイスに送信されたパスコードを入力するように求められる場合です。
ゼロ トラスト ネットワーク アクセスで企業を保護
CDNetworks のオファー エンタープライズ セキュア アクセス (ESA)、クラウドベースの安全なリモート アクセス サービス。 Software-Defined Perimeter (SDP) インフラストラクチャを使用したゼロトラスト実装を使用して、あらゆるデバイスのあらゆる環境のあらゆるプラットフォームへのアクセスを制御します。
また、ID 認証、アプリケーション アクセラレーション、統合管理など、必要なすべての機能が統合されており、許可されたユーザーのみが特定のアプリケーションにアクセスできるようになっています。 ESA を使用すると、企業は、分散した従業員のデバイスを保護しながら、ネットワークをサイバー攻撃から保護しながら、自信を持ってリモートおよびハイブリッド ワークの配置を実装できます。 ESA は、発信元の IP アドレスとポートをセキュリティ ゲートウェイの背後で保護し、ネットワーク攻撃が宛先に到達する前に傍受します。
