従来、ネットワークセキュリティに関する議論は、組織が広く内在化している特定のモデルに焦点を当ててきました。このモデルは境界ベース、つまりパラメータベースのモデルであり、ネットワークの外側に境界(ペリメーター)が存在することを前提としています。このモデルによれば、サイバーセキュリティは基本的にこのパラメータを強化することを目指しており、この目に見えない境界の外側にあるすべてのエンティティは敵対的であり、内側にあるすべてのエンティティは信頼できるという考え方に基づいています。
しかし、多くの大手企業が甚大な損害と損失を被った深刻なデータ侵害の時代において、この従来のセキュリティモデルはますます時代遅れになりつつあります。その理由は、今日の世界はかつてないほど繋がりが強くなり、サイロという概念が徐々に薄れつつあるからです。サーバーやネットワークは他のサードパーティと相互接続されており、この目に見えない境界を維持し、組織ネットワークを安全に保つことはしばしば困難です。
誰も信用しない
そのため、「ゼロトラスト」モデルの人気が高まっています。アメリカの市場調査大手Forrester Researchが提唱するゼロトラストネットワークモデルは、境界の概念を排除し、企業が「内部」と「外部」の区別なくすべてのネットワークトラフィックを検査することを要求します。基本的に、ユーザーやトラフィックは「承認済み」とはみなされず、特定のネットワークへのすべてのアクセスは同じルールセットによって管理されます。つまり、このモデルには「ゼロトラスト」が存在します。つまり、ネットワークへのすべてのトラフィックは信頼されておらず、アクセスを許可する前に検証が必要です。
ゼロトラストネットワークでは、すべてのユーザーとデータトラフィックが安全でないネットワークから操作されていると自動的に想定され、すべてのネットワークトラフィックが暗号化されます。つまり、サイバーセキュリティアーキテクチャは大幅に強化されます。ユーザーはネットワークにアクセスするたびに認証情報を検証する必要があり、多くの場合、多要素認証が用いられます。これは、従来の境界防御を採用している組織にとっては少々難しすぎるように思えるかもしれませんが、ゼロトラストモデルは急速に普及し、ますます重要性を増しています。
組織にゼロ トラスト ネットワークを構築するために実行できる手順は次のとおりです。
- 機密データの特定 – 企業内の機密データを特定することが、最初の、そして最も重要なステップです。必要な重要な情報は、データがどのように保存され、どのように使用され、誰がどの程度機密性が高いかというものです。そして、これらのデータを分類する必要があります。
- ネットワーク全体のデータフロー – ネットワーク全体のデータフローを理解することで、企業はどの利害関係者がどのようなデータを必要としているかを理解し、ゼロトラスト モデルを導入する前に適切な準備をすることができます。
- ゼロトラストネットワークの設計 – ゼロトラストネットワークは、その要件に基づいて設計することが重要です。これは、データフローに応じてマイクロペリメーターの配置場所を特定することを意味します。そのため、ゼロトラストネットワークは最初から構造的な変更を必要とし、既存のモデルの途中に組み込むことは困難です。
- アクセス制御 – アクセス制御はゼロトラストネットワークにおいて最も重要な要素となります。アクセスは限定的かつ必要最小限のユーザーに限定して提供されるため、どのようなユーザーにどのようなアクセス権限が付与されるか、またそのアクセス制限についてポリシーを策定する必要があります。
- 継続的な監視 – ゼロトラストネットワークでは、ネットワーク状況を継続的に監視し、レビューする必要があります。なぜなら、この種のシステムでは、外部トラフィックだけでなく、すべてのトラフィックが重要になるからです。したがって、すべてのトラフィックの背後にあるソースを特定し、内部トラフィックか外部トラフィックかを問わず、異常なトラフィックがあればフラグを立てる手段を備えた監視が重要になります。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
