ブログに戻る
ゼロトラストの成熟度を達成するには適切な戦略が必要
アイデンティティとセキュリティにゼロトラストアプローチを採用することは、現代のデジタル企業にとって前進への道です。このシリーズの以前の記事では、 ゼロトラストの台頭 そして、現在の状況がどのようにして生じたのか。そして、読者に、 ゼロトラストアーキテクチャ本日は、ゼロ トラスト ID 戦略を成功させる上で重要な要素、つまり、組織をゼロ トラストへと導くロードマップを構築する方法について説明します。
ゼロ トラスト モデルは、従来の境界ベースのセキュリティ アプローチよりも、今日のダイナミックなデジタル ビジネス環境に適しています。重要な資産がオンプレミスや強化された内部ネットワーク内に存在しなくなったため、アイデンティティ レイヤーで境界を設定することに重点を置くことが今や重要になっています。ゼロ トラスト アイデンティティ パラダイムはまさにこれを実行し、リソースへのアクセスが要求されるたびに継続的なリスク評価を必要とします。これには、コンテキスト アイデンティティ情報を使用してアクセス ポリシーを通知および最適化することが含まれます。ゼロ トラストは万能薬ではないことに注意してください。ただし、適切な戦略を採用すれば、IT 管理を簡素化し、データ保護を強化できると同時に、組織が新しいセキュリティ上の課題に直面したときに方向転換して対応しやすくなります。
ただし、ゼロトラストへの移行には多額の投資が必要です。これには、アイデンティティ認識の導入が含まれます。 セキュリティソリューションだけでなく、適切なポリシーとビジネスプロセスの実装、ゼロトラストの考え方の重要性を関係者に理解してもらうための教育も必要です。そして最終的には、IT環境とアプリケーションの再構築が必要になります。 クラウド コンピューティングに完全に適合し、そのメリットを最大限享受できるようになります。
これは一夜にして起こるものではありません。ゼロ トラストへの移行には、計画と事前の検討、そして適切な戦略が必要です。そして、これは組織ごとに異なります。現在のセキュリティ アーキテクチャ、テクノロジ環境、ビジネス ニーズに応じて、タイムラインとアプローチがカスタマイズされた独自のゼロ トラスト戦略を開発する必要があります。
評価から始める
資産の全体像と機密データの保存場所を理解する
基本的に、ゼロ トラストを始めるために必要なのは、適切なリソースに適切なタイミングで適切な量のアクセス権をユーザーが持つようにすることです。今日の組織のコンピューティング環境では、これが当てはまることはめったにありません。アイデンティティ、ユーザー、マシン アイデンティティが過剰な量のアクセス権を持ち、アイデンティティ チームとセキュリティ チームが誰がどのくらいの期間このアクセス権を持っているかを把握していないことが、はるかに一般的です。クラウドの採用が増えても、この問題は解消されていません。実際、悪化している可能性があります。最近の 1 つの事例では、 勉強 クラウド権限の調査では、「90% 以上の ID が付与された権限の 5% 未満しか使用していない」ことが判明しました。
まず、組織全体にわたる IT 資産と ID エコシステムを完全に理解する必要があります。ミッションクリティカルで機密性の高い規制対象データはどこに保存されていますか? 次に、それらの資産にアクセスできるユーザーを特定します。それらのユーザーのうち、昇格された権限を持つユーザーは何人ですか? これらは永続的な権限ですか?
次に、アクセス ポリシーの管理と適用方法に注目します。最も成熟度の低い組織は、アクセスを構成して属性を手動で割り当て、静的なセキュリティ ポリシーを適用し、統合されたアクセス ガバナンスと特権アクセス管理機能、および組織間の可視性が欠如している組織です。可視性、ID 管理、およびポリシー適用を一元化し始めた組織は、特に最小権限アクセスを自動的に適用できるようになるにつれて、ゼロ トラストへの道をさらに進むことになります。
ポリシーの管理と適用を一元化したら、次のステップはクリーンアップです。組織全体の分析を実施して過剰なアクセスがある場所を特定することで、アクセスを制限し、最終的には削除することができます。既存のセキュリティ ポリシーのうち、最小権限方式で実装されているものはいくつありますか (ある場合)?
ゼロトラストアイデンティティ戦略の構築
ゼロトラストの成熟度を高めたいと考えている組織は、米国国防総省(DoD)が開発し、DoDの「ゼロトラストの成熟度モデル」で概説されている、ゼロトラスト機能と制御の進化に関する推奨事項に従うことをお勧めします。 ゼロトラストリファレンスアーキテクチャこのモデルはゼロ トラストの成熟度の 3 つのレベルを確立し、組織は追加の機能と制御を実装することで次のレベルに進むことができます。
3 つのレベルは次のとおりです。
- ベースライン: このレベルでは、すべてのネットワーク アクセスは事前に確立されたサイバー セキュリティ ポリシーに従って行われ、すべてのデバイスはポリシーに準拠するように管理されます。多要素認証 (MFA) が使用され、最小権限のアクセス ポリシーが実装されています。さらに、ネットワークはデフォルトで「すべてのトラフィックを拒否」するようにセグメント化され、検証後にのみリソース アクセスが許可されます。
- 中級: 組織がこのレベルまで進むと、きめ細かなユーザーおよびデバイスの属性を使用してアクセス ポリシーが決定されます。特権アクセス管理 (PAM) ソリューションを追加することで最小権限アクセスが強化され、行動分析を使用してポリシー開発を通知および微調整します。この段階では、ネットワークの大部分でマイクロセグメンテーションが実施され、データ損失防止 (DLP) ソリューションの初期実装のためにデータがタグ付けおよび分類されます。
- 高度な: 組織は、堅牢なリアルタイム分析に基づいてリソースへのアクセスを決定する動的なポリシーを適用できるようになると、この状態に到達します。継続的かつ適応的な認証と承認が実施され、ジャストインタイムおよびジャストイナフのアクセス ポリシーが実装されます。ネットワークの完全なマイクロセグメンテーションが実現され、高度な分析によって脅威の自動検出とオーケストレーションが可能になります。
米国国防総省 (DoD) が開発したゼロ トラスト成熟度モデル。
サイバーセキュリティ・インフラセキュリティ庁(CISA)の新しい ゼロトラスト成熟モデル (現在はまだ草案段階)、組織は以下のことが可能になれば、ゼロ トラスト成熟度の最適なレベルに到達したことになります。
- すべてのIDをリアルタイムで継続的に検証
- すべてのクラウドおよびオンプレミスのシステムとリソースにわたるアクセス認証を一元管理します。
- 機械学習(ML)を活用して組織内のアクセスパターンを継続的に分析する
- 接続されている各デバイスに許可されているアクセス量を常に監視し、検証します。
- リアルタイムのリスク分析でデータアクセスを保護
- 環境内のすべての資産とリソースの周囲にマイクロ境界を強制する
- すべてのトラフィックが暗号化されていることを確認する
- すべてのアプリケーション間およびアプリケーション内のワークフローに継続的なID検証を統合する
ゼロトラストは旅であることを忘れないでください
ゼロトラストは、購入できる単一の製品ではありません。また、スイッチを切り替えるだけで開始できる状態でもありません。代わりに、ゼロトラストは 段階的にアプローチするのが最善です。最も成功する組織は、この取り組みには 3 ~ 5 年かかり、複数のフェーズを経て進むことを理解している組織です。その期間中、テクノロジー環境と運用には大きな変化が継続的に起こり、組織のセキュリティ戦略もそれに合わせて進化する必要があります。
ほぼすべての組織が今後数年間でより多くのアプリケーションとリソースをクラウドに移行し、ほとんどの組織がより多くのデバイスを接続し、多くの組織がクラウドが提供するサービスとして新興技術を活用するでしょう。 パブリック クラウド ベンダーまたはその他のパートナー。いずれの場合も、変革によってプロセスとワークフローを見直し、改善する機会が生まれます。
セキュリティ戦略を変更するということは、ビジネス プロセスや従業員のやり取り、テクノロジー アーキテクチャを変更することを意味します。つまり、ゼロ トラスト変革の話し合いにセキュリティ リーダーを参加させることと同じくらい、ビジネス アナリストを参加させることも重要です。有意義な結果を得るには、両者が協力する必要があります。ビジネス アナリストは、必要なビジネス プロセスの変更と、それがさまざまなビジネス ユニットに与える影響を理解しますが、セキュリティ アーキテクトは適切なフレームワークを構築して実行することができます。
永遠に残るものがあるとすれば 今年の出来事から私たちが学んだことは、ゼロトラスト セキュリティがデジタル変革に不可欠な要素であるということです。企業は現在、前例のない規模でリモート ワーカーをサポートしており、昔のオフィス ベースの作業環境に戻ることはできません。業界を問わず、組織は新しいビジネス モデルを考案し、収益を生み出す新しい方法を見つけ、急速に変化する市場に対応する必要がありました。アイデンティティとセキュリティは、ビジネスと同じペースで変革する必要があります。
現代のクラウド時代では、ゼロ トラストは早めに開始することをお勧めします。今が始めるのに最適な時期であり、何もしないよりは小さく始める方がよいでしょう。従来のセキュリティ アーキテクチャの管理に関連するコストと困難さが増大し続ける中、ゼロ トラストの導入を遅らせているセキュリティ リーダーは、先延ばしにすればするほどプロセスが困難になるだけであることに気付くでしょう。多くの場合、段階的なアプローチが最も実現可能です。
-1.png)
