Zero Trustは、"決して信用せず、常に検証する "という原則に基づいて運用されるセキュリティ・モデルである。ネットワーク境界内のユーザーやデバイスを信頼する従来のセキュリティ・モデルとは異なり、Zero Trust 脅威がネットワークの内外に存在する可能性を想定している。このモデルでは、ユーザーの所在地やネットワーク境界の内外にかかわらず、厳格な本人確認と継続的な監視が必要となる。
Zero Trust 構想の原点
Zero Trust コンセプトは、元フォレスター・リサーチのアナリスト、ジョン・キンダーヴァグ氏によって開拓された。2010年、キンダーヴァグは「No More Chewy Centers(もう噛み合わないセンターはいらない)」と題した調査報告書でZero Trust モデルを紹介した:Introducing theZero Trust Model of Information Security "と題した調査報告書でZero Trust ・モデルを紹介した。彼の研究は、信頼できる内部ネットワークと信頼できない外部ネットワークに依存する従来のセキュリティモデルは、現代の脅威の状況では不十分であるという原則を強調した。その代わりに、Zero Trust 、脅威がネットワークの内外に存在する可能性を想定し、すべてのアクセス要求について厳格な検証を要求する。
ジョン・キンダーヴァグが2010年にZero Trust モデルを発表して以来、このコンセプトは徐々に支持を集め、その後数年にわたり発展してきた。以下は、Zero Trust採用と実施における主要な進展とマイルストーンの簡単な年表である:
早期採用と発展(2010年~2015年)
- 2010:ジョン・キンダーヴァグがフォレスター・リサーチ在籍中にZero Trust 基礎的な調査レポートを発表し、従来の境界ベースのセキュリティ・モデルに挑戦。
- 2012-2013:先進的な組織やセキュリティベンダーがZero Trust 原則をセキュリティアーキテクチャに取り入れ始める。
- 2014-2015:サイバーセキュリティ・コミュニティにおける認識と議論の高まり。初期のケーススタディやパイロットプロジェクトにより、セキュリティ態勢の改善におけるZero Trust 有効性が実証される。
拡大と標準化(2016年~2018年)
- 2016:コンセプトがより広く認知され始める。セキュリティベンダーやソリューションが、Zero Trust 機能をより大きく売り出し始める。
- 2017:業界アナリストやサイバーセキュリティのオピニオンリーダーによる、Zero Trust 導入に関するより詳細なフレームワークやガイドの発表。
- 2018:政府や規制機関が関心を示し始める。米国国立標準技術研究所(NIST)がZero Trust アーキテクチャのガイドラインを策定し始める。
メインストリーム採用(2019年~現在)
- 2019年:NISTがZero Trust アーキテクチャ(Zero Trust )ガイドラインの草案を公表し、組織がZero Trust導入するための構造化されたアプローチを提供する。
- 2020:COVID-19の大流行により、リモートワークへのシフトが加速し、従来のネットワーク境界線が意味をなさなくなる中で、Zero Trust セキュリティ・モデルの必要性が浮き彫りになる。
- 2021:バイデン政権が国家のサイバーセキュリティ向上に関する大統領令を発表。連邦政府機関にZero Trust 原則を採用するよう指示。
- 2022-現在 Zero Trust 、様々な分野の多くの組織にとって重要な戦略的優先事項となる。マイクロソフト、グーグル、Vectra AIなどのサイバーセキュリティ企業などのベンダーは、自社の製品やサービスにZero Trust 組み込んでいる。
主な進展と貢献
- 政府と業界のコラボレーション:政府、特に米国では、Zero Trust 枠組みや基準を開発・推進するために、民間セクターとの協力を開始する。
- 技術の進歩:AI、機械学習、クラウド・コンピューティングの進歩により、Zero Trust 機能が強化され、より効果的で導入しやすくなっている。
- フレームワークとベストプラクティス: Zero Trust アーキテクチャに関する詳細なガイダンスを提供する NIST の Special Publication 800-207 のような包括的なフレームワークとベストプラクティスの開発。
- 広範な統合:アイデンティティ・アクセス管理(IAM)、エンドポイント検知・対応(EDR)、セキュリティ情報・イベント管理(SIEM)システムなど、幅広いセキュリティツールへのZero Trust 原則の統合が進む。
今日、Zero Trust サイバーセキュリティのベストプラクティスとして広く認知されている。さまざまな業界の組織が、セキュリティ体制を強化し、機密データを保護し、規制要件を遵守するためにZero Trust モデルを採用している。その焦点は、継続的な認証、最小権限アクセス、強固な監視と対応の仕組みにある。
Zero Trust主要原則
Zero Trust モデルは、脅威がネットワークの内外に存在する可能性を想定することで、セキュリティを強化することを目的としたいくつかの基本原則に基づいて構築されている。これらの原則は、Zero Trust 戦略とテクノロジーの実装の指針となる。以下に主要な原則を示す:
1.明示的に検証する
定義常に利用可能なすべてのデータポイントに基づいて認証と認可を行う。
実施する:
- 多要素認証(MFA):複数の認証方法を使用して、ユーザーとデバイスの身元を確認する。
- 継続的な認証:入室時だけでなく、セッションを通じてユーザーとデバイスの身元を継続的に検証する。
- コンテキスト認証:ユーザーの行動、位置情報、デバイスの健康状態などのコンテキストを考慮し、アクセス決定を行う。
2.最小特権アクセスを使用する
定義ユーザーとデバイスのアクセスを、その機能を実行するために必要なものだけに制限すること。
実施する:
- 役割ベースのアクセス制御(RBAC):ユーザーの役割と責任に基づいてアクセス許可を割り当てます。
- ジャスト・イン・タイム(JIT)アクセス:必要なときだけアクセスを提供し、タスク完了後にアクセスを取り消す。
- ジャスト・エナフ・アクセス(JEA):タスクを実行するために最低限必要な権限を与える。
3.違反の想定
定義違反がすでに発生しているか、いつ発生してもおかしくないかのように設計し、運用すること。
実施する:
- マイクロセグメンテーション:ネットワークを小さなゾーンに分割し、きめ細かなセキュリティ制御を適用することで、攻撃者の横の動きを制限する。
- 最小特権アクセス:ユーザーとデバイスに最小限のアクセス権しか与えないようにし、漏洩したアカウントによる潜在的な損害を減らす。
- 継続的なモニタリングすべてのネットワークアクティビティを継続的に監視し、異常や潜在的な脅威にリアルタイムで検知 ・対応します。
4.継続的モニタリングとバリデーション
定義リアルタイムの監視と検証を実施し、脅威を検知 迅速に対応する。
実施する:
- セキュリティ情報とイベント管理(SIEM):セキュリティイベントやログをリアルタイムに収集・分析します。
- ユーザーとエンティティの行動分析(UEBA):AIと機械学習を使って行動と異常検知 分析する。
- 脅威インテリジェンス:脅威インテリジェンスフィードを統合して、新たな脅威や脆弱性に関する最新情報を常に入手できます。
5.デバイスのセキュリティ
定義ネットワークにアクセスするすべての機器がセキュリティ基準を満たしていることを確認すること。
実施する:
- エンドポイントの検出と応答(EDR):エンドポイント上の脅威を継続的に監視し、対応します。
- デバイスのコンプライアンスチェック:アクセスを許可する前に、デバイスがセキュリティポリシーに準拠しているかどうかを定期的に評価する。
- パッチ管理:デバイスが定期的に更新され、脆弱性から保護するためのパッチが適用されていることを確認する。
6.データ保護
定義静止時と転送時の両方でデータを保護し、コンテキストに基づいてアクセスを制御する。
実施する:
- データの暗号化:機密データを暗号化し、不正アクセスから保護します。
- データ損失防止(DLP):DLPソリューションを導入し、データ漏洩や漏えいを防止する。
- アクセス制御:ユーザーID、デバイスの健全性、およびコンテキスト要因に基づいて、きめ細かなアクセス制御を適用します。
7.アプリケーションセキュリティ
定義アプリケーションの安全性を確保し、脆弱性を継続的に監視する。
実施する:
- 安全な開発の実践:セキュアコーディングガイドラインに従い、定期的なコードレビューを実施する。
- アプリケーション・パフォーマンス・モニタリング(APM):パフォーマンスの問題や潜在的なセキュリティ脅威についてアプリケーションを監視します。
- 定期的なセキュリティテスト:脆弱性評価と侵入テストを定期的に実施する。
8.強固なセキュリティポリシー
定義アクセスを管理し、リソースを保護するための強固なセキュリティポリシーを策定し、実施する。
実施する:
- 政策の枠組み: Zero Trust 原則に沿った包括的な政策枠組みを確立する。
- 定期的なポリシーの見直し:新たな脅威や環境の変化に適応するため、ポリシーを定期的に見直し、更新する。
- ユーザのトレーニングと意識向上:セキュリティポリシーとベストプラクティスについてユーザを教育し、コンプライアンスを確保する。
Zero Trustコア・コンポーネント
Zero Trust アーキテクチャはいくつかの重要なコンポーネントから構成され、それぞれが厳格なアクセス制御と継続的な監視を実施することでセキュリティを確保する上で重要な役割を果たしている。ここでは、各コンポーネントについて説明する:
- アイデンティティとアクセス管理(IAM):
- 機能認証され許可されたユーザーとデバイスのみがリソースにアクセスできるようにする。
- コンポーネント:
- 多要素認証(MFA):複数の認証方法を要求することで、セキュリティのレイヤーを増やします。
- シングルサインオン(SSO):ユーザーが一度認証すれば、複数のアプリケーションにアクセスできるようになり、セキュリティとユーザーエクスペリエンスが向上します。
- Zero Trust役割:ユーザーのアイデンティティを明示的に検証し、厳格な認証ポリシーに基づいてアクセスが許可されるようにする。
- ネットワーク・セグメンテーション:
- 機能ネットワークをより小さな個別のセグメントに分割し、アクセスを制御して潜在的な侵害を封じ込める。
- コンポーネント:
- マイクロセグメンテーション:ネットワーク内に小さなゾーンを作り、それぞれが独自のセキュリティポリシーを持つ。
- ファイアウォールとVLAN:ネットワークのセグメンテーションを強制するために使用される伝統的な方法。
- Zero Trust役割:ネットワーク内での攻撃者の横の動きを制限し、潜在的な侵害の影響を軽減する。
- デバイスのセキュリティ:
- 機能ネットワークにアクセスするすべての機器がセキュリティ基準を満たしていることを保証する。
- コンポーネント:
- デバイスのコンプライアンスデバイスがセキュリティポリシーに準拠しているかを定期的にチェックします。
- エンドポイントの検出と応答(EDR):エンドポイント上の脅威を監視し、対応する。
- Zero Trust役割:デバイスのセキュリティを継続的に監視・管理し、危険なデバイスによるネットワークへのアクセスを防止する。
- アプリケーション・セキュリティ:
- 機能アプリケーションを安全に設計し、脆弱性を継続的に監視する。
- コンポーネント:
- 安全なコーディングの実践:アプリケーションがセキュリティを念頭に置いて開発されていることを保証する。
- アプリケーション・パフォーマンス・モニタリング(APM):アプリケーション・パフォーマンスを監視し、異常を検出します。
- Zero Trust役割:攻撃者に悪用されないようにアプリケーションを保護し、あらゆる脆弱性を迅速に特定して対処できるようにする。
- データ保護:
- 機能:データが暗号化され、コンテキストに基づいてアクセスが制御されることを保証する。
- コンポーネント:
- データの暗号化:暗号化技術を使用して、静止時および転送中のデータを保護します。
- データ損失防止(DLP):機密データの漏洩や盗難を防止します。
- Zero Trust役割:データの安全性を確保し、厳格なコンテキスト・ポリシーに基づいてアクセスを許可する。
- セキュリティ分析:
- 機能AIと機械学習を用いてネットワーク全体のデータを分析し、異常や潜在的な脅威を検知 。
- コンポーネント:
- SIEM(Security Information and Event Management):セキュリティイベントをリアルタイムで収集・分析する。
- ユーザーとエンティティの行動分析(UEBA):ユーザーとエンティティの行動を分析し、異常を検知 。
- Zero Trust役割ネットワーク活動の継続的な監視と分析を行い、脅威の検知 迅速な対応を行う。
各コンポーネントがどのようにセキュリティを強化するか
- IAMは、正規のユーザーとデバイスのみがリソースにアクセスできるようにし、不正アクセスのリスクを低減する。
- ネットワーク・セグメンテーションは、侵害をセグメント化されたゾーン内に封じ込めることで、潜在的な侵害の影響を制限する。
- デバイス・セキュリティは、すべてのエンドポイントが安全でコンプライアンスに準拠していることを保証し、侵害されたデバイスがネットワークを脅かすことを防ぎます。
- アプリケーション・セキュリティは、アプリケーションを悪用されないように保護し、あらゆる脆弱性に迅速に対処できるようにする。
- データ保護は、機密データの暗号化とアクセス制御を確実にし、不正アクセスからデータを保護します。
- セキュリティ・アナリティクスは、ネットワーク・アクティビティに関するリアルタイムな洞察を提供し、脅威の検知 迅速な対応を支援します。
Zero Trust アーキテクチャの導入
Zero Trust アーキテクチャ(Zero Trust )の導入には、組織の既存のセキュリティ・インフラストラクチャとポリシーの大幅な変更を伴うため、構造的なアプローチが必要です。ここでは、企業がZero Trust実装する方法をステップ・バイ・ステップで説明する:
- 現在の環境を評価する
- 資産の棚卸し:デバイス、アプリケーション、データ、ユーザーを含むすべての資産を特定し、分類する。
- 主要なデータフローを特定する:組織内外でデータがどのように移動するかを理解する。
- セキュリティ体制を評価する:現在のセキュリティ対策を評価し、ギャップを特定する。
2. スコープと目的を明確にする- 明確な目標を設定する:組織がZero Trust 何を達成しようとしているのかを明確にする(セキュリティの向上、規制遵守など)。
- 資産の優先順位付け:リスクと価値に基づき、最初に保護すべき資産と分野を決定する。
3. Zero Trust チームの設立- 部門横断チーム:IT、セキュリティ、ビジネスの利害関係者を含むチームを結成する。
- エグゼクティブのサポート:リソースの配分とポリシーの実施について、経営幹部の賛同を得る。
4. Zero Trust 戦略の策定- ポリシーの枠組み:認証、認可、アクセス制御のポリシーを策定する。
- Zero Trust 原則: Zero Trust基本原則を取り入れる:明示的に検証し、最小権限アクセスを使用し、違反を想定する。
5. アイデンティティ・アクセス管理(IAM)の導入- 多要素認証(MFA):すべてのユーザーにMFAを実施し、強力な認証を保証します。
- シングルサインオン(SSO):セキュリティを維持しながらアクセス管理を簡素化
- 役割ベースのアクセス制御(RBAC):RBACを導入し、ユーザーが必要なアクセスしかできないようにする。
6. ネットワークのセグメント化- マイクロセグメンテーション:ネットワークを小さなセグメントに分割し、それぞれにセキュリティ・ポリシーを設定する。
- ソフトウェア定義境界(SDP):SDP を使用して、機密性の高いリソース用に隔離されたネットワークセグメントを作成します。
7. セキュアなエンドポイント- エンドポイントの検出と応答(EDR):EDRソリューションを導入して、エンドポイント上の脅威を継続的に監視し、対応する。
- デバイスのコンプライアンス:アクセスを許可する前に、すべてのデバイスがセキュリティポリシーに準拠していることを確認する。
8. アプリケーションの保護- 安全なコーディングの実践:アプリケーションがセキュリティを念頭に置いて開発されていることを確認する。
- アプリケーションのセキュリティテスト:アプリケーションの脆弱性を定期的にテストする。
9. データの暗号化- データの暗号化:不正なアクセスからデータを保護するため、データの保存時および転送時の両方でデータを暗号化します。
- データ漏洩防止(DLP):データ漏洩を防止するためにDLPソリューションを導入する。
10. 継続的モニタリングと分析の導入- セキュリティ情報とイベント管理(SIEM):SIEM システムを使用して、セキュリティ・イベントをリアルタイムで収集・分析する。
- ユーザーとエンティティの行動分析(UEBA):ユーザーとエンティティの行動を監視し、異常を検知 します。
11. インシデント対応計画の策定- インシデント対応チーム:セキュリティインシデントに対応する専門チームを編成する。
- レスポンス・プレイブック:一般的なタイプのインシデントに対応する詳細なプレイブックを作成します。
12. 従業員の訓練と教育- セキュリティ意識向上トレーニング:セキュリティのベストプラクティスとZero Trust 原則について、従業員に定期的にトレーニングを行う。
- フィッシング・シミュレーションコンダクト フィッシング シミュレーションを実施し、ユーザーの意識をテスト・向上させる。
13. ポリシーの定期的な見直しと更新- 継続的な改善:セキュリティ方針と手順を定期的に見直し、更新する。
- 監査とコンプライアンス:定期的な監査を実施し、Zero Trust ポリシーの遵守を確認する。
課題と考察
- 複雑さ: Zero Trust 導入は複雑で、既存のインフラやプロセスに大きな変更を加える必要がある。
- レガシーシステム: Zero Trust レガシー・システムと統合することは困難であり、アップグレードやリプレースが必要になる場合がある。
- ユーザー・エクスペリエンス:セキュリティとユーザー・エクスペリエンスのバランスを取ることは、混乱を避けるために非常に重要である。
- リソース集約型:継続的な監視と管理は、リソースを大量に消費する可能性がある。
Zero Trust 導入におけるVectra AIプラットフォームの役割
Vectra AIプラットフォームは、以下を提供することで、Zero Trust 導入を大幅に支援することができる:
- リアルタイムの脅威検知:ネットワーク・トラフィックとユーザーの行動を監視し、リアルタイムで脅威を検知 対応します。
- 振る舞い分析:AIを使用してユーザーとデバイスの行動を分析し、セキュリティ侵害を示す可能性のある異常を特定する。
- IAMソリューションとの統合:IDおよびアクセス管理ソリューションとシームレスに統合し、厳格なアクセス制御を実施します。
- 可視性と洞察ネットワークアクティビティを包括的に可視化し、Zero Trust ポリシーの適用と潜在的な脅威の検知 支援します。
結論
Zero Trust 導入には、組織のセキュリティ・インフラストラクチャとポリシーの大幅な変更を伴う、包括的かつ構造的なアプローチが必要です。概要を説明したステップに従い、Vectra AI Platformのような高度なセキュリティ・ツールを活用することで、組織はZero Trust モデルに効果的に移行し、全体的なセキュリティ態勢を強化し、侵害のリスクを低減することができます。