目次:
ビデオ: ãçã»ifæ¦è¨ããã¼ã·ã£ã¤ã³ã¹ã¿æ¦ããã¹æ¦ã (十一月 2024)
「信頼しないでください。常に確認してください。」 常識のようですね。 これが、ゼロトラストと呼ばれる戦略のモットーであり、サイバーセキュリティの世界で注目を集めています。 IT部門は、アクセス権限を付与する前にすべてのユーザーを検証します。 2018年のVerizonデータ侵害調査レポートによると、2017年に中小企業(SMB)の58%がデータ侵害を報告しており、アカウントへのアクセスを効果的に管理することがこれまで以上に重要になっています。
ゼロトラストのコンセプトは、Forrester Researchの元アナリストで、現在はPalo Alto NetworksのフィールドCTOであるJohn Kindervagによって設立されました。 「本物の戦略を開始する必要があり、それがZero Trustが可能にするものです」とキンダーバグは10月30日にニューヨーク市のSecurIT Zero Trust Summitで聴衆に語りました。 彼は、ゼロトラストのアイデアは、座って信頼の概念を実際に考えたときに生まれたものであり、悪意のある行為者が一般に、当事者を信頼してはならないというメリットをどのように受け持つかを考えたと付け加えました。
チェイス・カニンガム博士は、ゼロトラストアクセスアプローチを擁護するフォレスターのプリンシパルアナリストとしてキンダーヴォーグの後継者となりました。 「ゼロトラストは、これら2つの言葉に含まれるものです。つまり、何も信頼せず、パスワード管理を信頼せず、資格情報を信頼せず、ユーザーを信頼せず、ネットワークを信頼しません」とCunninghamはZero TrustのPCMagに語りましたサミット。
Kindervagは、米国シークレットサービスの例を使用して、組織が保護する必要があるものとアクセスする必要のあるものを追跡する方法について説明しました。 「彼らは、これらのコントロールを継続的に監視および更新して、いつでも微小境界線を通過するものを制御できるようにします」とキンダーベーグは言いました。 「これは、エグゼクティブ保護のゼロトラスト方式です。ゼロトラストで私たちがやろうとしていることの最良の視覚的な例です。」
OPMで学んだゼロトラストの教訓
ゼロトラストが組織に利益をもたらすためにどのように機能するかを示す完璧な例は、米国連邦政府の元CIOから来ました。 ゼロトラストサミットで、2015年から2017年まで米国CIOのオフィスを務めたトニー・スコット博士は、2014年に米国人事管理局(OPM)で発生した主要なデータ侵害について説明しました。 560万人の指紋データに加えて、2, 210万人の個人情報とセキュリティクリアランスの背景情報が盗まれました。 スコットは、この侵害を防ぐためにデジタルセキュリティと物理セキュリティの組み合わせが必要であるだけでなく、ゼロトラストポリシーの効果的な適用方法も説明しました。
人々がOPMで仕事に応募するとき、彼らは徹底的な標準フォーム(SF)86アンケートに記入し、データは武装した警備員と戦車によって洞窟で守られると彼は言った。 「外国人でその情報を盗もうとするなら、ペンシルベニア州のこの洞窟を突破し、武装した警備員を通り抜けなければなりません。その後、トラックで大量の紙を持って立ち去るか、非常に高速なゼロックス機か何か」とスコットは言いました。
「2100万枚の記録で逃げようとするのは記念碑的だっただろう」と彼は続けた。 「しかし、自動化がOPMプロセスに組み込まれるにつれて、私たちはこのようなものを磁気メディア上のコンピューターファイルなどに入れ始めました。それにより、盗みやすくなりました。」 スコットは、機関がデジタル化したとき、OPMは武装した警備員と同等の効果的なセキュリティを見つけることができなかったと説明しました。 攻撃に続いて、議会はこれらのタイプの侵害を将来保護するためにゼロトラスト戦略を要求するレポートを発表しました。
「連邦政府のITネットワークを侵害または悪用しようとする高度な持続的脅威に対抗するには、政府機関は情報セキュリティとITアーキテクチャの「ゼロトラスト」モデルに移行すべきです」と議会報告書は述べています。 元監視員委員会委員長だった元米国議員のジェイソン・チャフェッツ(R-Utah)も、当時連邦ニュースラジオが発行したゼロトラストについての記事を書いています。 「管理予算局(OMB)は、すべてのネットワークトラフィックを視覚化および記録する手段とともに、ゼロトラストを効果的に実装するために、行政部門および機関長向けのガイドラインを作成する必要があります」とChaffetzは書きました。
現実世界のゼロトラスト
ゼロトラストの実装の実際の例では、Googleはアクセス制御をネットワーク境界から個々のデバイスとユーザーに移動することを目的としたBeyondCorpと呼ばれるイニシアチブを内部に展開しました。 管理者は、BeyondCorpを使用して、IPアドレス、デバイスのセキュリティステータス、およびユーザーのIDに基づいて、Google Cloud PlatformおよびGoogle G Suiteの詳細なアクセス制御ポリシーを作成できます。 Luminateと呼ばれる会社は、BeyondCorpに基づくサービスとしてZero Trustセキュリティを提供しています。 Luminate Secure Access Cloudは、ユーザーの認証、デバイスの検証、およびアプリケーションへのアクセスを許可するリスクスコアを提供するエンジンを提供します。
「私たちの目標は、エンドポイントや仮想プライベートネットワーク(VPN)などのアプライアンスにエージェントをデプロイすることなく、クラウドやオンプレミスでホストされている場所に関係なく、あらゆるデバイスからあらゆる企業リソースへのアクセスを安全に提供することです。 Luminateの製品管理責任者であるMichael Dubinskyは、ニューヨークで開催されたHybrid Identity Protection(HIP)Conference 2018(HIP2018)でPCMagに語りました。
ゼロトラストが急速に注目を集めている主要なIT分野は、ID管理です。 「Forrester Wave:Privileged Identity Management、2016年第3四半期」レポートによると、侵害の80%が特権資格情報の悪用が原因であるためと思われます。 許可されたアクセスをより詳細に制御するシステムは、これらのインシデントの防止に役立ちます。
ID管理の分野は新しいものではなく、そのようなソリューションを提供している企業のリストは数多くあります。最も普及しているのは、Microsoftと、まだ人気のあるWindows Serverオペレーティングシステムに組み込まれているActive Directory(AD)プラットフォームです。 OS)。 ただし、ADよりも多くの機能を提供できるだけでなく、ID管理の実装と保守を容易にする新しいプレーヤーが多数あります。 そのような企業には、Centrify、Idaptive、Okta、SailPoint Technologiesなどのプレーヤーが含まれます。
また、Windows Serverに既に投資している人は、既に投資していると感じるテクノロジーにもっとお金を払うことを嫌うかもしれませんが、より深くより良く維持されたID管理アーキテクチャは、妨害された違反とコンプライアンス監査に大きな利益をもたらします。 さらに、コストは大きなものではありますが、法外なものではありません。 たとえば、Centrify Infrastructure Servicesは、システムあたり月額22ドルで開始されます。
ゼロトラストの仕組み
「Zero Trustが行うことの1つは、ネットワークセグメンテーションを定義することです」とKindervag氏は述べています。 セグメンテーションは、ネットワーク管理とサイバーセキュリティの両方で重要な概念です。 パフォーマンスとセキュリティを向上させるために、論理的または物理的にコンピューターネットワークをサブネットワークに分割します。
ゼロトラストアーキテクチャは、ネットワークの物理的な場所を含む境界モデルを超えて移動します。 「境界線をエンティティに押し下げること」が含まれます、とカニンガムは言いました。
「エンティティは、サーバー、ユーザー、デバイス、またはアクセスポイントである可能性があります」と彼は言いました。 「非常に高い壁を構築し、安全だと考えるのではなく、コントロールをマイクロレベルに押し下げます。」 Cunninghamは、ファイアウォールを典型的な境界の一部として説明しました。 「これは、アプローチと戦略、境界線の問題です」と彼は指摘しました。 「高い壁と1つの大きなこと:それらは機能しません。」
Centrifyから分離されたID管理会社であるIdaptiveの新しいCEOであるDanny Kibelによると、ネットワークへのアクセスを得るために、セキュリティの古い側面ではルーターを使用していました。 ゼロトラスト以前は、企業は検証してから信頼していました。 しかし、Zero Trustを使用すると、「常に検証し、信頼することはありません」とKibel氏は説明します。
Idaptiveは、シングルサインオン(SSO)、適応型多要素認証(MFA)、モバイルデバイス管理(MDM)を含む次世代アクセスプラットフォームを提供します。 Idaptiveなどのサービスは、アクセスに関して必然的にきめ細かい制御を作成する方法を提供します。 さまざまなアプリケーションへのアクセスが必要なユーザーに基づいて、プロビジョニングまたはプロビジョニング解除できます。 「組織がアクセスを制御するためのきめ細かい機能を提供します」とKibel氏は言います。 「そして、不正アクセスに関しては多くのスプロールが存在するため、これは私たちが見ている組織にとって非常に重要です。」
Kibelは、ゼロトラストに対するIdaptiveのアプローチを3つのステップで定義しました。ユーザーの検証、デバイスの検証、そしてそのユーザーだけにアプリケーションとサービスへのアクセスを許可します。 「ユーザーの行動を評価するための複数のベクトルがあります。場所、地理速度、時刻、曜日、使用しているアプリケーションの種類、場合によってはそのアプリケーションの使用方法です」とKibel氏は言います。 。 Idaptiveは、成功したログイン試行と失敗したログイン試行を監視して、認証を再挑戦する必要があるか、ユーザーを完全にブロックする必要があるかを確認します。
10月30日、セントリファイはゼロトラスト特権と呼ばれるサイバーセキュリティアプローチを導入しました。このアプローチでは、企業は必要最小限の特権アクセスを許可し、誰がアクセスをリクエストしているかを確認します。 ゼロトラスト特権プロセスの4つのステップには、ユーザーの検証、リクエストのコンテキストの確認、管理環境の保護、必要な最小限の特権の付与が含まれます。 CentrifyのZero Trust Privilegeアプローチには、リスクを減らすための段階的なアプローチが含まれます。 また、クラウドストレージプラットフォーム、ビッグデータプロジェクト、ビジネスグレードWebで実行される高度なカスタムアプリケーション開発プロジェクトなどの新しいタイプの環境へのアクセスを企業が制限できるソフトウェアであるレガシーPrivileged Access Management(PAM)からの移行ももたらします。ホスティング施設。
Centrifyの社長、Tim Steinkopfは、ゼロトラストモデルでは、ハッカーがすでにネットワークにアクセスしていると想定しています。 Steinkopfによると、この脅威に対抗する戦略は、横方向の動きを制限し、あらゆる場所にMFAを適用することです。 「誰かが特権環境にアクセスしようとするときはいつでも、すぐに適切な資格情報と適切なアクセス権を持つ必要があります」とSteinkopfはPCMagに語りました。 「それを実施する方法は、アイデンティティを統合することです。そして、リクエストのコンテキスト、つまり、誰、何、いつ、なぜ、どこが必要なのです。」 その後、必要なアクセス量だけを許可すると、Steinkopf氏は言います。
「ユーザーのコンテキストを利用しています。この場合、医師、看護師、または他の人がデータにアクセスしようとしている可能性があります」とDubinsky氏は述べています。 「作業しているデバイスのコンテキストを取得し、アクセスしようとしているファイルのコンテキストを取得し、それに基づいてアクセスを決定する必要があります。」
MFA、ゼロトラスト、およびベストプラクティス
ゼロトラストモデルの重要な側面は強力な認証であり、複数の認証要素を許可することもその一部です、とMFAソリューションを提供するSilverfortのCEO兼共同設立者であるHed Kovetz氏は述べています。 クラウドの時代には境界線が存在しないため、認証の必要性はかつてないほど高まっています。 「何でもMFAを実行できることは、Zero Trustのほぼ基本的な要件であり、Zero Trustはもはや境界線がないという考え方から生まれたため、今日は不可能です」とKovetzはHIP2018でPCMagに語りました。 「つまり、何かがあらゆるものに接続しているのです。この現実には、制御を適用できるゲートウェイがありません。」
ForresterのCunninghamは、Zero Trust eXtended(XTX)と呼ばれる戦略を概説し、テクノロジー購入の決定をZero Trust戦略にマッピングしています。 「実際に環境を安全に管理するために必要な7つのコントロールを実際に検討しました」とCunningham氏は言います。 7つの柱は、自動化とオーケストレーション、可視性と分析、ワークロード、人、データ、ネットワーク、デバイスです。 ZTXプラットフォームであるためには、システムまたはテクノロジーにこれらの3つの柱とアプリケーションプログラミングインターフェイス(API)機能が必要です。 セキュリティソリューションを提供するいくつかのベンダーは、フレームワークのさまざまな柱に適合しています。 Centrifyは人とデバイスのセキュリティに対応する製品を提供し、Palo Alto NetworksとCiscoはネットワークソリューションを提供し、IBMのSecurity Guardiumソリューションはデータ保護に重点を置いている、とCunningham氏は述べています。
ゼロトラストモデルには、暗号化されたトンネル、トラフィッククラウド、および証明書ベースの暗号化も含まれる必要があるとSteinkopf氏は述べています。 iPadからインターネット経由でデータを送信する場合、受信者がアクセスする資格があることを確認したい、と彼は説明した。 Steinkopfによると、コンテナやDevOpsなどの新しい技術トレンドを実装することで、特権的なクレデンシャルの悪用と闘うことができます。 彼はまた、クラウドコンピューティングがゼロトラスト戦略の最前線にあると説明しました。
LuminateのDubinskyは同意します。 SMBの場合、ID管理またはMFAをサービスとして提供するクラウド企業に移行すると、これらのセキュリティ責任をその分野に特化した企業にオフロードできます。 「あなたは、日々の仕事として責任を負う企業や人々に、できる限りの負担を軽減したいと考えています」とDubinsky氏は言います。
ゼロトラストフレームワークの可能性
専門家は、企業がゼロトラストモデル、特にID管理に目を向けていることを認めましたが、ゼロトラストを採用するためにセキュリティインフラストラクチャに大きな変更を加える必要性を感じない人もいます。 IDCのセキュリティ製品グループのプログラムバイスプレジデントであるショーンパイクは、次のように述べています。 「ROI計算が意味のある時間枠内に存在することは肯定的ではありません。多くのアーキテクチャの変更や人的問題があるため、コストが戦略として禁止されていると思います。」
ただし、パイクは通信およびIDMでゼロトラストの可能性を認識しています。 「今日、容易に採用でき、大規模なアーキテクチャの変更を必要としないコンポーネント、たとえばアイデンティティがあると思います」と、パイクは言いました。 「それらは関連付けられていますが、採用は必ずしもゼロトラストへの戦略的な動きではなく、ユーザーが接続する新しい方法とパスワードベースのシステムから離れてアクセス管理を改善する必要性に対処する動きです」説明した。
ゼロトラストは、ネットワークへの参加者を信頼せず、ユーザーを確認する必要があるなど、サイバーセキュリティの標準原則のいくつかを繰り返すマーケティング概念の一部として解釈できますが、専門家によると、ゲームプランとしての目的を果たします。 「私はゼロトラストの大きな支持者であり、その特異で戦略的な種類のマントラに向かって動き、組織内でそれを擁護しています」とフォレスターのカニンガムは語った。
2010年にForresterによって導入されたゼロトラストのアイデアは、サイバーセキュリティ業界にとって新しいものではない、とセキュリティトレーニングと認定を提供する組織であるSANS Instituteの新興セキュリティトレンドディレクターであるJohn Pescatore氏は述べています。 「それはサイバーセキュリティのほぼ標準的な定義です。すべてを安全にし、ネットワークをセグメント化し、ユーザー特権を管理してください」と彼は言いました。
Pescatoreは、2004年頃、ジェリコフォーラムと呼ばれる現在廃止されているセキュリティ組織が、「境界のないセキュリティ」に関してForresterと同様のアイデアを導入し、信頼できる接続のみを許可することを推奨していると述べました。 「これは、「犯罪者や完璧な天気のない場所に移動し、家に屋根やドアは必要ありません」と言っているようなものです」とペスカトーレは言いました。 「Zero Trustは少なくともセグメント化の常識を取り戻しました。常に境界からインターネットからセグメント化します。」
- 境界を超えて:階層型セキュリティに対処する方法境界を超えて:階層型セキュリティに対処する方法
- NYCベンチャーが仕事を促進し、サイバーセキュリティの革新を目指すNYCベンチャーが仕事を促進し、サイバーセキュリティの革新を目指す
- 次のセキュリティ侵害に備える方法次のセキュリティ侵害に備える方法
ゼロトラストモデルの代替として、ペスカトーレは、インターネットセキュリティセンターの重要なセキュリティ管理センターに従うことを推奨しました。 最終的に、ゼロトラストは誇大宣伝にもかかわらず確かに利益をもたらすことができます。 しかし、Pescatoreが指摘したように、それがZero Trustと呼ばれるかどうかにかかわらず、このタイプの戦略には依然として基本的な制御が必要です。
「ビジネスを保護するために、基本的なセキュリティ衛生プロセスとコントロールを開発し、それらを効果的かつ効率的に実行し続けるための熟練したスタッフがいなければならないという事実は変わりません」とペスカトーレは言いました。 それはほとんどの組織にとって金銭的投資以上のものであり、成功するために企業が注力する必要があるのは1つの企業です。
