ゼロトラストセキュリティモデルに移行する

学習の目的

この単元を完了すると、次のことができるようになります。

• クラウドでゼロトラスト (ZT) セキュリティモデルに移行するための考慮事項を説明する。
• クラウドに ZT セキュリティモデルを実装するための 5 つのステップを挙げる。

ゼロトラスト (ZT) は、クラウドと非クラウドの両方の実装で使用できるセキュリティモデルです。このモジュールでは、クラウドにおける ZT の実装を中心に説明します。

始める前に

「ゼロトラストセキュリティ」モジュールを修了している場合は、既存のテクノロジーを使用してゼロトラスト (ZT) セキュリティモデルを実装する方法をすでにご存知だと思います。それでは、クラウド環境で ZT セキュリティモデルを実装する方法について説明しましょう。 

クラウドのゼロトラストセキュリティ

多くの IT セキュリティリーダーが、今日のクラウドファーストの世界における効果的なアプローチとしてゼロトラストを採用しています。クラウドの台頭により、ネットワーク境界は以前のようには存在しなくなっています。クラウドネイティブな世界で安全なアプリケーションアクセスを可能にすることで、社内ネットワークは過去のものとなる可能性があります。 

COVID-19 のパンデミックで加速したデジタルトランスフォーメーションにより、クラウドサービスへの需要がさらに高まりました。多くの人が完全または部分的なリモートワークに移行し、より幅広いさまざまな場所やデバイスから組織のデータにアクセスすることを必要としています。今日、従業員は会社のデータセンター、クラウド、ハイブリッド環境でホストされたリソースに接続しています。これにより複雑さが増し、またコンピューティングリソースへのアクセスが分散化し、多様化するにつれ、防御可能な「境界」はもはや存在しなくなっています。このような傾向はすべて、ZT の必要性を明確に示しています。

組織のクラウドベースのアセットに ZT セキュリティを拡張することで、クラウドのコスト削減を実現すると同時に、ハイテクなコントロールを適用して、分散したアプリケーションとデータを保護することも可能になります。機密性の高いリソースへのアクセスを正確に制御する上で、ZT は非常に理にかなっています。それでは、クラウドに ZT を実装するためのステップを詳しく見ていきましょう。

クラウドにゼロトラストを実装するための 5 つのステップ

重要なのは、ZT の実装では、必ずしも既存の情報テクノロジー (IT) デバイスやオペレーショナルテクノロジー (OT) デバイスをすべて取り外して交換する必要はないと認識することです。組織はすでにネットワークインフラストラクチャを整備していて、セキュリティのために境界ベースのアプローチからの移行を検討している可能性があります。組織によるクラウドへのさらに多くのリソース移行が進むにつれて、クラウドベースのリソースも徐々に ZT セキュリティモデルに移行していくことになります。

組織が ZT セキュリティモデルを実装するために従うことができる手法は多数ありますが、ここでは次の 5 つのステップに焦点を当てます。 

1. アプリケーション、アセット、データ、サービス、ユーザーを特定する。
2. 主要なプロセスとトランザクションフローを対応付ける。
3. クラウドインフラストラクチャを設計する。
4. ZT ポリシーを作成して適用する。
5. 環境を監視して維持する。

それでは、非営利団体で ZT クラウドアーキテクトを務める Karen が、上記の 5 つのステップに従って組織に ZT クラウドセキュリティモデルを実装するところを見ていきましょう。

アプリケーション、アセット、データ、サービス、ユーザーを特定する

ZT セキュリティモデルを実装する最初のステップは、デジタルリソースに誰また何がアクセスする必要があるかを理解することです。Karen は、クラウドネットワークでアクセス権を必要とするアプリケーション、アセット、データ、サービス、ユーザーを特定して、ZT への移行を計画します。また、組織のシステムとデータの所有者に参加してもらい、ユーザーベースを決定します。まず、組織のクラウドリソースへのアクセス権を必要とするのはどのユーザーで、どのようにアクセスするのかを検討します。また、そのユーザーのうち、どのユーザーに特権アクセスが必要であるかも検討します。ユーザーには、従業員、サードパーティコントラクター、外部の顧客、サービスプロバイダーなどが含まれます。 

Karen は、クラウドネットワークに接続するアセット (デバイスやエンドポイントとも呼ばれる) を特定し、それを誰がどのように使用しているかを確認します。また、組織のデジタルデバイスアセット (ワークステーション、スマートフォン、タブレット、モノのインターネット (IoT) デバイスを含む) を分類します。さらに、クラウドへのアクセスやストレージを必要とするデータ、アプリケーション、サービスなど、組織のデジタルアーティファクトも特定します。このプロセスには、重要なアセットやデータガバナンスの評価を実施して、組織が保有するデータを確定することも含まれます。さらに、そのデータを処理または保存するシステムの重要性、データの保存場所、アクセスできるユーザーとそのアクセス方法も含まれることがあります。 

主要なプロセスとトランザクションフローを対応付ける

ZT の重要な要素となるのは、敵対者がクラウド環境で横方向に移動して他のアセットにアクセスするのを防ぐことです。Karen は、データフローがどこでどのように行われるかを理解することが重要であることを知っています。また、クラウド環境を対応付けて、デバイス、ユーザー、アプリケーション、その他の活動を保護、管理、監視するための適用ポイントをアーキテクチャ全体に作成できるようにしています。この操作によって、リソースアクセスポリシーを適切に作成し、組織の重要なデータを最適に保護するためのコントロールを実装することができます。

ZT アーキテクチャの実装を成功させるには、Karen は各セキュリティドメインから情報を接続する必要があります。また、会社全体のセキュリティチームが優先順位に合意し、アクセスポリシーを遵守しなければならないことも理解しています。ビジネス全体では、データからユーザー、デバイス、アプリケーション、ワークロード、ネットワークに至るまで、あらゆる接続を保護する取り組みが進められています。これで、アプリケーション、アセット、データ、サービス、ユーザーの特定、および主要なプロセスとトランザクションフローの対応付けが完了しました。次は、クラウドインフラストラクチャの設計、ZT ポリシーの作成と適用、ZT 環境の監視と維持に目を向けていきましょう。 

リソース 

• Trailhead: ゼロトラストセキュリティ
• 外部サイト: Palo Alto Networks: What Is Zero Trust for the Cloud? (クラウドのゼロトラストとは?) 
• 外部サイト: MITRE: Crown Jewels Analysis (重要なアセットの分析)
• 外部サイト: 米国標準技術局 (NIST): host (ホスト)
• 外部サイト: 世界経済フォーラム (WEF): Five ways to ensure the cloud doesn't cast a shadow over your cybersecurity (クラウドがサイバーセキュリティのマイナス要因とならないようにするための 5 つの方法)