ゼロトラストを支えるテクノロジーを特定する
学習の目的
この単元を完了すると、次のことができるようになります。
- 既存のテクノロジーを活用して ZT セキュリティモデルを実装する方法を特定する。
- ZT セキュリティモデルを実装する際に不可欠なアセットを特定することの重要性を説明する。
- ZT セキュリティモデルにおいて、マイクロセグメンテーション、ID とアクセス管理 (IAM)、最小権限の原則、デバイスアクセス制御などを実装する方法を説明する。
既存のテクノロジーを使用したゼロトラストセキュリティの実装
ゼロトラスト (ZT) は新しいように思えるかもしれませんが、実際には、組織は ZT セキュリティモデルを支える多くのテクノロジーを以前から使用しています。まず、現時点ですぐに使用できるコントロールセットについて検討します。ZT でよく使用されるテクノロジーをいくつか見てみましょう。
ZT 実装に優先順位を付ける
ZT アーキテクチャでは、暗号化されたトラフィックなど、組織のユーザーとトラフィックを可視化し、制御する必要があります。最善の順番で ZT 導入の優先度付けを行うには、セキュリティの強化によって攻撃面が最小化される重要なデータとサービスの特定から始めるとよいでしょう。まず、組織の最も重要なデータ、アセット、アプリケーション、サービスを特定する必要があります。これにより、攻撃面 (未承認のユーザーがシステムにアクセスしてデータを抽出することが可能な、すべての考えられるポイント (攻撃ベクトル) の数) をより深く理解できます。また、どこからコントロールの実装を開始すべきか優先順位を付け、ZT セキュリティポリシーを作成できます。
ゼロトラストセキュリティを実装する
マイクロセグメンテーション
ZT ツールボックスの重要なツールは、マイクロセグメンテーションです。マイクロセグメンテーションは、従来のネットワークセグメンテーションよりも一歩進んで、サーバーからサーバー、アプリケーションからサービス、ユーザーからアプリケーションなどのトラフィックに保護レイヤーが追加されています。城と堀に例えると、外部ネットワークの境界は城の厚い壁と広い堀であり、内部ネットワークは、ドアの前に衛兵が立っている部屋です。
マイクロセグメンテーションは、エンタープライズネットワークを独自のアクセス制御ポリシーとゲートウェイを持つセグメントセットにそれぞれ分割するセキュリティテクノロジーです。
マイクロセグメンテーションでは、セキュリティアーキテクトが組織のデータセンターを個々のワークロードセグメントに分割し、ワークロードごとにセキュリティコントロールを定義します。ZT マイクロセグメンテーションは、環境に関係なく、攻撃者が承認されていない接続を使用し、侵害されたアプリケーションやシステムを介して横方向に移動することを防ぎます。侵入や被害は可能な限り小さな対象領域に抑えられ、攻撃者は侵害されたアセットを使用して別のアセットにアクセスすることができなくなります。
ID とアクセス管理
ワークロードをセグメント化したら、次はそのワークロードへのアクセスを制御しましょう。ZT では、アクセスコントロールが境界から個々のデバイスとユーザーに移行されます。ID は ZT の土台であるため、すべてのユーザーとデバイスについて、組織内で果たす役割と共にその ID を確認する必要があります。
ID とアクセス管理 (IAM) ソリューションでは、組織が ZT ジャーニーで開始するためのコアテクノロジーが提供されます。IAM システムでは ID の検証と権限の制御が行われます。IAM を使用することで、ユーザーが誰であるか、アクセス権を取得しようとする際にどのデバイスを使用するか、何を許可されているかなどの要素に基づいて権限を割り当てることができます。
IAM を実装するには、安全で一般的な統合 ID 管理システムを作成するか、ID プロバイダー (IdP) を使用することから始めます。IdP は、組織の ID 管理を一元化かつ簡素化し、マイクロセグメンテーションテクノロジーと統合する場合に役立ちます。また、IdP を使用すると、Security Assertion Markup Language (SAML) を有効にして、アクセスを合理化することもできます。SAML とは、ユーザーが 1 つのログイン情報セットを使用して複数の Web アプリケーションにアクセスできるようにする標準です。IAM の詳細については、「Center for Internet Security の重要なセキュリティコントロール」モジュールを参照してください。
多要素認証
ユーザーとアセットを特定し、そのアクセスを管理する IAM システムを実装したら、次はアクセスが安全な方法で認証されていることを検証する必要があります。生体認証やワンタイムコードなど、パスワード以外の多要素認証 (MFA) 方法を実装することが、ZT を実現する鍵となります。
ベストプラクティスは、MFA を導入して、ユーザーやデバイスが保護されたデータへのアクセスを要求するたびに ID 確認を行うことです。ネットワークセキュリティに対する従来のアプローチでは、最初のネットワークログイン時にアクセスを認証して承認することに重点が置かれていました。ZT では、ネットワーク境界を保護するという概念を超え、潜在的な脅威を特定するためのリスクベースの適応型評価を介して、継続的にアクセスを認証して承認することに重点が置かれています。
すべてのアクセス要求は、アクセス権を付与する前に、完全に認証、承認、暗号化される必要があります。このように認証が繰り返されることで、侵入や機密情報へのアクセスを防止し、(侵入された場合でも) 横方向への移動をブロックして被害を軽減できます。
詳細なリソースアクセス制御
これで、ユーザーやデバイスのアクセスと認証を管理するためのシステムを整備できました。ZT セキュリティモデルの次のステップは、適切なアクセス権を付与するための非技術的ポリシーと技術的ポリシーを実装することです。このようなポリシーは、ユーザーの ID、アクセスを試みるデバイス (モノのインターネット (IoT) デバイスを含む)、さらに日時、地理位置情報、使用パターン履歴、デバイスポスチャーなどのその他のコンテキストデータに基づいています。非技術的なポリシーは、組織がアセットを保護する方法を従業員に書面で説明するものです。また、ZT セキュリティモデルを実装する際の役割と責務をすべてのユーザーに確実に理解させる鍵となります。
技術的ポリシーは、一般的に、ネットワーク内で何ができて何ができないかというコンテキストを定義するために、セキュリティコントロールを介して実装される権限付与と適用のメカニズムです。組織は、ロールベースのアクセスコントロール (RBAC) または属性ベースのアクセスコントロール (ABAC) によって技術的に実行される詳細なリソースアクセス制御ポリシーを適用して、機密性の高いシステムやデータを保護することができます。
最小権限
技術的ポリシーには、最小権限の原則を実装することによるアクセスの制限も含まれます。最小権限とは、機能を実行するために必要なアクセスのみを提供することを意味します。たとえば、あるユーザーのアカウントが侵害された場合、最小権限によって、ネットワークの機密性の高い部分へのアクセスが最小限に抑えられ、そのアカウントに組織の幅広い範囲のデータにアクセスするための広範な権限が付与されないようにすることができます。
最小権限を実装すると、ZT セキュリティモデルの主要コンポーネントである継続的な検証も有効になります。継続的な検証では、最初にアクセス権が付与された後、一定の時間が経過すると、ユーザーは自分自身を再検証するよう要求されます。
デバイスアクセス制御
ユーザーアクセスの制御に加えて、ZT ではデバイスアクセスの厳密な制御も必要です。デバイスアクセス制御とは、リソースにアクセスしようとしている組織内外のさまざまなデバイスの数を監視し、すべてのデバイスが承認されていることを確認し、すべてのデバイスが侵害されていないことを評価することです。そのためには、さまざまなアセット管理テクノロジーを使用します。
自動ネットワーク検出ツールは、ネットワークデバイス (およびアプリケーションとユーザー) の詳細なインベントリを自動的に検出、監視、対応付け、生成するのに役立ちます。このようなツールでは、特定のプロトコルセットを使用して、ネットワーク上の接続デバイスの IP アドレス、デバイス ID、ベンダー情報がスキャンされます。このようなツールを設定管理ツールや脆弱性管理ツールと統合すると、ネットワーク上のすべてのアセットが既知であり、適切に認証、設定、パッチ適用されていることを確認できます。このテクノロジーを使用することで、セキュリティチームはこれまで知られていなかった (おそらく不正な) アセットを検出し、そのアセットに同じ ZT アクセスポリシーを継続的に適用できます。
モバイルデバイス管理 (MDM) ツールは、組織の情報テクノロジー (IT) 管理者がモバイルデバイスでポリシーを制御、保護、適用することを可能にします。また、組織が個人所有デバイス (BYOD)、組織支給デバイス、またはハイブリッドモバイルデバイスのいずれの環境を運用しているかに関係なく、役立ちます。システム管理者は MDM を使用して、組織のデータへのアクセスを保護しながら、ユーザーにモバイル生産性ツールや承認済みアプリケーションを提供します。MDM は、エンドポイントにマイクロセグメンテーションをリリースするために使用することもできます。
継続的な監視と検証
ID とアクセスは管理され、ユーザーとデバイスの認証も繰り返し行われています。ただし、ZT ではそれだけにとどまらず、認証後の監視にも重点が置かれています。
ZT アーキテクチャでは、組織はユーザーとデバイスに適切な権限と属性があることを継続的に監視して検証する必要もあります。そのために、組織は豊富なインテリジェンスと分析を使用して、リアルタイムで異常を検知して対応します。前述の詳細なアクセス制御ポリシーをリスクベースで適応的に実装するには、ユーザー、デバイス、重要なプロセスを対象とする監視データなど、IT 環境またはオペレーショナルテクノロジー (OT) 環境内にある多数のソースからデータを取り込む必要があります。
この監視データの管理をサポートするために、セキュリティ情報イベント管理 (SIEM) を活用できます。SIEM は、ユーザー、デバイス、サービスのログデータを一元化して相関付けることで、不審な活動を監視できるようにするツールです。
まとめ
このモジュールでは、ZT セキュリティモデルを理解しました。また、ZT の歴史とその主な原則について学習し、ZT セキュリティモデルの基盤を形成するテクノロジーについても学びました。
次のモジュール「クラウドのゼロトラストセキュリティ」では、クラウドに ZT セキュリティモデルを実装する方法を学びます。また、ZT を維持するために必要な継続的な作業について学習します。サイバーセキュリティの各ロールについて学び、セキュリティのプロフェッショナルの話を聞く場合は、Trailhead のサイバーセキュリティの学習ハブを参照してください。
