Zero Trust アプローチへの移行は、過度に複雑にする必要はありません。MFAの実装、不要なポートの閉鎖、その他いくつかの簡単なステップから始めることができます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Zero Trustは、脅威はすでに組織内に存在しているという前提のもとに構築されたセキュリティアプローチです。Zero Trust のアプローチでは、ユーザー、デバイス、アプリケーションが暗黙的に「信頼」されることはなく、企業ネットワーク内のあらゆるリクエストに対して、そのネットワークにすでに接続されているユーザーやデバイスであっても、厳格な本人確認が適用されます。
Zero Trust セキュリティアーキテクチャは、以下の原則に基づいて構築されます:
これらの原則と、それらがどのように組み合わされ、互いに補強し合っているかについては、Zero Trust ネットワークとは?を参照してください
包括的なZero Trust セキュリティの実装には時間がかかり、かなりのチーム横断的な協力が必要になります。組織のデジタル環境が複雑であればあるほど(保護しなければならないアプリケーション、ユーザー、事業所、クラウド、データセンターが多様であればあるほど)、それらのポイント間を移動するすべてのリクエストに対してZero Trustの原則を適用するためには、より多くの労力が必要となります。
そのため、最も成功したZero Trustの実装は、より簡単な手順から始め、少ない労力で賛同を得ることができます。このような手順を踏むことで、組織は様々な脅威にさらされる機会を大幅に減らしながら、より大規模で体系的な改善に対する賛同を築くことが可能です。
次の5つの手順を実施します:
多要素認証(MFA)は、アプリケーションにログインするユーザーに、1種類の認証要素(ユーザー名とパスワードなど)だけでなく、2種類以上の認証要素を要求します。MFAは、攻撃者の視点からすると、対になる2つの要素を盗むことが困難であるため、1要素認証と比較してはるかに安全性が向上します。
MFAの導入は、より厳格なセキュリティアプローチをユーザーに労力をかけずに導入するだけでなく、重要なサービスのセキュリティ強化を進めるための優れた方法です。
Zero Trust は、IDに加え、デバイスのアクティビティと姿勢を考慮します。Zero Trust ポリシーをすべてのアプリケーションの前に配置することが最終目標ではありますが、最初のステップは、ミッションクリティカルなアプリケーションの前に配置することです。
暗号化トンネル、プロキシ、シングルサインオン(SSO)プロバイダなど、デバイスとアプリケーションの間にZero Trustポリシーを配置する方法は複数存在します。詳しい構成についてはこちらの記事を参照してください。
メールは主要な攻撃ベクトルです。信頼できる送信元からもアカウント乗っ取りやなりすましメールによって悪意のあるメールはが送られてくる可能性があるため、メールセキュリティソリューションを適用することは、Zero Trustへの大きな一歩となります。
現在のユーザーは、従来のセルフホスト型メールアプリケーション、ブラウザベースのWebアプリケーション、モバイルデバイスアプリケーションなどを使用してメールを確認しています。このため、クラウドホスティング型のメールセキュリティおよびフィッシング検知が効果的です。クラウドホスティングであれば、メールトラフィックをトロンボーン化させることなく、あらゆる送信元、あらゆる宛先からのメールを簡単にフィルタリングすることができます。
ネットワークにおいてポートとは、コンピューターがインバウンドトラフィックを受信するための仮想ポイントのことです。開いているポートは鍵のかかっていないドアのようなもので、攻撃者はネットワーク内部への侵入に利用することができます。何千種類ものポートが存在しますが、そのほとんどは普段は使用されていません。悪意のあるWeb トラフィックから保護するために、不要なポートは閉じた方が良いでしょう。
フィッシングWebサイトからドライブバイダウンロードに至るまで、安全でないWebアプリケーションは脅威の主要な発生源となっています。DNSフィルタリングは、信頼できないWebサイトがIPアドレスに解決されるのを防ぐ手法で、フィルタに守られている場合、該当するWebサイトに接続することができなくなります。
この5つのステップを踏むことで、組織は完全なZero Trustセキュリティフレームワークに向けて適切な道を進むことができます。Cloudflareは、これらのステップをより詳細に説明したホワイトペーパーを提供しています。「Zero Trustアーキテクチャへのロードマップ」をダウンロードしてください。
ゼロトラストセキュリティは、ネットワーク境界の内外を問わず、どのユーザーやデバイスも自動的に信頼するべきではないという前提に立ったセキュリティモデルです。境界防御に重点を置いた従来のアプローチとは異なり、ゼロトラストアーキテクチャはどこからのアクセスであるかを問わず、リソースにアクセスしようとするすべてのものを検証します。
主な構成要素には、本人確認システム、デバイスの正常性検証ツール、継続的な監視機能などがあります。これらの要素が連携して、セキュリティポリシーに照らして各アクセスリクエストを評価した後で、リソースへのアクセスを許可します。
マイクロセグメンテーションは、ネットワークを個々のアクセス制御を備えた隔離されたセグメントに分割し、侵入が発生した場合のラテラルムーブメントを制限します。これにより、正当な利用者やデバイスも最小特権の原則が適用され、自分の役割を果たすために必要最小限のリソースのみにアクセスできるようになります。
ゼロトラスト評価とは、組織内のすべてのエンドポイント(端末)のセキュリティ状況を評価することです。この評価を一度実施することで、セキュリティの弱点やリスクを見つけ出し、ゼロトラストの考え方に沿って対策を進める手助けになります。また、評価は一度きりではなくリアルタイムで継続的に実施することもできます。そうすることで企業はデバイスの健全性とコンプライアンスチェックに基づいて、アクセス制限やゲートウェイポリシーの適用をより細かく調整することができます。