Zero Trustセキュリティを実装する方法

Zero Trust アプローチへの移行は、過度に複雑にする必要はありません。MFAの実装、不要なポートの閉鎖、その他いくつかの簡単なステップから始めることができます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Zero Trust セキュリティの実装を開始するために必要な手順を把握する
  • Zero Trustの利点を理解する

記事のリンクをコピーする

Zero Trust セキュリティの仕組み

Zero Trustは、脅威はすでに組織内に存在しているという前提のもとに構築されたセキュリティアプローチです。Zero Trust のアプローチでは、ユーザー、デバイス、アプリケーションが暗黙的に「信頼」されることはなく、企業ネットワーク内のあらゆるリクエストに対して、そのネットワークにすでに接続されているユーザーやデバイスであっても、厳格な本人確認が適用されます。

Zero Trust セキュリティアーキテクチャは、以下の原則に基づいて構築されます:

これらの原則と、それらがどのように組み合わされ、互いに補強し合っているかについては、Zero Trust ネットワークとは?を参照してください

レポート
2023 年 IDC MarketScape for ZTNA
ガイド
アプリケーションへのアクセスを保護するためのZero Trustガイド

Zero Trustセキュリティを実装する方法

包括的なZero Trust セキュリティの実装には時間がかかり、かなりのチーム横断的な協力が必要になります。組織のデジタル環境が複雑であればあるほど(保護しなければならないアプリケーション、ユーザー、事業所、クラウド、データセンターが多様であればあるほど)、それらのポイント間を移動するすべてのリクエストに対してZero Trustの原則を適用するためには、より多くの労力が必要となります。

そのため、最も成功したZero Trustの実装は、より簡単な手順から始め、少ない労力で賛同を得ることができます。このような手順を踏むことで、組織は様々な脅威にさらされる機会を大幅に減らしながら、より大規模で体系的な改善に対する賛同を築くことが可能です。

次の5つの手順を実施します:

1. MFA

多要素認証(MFA)は、アプリケーションにログインするユーザーに、1種類の認証要素(ユーザー名とパスワードなど)だけでなく、2種類以上の認証要素を要求します。MFAは、攻撃者の視点からすると、対になる2つの要素を盗むことが困難であるため、1要素認証と比較してはるかに安全性が向上します。

MFAの導入は、より厳格なセキュリティアプローチをユーザーに労力をかけずに導入するだけでなく、重要なサービスのセキュリティ強化を進めるための優れた方法です。

2. 重要なアプリに対してZero Trust ポリシーを展開

Zero Trust は、IDに加え、デバイスのアクティビティと姿勢を考慮します。Zero Trust ポリシーをすべてのアプリケーションの前に配置することが最終目標ではありますが、最初のステップは、ミッションクリティカルなアプリケーションの前に配置することです。

暗号化トンネル、プロキシ、シングルサインオン(SSO)プロバイダなど、デバイスとアプリケーションの間にZero Trustポリシーを配置する方法は複数存在します。詳しい構成についてはこちらの記事を参照してください。

3. クラウドメールセキュリティとフィッシング対策

メールは主要な攻撃ベクトルです。信頼できる送信元からもアカウント乗っ取りなりすましメールによって悪意のあるメールはが送られてくる可能性があるため、メールセキュリティソリューションを適用することは、Zero Trustへの大きな一歩となります。

現在のユーザーは、従来のセルフホスト型メールアプリケーション、ブラウザベースのWebアプリケーション、モバイルデバイスアプリケーションなどを使用してメールを確認しています。このため、クラウドホスティング型のメールセキュリティおよびフィッシング検知が効果的です。クラウドホスティングであれば、メールトラフィックをトロンボーン化させることなく、あらゆる送信元、あらゆる宛先からのメールを簡単にフィルタリングすることができます。

4. 不要なポートを閉じる

ネットワークにおいてポートとは、コンピューターがインバウンドトラフィックを受信するための仮想ポイントのことです。開いているポートは鍵のかかっていないドアのようなもので、攻撃者はネットワーク内部への侵入に利用することができます。何千種類ものポートが存在しますが、そのほとんどは普段は使用されていません。悪意のあるWeb トラフィックから保護するために、不要なポートは閉じた方が良いでしょう。

5. DNSフィルタリング

フィッシングWebサイトからドライブバイダウンロードに至るまで、安全でないWebアプリケーションは脅威の主要な発生源となっています。DNSフィルタリングは、信頼できないWebサイトがIPアドレスに解決されるのを防ぐ手法で、フィルタに守られている場合、該当するWebサイトに接続することができなくなります。

サインアップ
あらゆるCloudflareプランで実現するセキュリティとスピード

Zero Trust実装の詳細

この5つのステップを踏むことで、組織は完全なZero Trustセキュリティフレームワークに向けて適切な道を進むことができます。Cloudflareは、これらのステップをより詳細に説明したホワイトペーパーを提供しています。「Zero Trustアーキテクチャへのロードマップ」をダウンロードしてください。