Zero Trustへのロードマップ
Zero Trustの未来へ向けた5つのシンプルなプロジェクトについて学ぶ
Zero Trust導入は複雑なプロセスだが、最初から複雑とは限らない
Zero Trustセキュリティの導入が困難なプロセスであることは、よく知られています。いろいろな意味で、そのような評判が立つのも無理はありません。Zero Trustには、セキュリティ・IT担当者が慎重になるのもうなずけるほどの作業が必要になります。リクエストをデフォルトで許可するポリシーと境界ベースのネットワークアーキテクチャの見直しや、職務上異なるチームとの協力が必要ですし、新しいセキュリティサービスに確信が持てなければなりません。企業は、次のようなさまざまな理由でこの変革を先送りするかもしれません。
他のプロジェクトとの兼ね合いで十分な人手が割けない
Zero Trustベンダーが提供するサービスが多岐にわたる
さまざまなアプリケーションやリソースがネットワーク上のどこにあるかが不明確である
従業員の生産性に影響する可能性がある
Zero Trustの枠組みは、全体的にかなり複雑になっています(完全ガイド「Zero Trustアーキテクチャへのロードマップ」は27のステップから成ります)。しかし、中には比較的少ない労力で、時間の限られた小規模チームでもできるステップがいくつかあります。
Zero Trustを徐々に導入する
ネットワーキングについていうと、Zero Trustセキュリティを達成するには、企業ネットワークを出入りしたり内部で行き来するリクエストをすべて検査、認証、暗号化し、ログに記録しなければなりません。これは、「送信元や送信先を問わず、いかなるリクエストも暗黙に信頼してはならない」という考え方に基づいています。
Zero Trust導入の初期は、それらの機能を現在ないところに確立する作業です。ゼロから始める企業��にとっては、多くの場合、それらの機能を1つの「ネットワーク境界」を超えて拡張することを意味します。
ここで紹介するのは、ユーザー、アプリケーション、ネットワーク、インターネットトラフィックの安全確保に重点を置いたごくシンプルな5つのZero Trust導入プロジェクトです。これだけで包括的なZero Trustを実現することはできませんが、すぐにメリットが得られ、広義の変革に向けた取り組みに早い段階で弾みをつけることができるでしょう。
プロジェクト1
すべての重要なアプリケーションで多要素認証を実施する
Zero Trustのアプローチでは、送信元と自称する主体から実際に送信されたリクエストであることを、ネットワークが確信できなければなりません。つまり、フィッシングやデータ漏えいによりユーザーの資格情報が盗まれることに対して安全対策を確立する必要があるのです。多要素認証(MFA)は、そうした資格情報盗難に対する最善の保護策です。MFAの完全ロールアウトにはかなりの時間を要するかもしれませんが、最もクリティカルなアプリケーションに重点を置けば比較的簡単に進められ、効果を出すことができます。
既にIDプロバイダーを持っている企業は、ワンタイムコードやプッシュ通知アプリを従業員のモバイル端末へ送るなどして、そのプロバイダー内にMFAを直接セットアップすることができます。現行IDプロバイダーと直接統合されないアプリケーションの場合は、アプリケーションの前面にアプリケーションリバースプロキシを配してMFAを適用するやり方を検討しましょう。
IDプロバイダーを持たない企業は、MFAに関して異なるアプローチをとることができます。ユーザーのIDをダブルチェックするもう一つの方法が、Google、LinkedIn、Facebookといったソーシャルプラットフォームや、ワンタイムパスワード(OTP)です。これは、サードパーティの請負業者をコーポレートIDプロバイダーに追加登録せずにアクセスを自動実行するのによく使われる方法で、社内でも適用できます。
プロジェクト2
重要なアプリケーションのためのZero Trustポリシーの実施
Zero Trustの適用は、単にユーザーIDを確認するだけではありません。アプリケーションは、リクエストを常に検証し、さまざまな挙動と背景となる要素を考慮した上で認証し、アクティビティを継続的に監視するポリシーで保護する必要があり��ます。プロジェクト1と同様に、まずはクリティカルなアプリケーションを一覧にし、それにポリシーを実装すればシンプルでしょう。
このプロセスは、取り扱うアプリケーションのタイプによって異なります。
プライベートなセルフホスト型アプリケーション(企業ネットワーク上でのみアドレス指定可能)
パブリックなセルフホスト型アプリケーション(インターネット上でアドレス指定可能)
クラウドベースのアプローチ
プロジェクト3
Eメールアプリケーションを監視し、フィッシング攻撃をフィルタリングする
Zero Trustに関する議論では、メールは必ずしも話題になりません。しかし、メールは企業の情報伝達手段の筆頭であり、最もよく使われるSaaSアプリケーションであり、また、攻撃者が最もよく使う侵入口でもあります。つまり�、通常の脅威フィルターや検査を補完するものとして、Zero Trustの原則を適用して然るべきものなのです。
そのためには、クラウドメールセキュリティのデプロイメントが不可欠です。さらに、セキュリティチームは、完全にブロックするほど疑わしくはないリンクを、分離したブラウザで隔離するというオプションも、検討する必要があります。
プロジェクト4
アプリケーション配信のために、インターネットに開いているすべてのインバウンドポートを閉じる
開放された受信ネットワークポートはよく使われる攻撃ベクターであり、Zero Trustの保護をして然るべきです。
それらはスキャニング技術で検出できます。そこからZero Trust リバースプロキシで、受信ポートは一切開放せずに、Webアプリケーションをパブリックインターネットに安全に露出することができます。アプリケーションの一般公開レコードはDNSレコードだけで、これはZero Trust認証とロギング機能で保護できます。
セキュリティの追加レイヤーとして、Zero Trustネットワークアクセスソリューションを使い、内部DNSやプライベートDNSを利用することができます。
プロジェクト5
既知の脅威や危険な宛先へのDNSリクエストをブロックする
DNSフィルタリングとは、悪性であることがわかっていたり、その疑いが濃いWebサイトやインターネット上の他のリソースに、ユーザーがアクセスしないようにすることです。トラフィックの検査もログ記録もないため、Zero Trustの議論で必ずしも話題に上るとは限りません。しかし、ユーザー(またはユーザーグループ)によるデータの転送やアップロードの宛先を究極的に制御できるという点で、広義のZero Trustの考え方によく合致しています。
DNSフィルタリングは、ルーターの設定によって、またはユーザーマシンで直接適用することができます。
広義のZero Trustのイメージを理解
これらのプロジェクトの実装により、Zero Trustへの移行が比較的スムーズに進められます。それが出来た組織は、より良い最新セキュリティの実現に向けて大きく前進したことになります。
広義のZero Trust導入はまだまだ複雑です。そこで、当社はベンダーニュートラルなZero Trust移行の全工程ロードマップを作成しました。上記の5つのプロジェクトと類似のプロジェクトを取り上げています。中には数日より遥かに日数がかかるプロジェクトもありますが、このロードマップでZero Trust移行の意味が明確になるでしょう。
Cloudflareは、これらのサービスのすべてをCloudflare Zero Trustを通じて提供しています。すべてのネットワークトラフィックの検証、フィルタリング、分離、検査が可能で、すべてを均一でコンポーザブルなプラットフォームで行えるため、設定も操作も簡単です。しかも、320都市以上に広がり13,000以上の相互接続点を持つグローバルネットワークを使った安全な仮想バックボーンのおかげで、パブリックインターネットより遥かに優れたセキュリティ、パフォーマンス、信頼性が実現します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
Zero Trustロードマップには、27の包括的ステップが含まれています
比較的少ない労力でできる5つのZero Trust導入プロジェクト
実装を可能にするサービスの種類
自社で導入ロードマップを作成する際の最初の一歩
関連リソース
このトピックを深く掘りさげる
完全ガイド「Zero Trustアーキテクチャへのロードマップ」でZero Trustの詳細を学び、お客様の組織のロードマップ作成を始めましょう。
Get the guide!