境界(ペリメータ)問題の解決
セキュリティの伝統を打ち破るゼロトラスト
現代企業にとって、境界(ペリメータ)セキュリティはもう役に立ちません。以前とは働き方が変わったので、それは当然のことと言えます。今や多くの従業員が、非常に小規模な出張所、飛行機、ホームオフィス、コーヒーショップ、顧客のオフィスで働いています。
多くのテクノロジーリーダーは、ゼロトラストセキュリティこそが、企業を保護するための従来型アプローチに代わる最良の選択肢であることを理解しています。ゼロトラストセキュリティはID中心で継続的に検証されるため、企業は、ユーザーの居場所や使用デバイスにかかわらずリソースを保護することができます。ゼロトラストモデルに移行することで、企業は境界セキュリティの本質的限界に対処できます。
それでも、多くの企業はまだそれに気づいていません。実際、多くの人々はゼロトラストの導入に消極的です。サイバーセキュリティプラットフォームMilestoneのCEO兼共同創設者であり、CytacticのパートナーであるMenny Barzilay氏は、推奨度を1から10の尺度で表現すると、「4だと思います」と述べました。私個人としては、せいぜい6点というところです。
最近、Menny Barzilay氏、およびCloudflareのアメリカ地域担当フィールドCIOであるKhalid Karkと境界セキュリティの問題について話し合いました。『Cloudflareシグナルレポート』は、指摘された時代遅れの境界ベースセキュリティの脆弱性に触れ、それを受けて、ゼロトラストモデルへの移行がそれらの問題の解決にどのように役立つかを議論したのです。
皆、ゼロトラストを進めることが、今日の脅威環境において企業を保護するために重要であると合意に至りました。しかし、1つのソリューションを購入するだけでは不十分です。
境界セキュリティからIDベースのセキュリティへ
企業は、新セキュリティモデルに移行する前に、どこから来たのかを理解することが重要です。長年にわたり、企業はサイバーセキュリティを、企業オフィスの物理的な境界とほぼ一致する、自社のネットワーク境界に限定して取り組んできました。オンプレミスのデータセンターにあるファイアウォールで、ネットワーク境界を保護していました。
今日、企業は物理的なオフィスを超えて大きく拡大しています。従業員はクラウドベースのアプリを使用して、あらゆる場所から業務を遂行しています。Menny Barzilay氏は適切にも、「境界という概念は、今日の現実において非常に疑わしいものとなっています」と述べています。
サイバーセキュリティリーダーは、企業を「堀に囲まれた城」のように防御するのではない、まったく異なるモデルを必要としています。そのモデルの鍵はIDにあるという点で、ほとんどの企業は同意しています。もちろん、ユーザーの身元を確認するだけではありません。企業は、各アクセスリクエストおよびユーザーのデバイスポスチャーに追加のコンテキストを組み込む必要があります。
もし適切に行えば、セキュリティに大きな利益があります。Barzilay氏は、「IDの問題を解決できれば、サイバーセキュリティも解決できるという概念があります。適切な人が適切なデバイスで適切なデータを使用していることがわかっているなら、サイバーセキュリティの問題はありません」と強調しました。
アイデンティティの問題解決は、ゼロトラストセキュリティモデルの実装の主要な目標なのです。そのモデルの中心原則は、「常に疑い、常に検証する」ということです。城を取り巻く「堀」を越えてくるすべての者を信頼する(そしてすべてのリソースへのアクセスを許可する)のではなく、ゼロトラストはネットワークの内外にリスクが存在することを前提条件に動作します。ゼロトラストツールは、特定のデータやアプリケーションへのアクセスを許可する前に、ユーザー、コンテキスト、デバイスを検証します。
Khalid Kark氏は最近の議論で、ゼロトラストは単一特定のソリューションというよりは、「考え方だと言えるでしょう」と指摘しました。Menny Barzilay氏は「『設計による信頼』などできないということを理解し、認めることです。すべてを検証する必要があります。」と同意しています。
私もまた、ゼロトラストは旅のようなもの — どこから始めてもほとんど問題ないと考えています。しかし、ほとんどの企業は、最も問題のあるシナリオを特定することから始めます。
「アイデンティティの問題を解決できれば、サイバーセキュリティも解決できます。」
— Menny Barzilay氏
MilestoneのCEO兼共同創業者、Cytacticの共同創業者兼パートナー
最初の目的地を特定:ゼロトラストの主要なユースケースを見つける
ゼロトラストセキュリティモデルは、ハイブリッドワークやクラウドベースのリソースの急増によって生じた最も差し迫った脅威のいくつかに対処するのに役立ちます。たとえば、旧式のリモートアクセスソリューションを置き換え、シャドーITを管理し、ユーザー向けのセキュリティを簡素化することができます。
1. 従来のVPNを置き換える
攻撃者は、1人のユーザーからVPN資格情報を盗むことができれば、企業ネットワークへの広範なアクセスが可能になることを知っています。アイデンティティを中心としたゼロトラストセキュリティへの移行は、この深刻な問題の解決に役立ちます。ゼロトラストを使用すると、ユーザーの継続的な検証を実施し、クラウドワークロードおよびサービスとしてのソフトウェア(SaaS)アプリ全体でコンテキストに応じた認証を実装できます。それでも攻撃者が貴社ネットワークにリモートアクセスした場合、最小特権アクセス機能によって侵入の範囲を制限し、ラテラルムーブメントを防ぎます。
VPNをゼロトラストセキュリティに置き換えることにはさらなる利点があ�ります。ユーザーはリソースに接続する際に、よりシームレスで低遅延の体験を楽しむことができます。また、ゼロトラストアクセスの利用は、VPNソリューションを拡張するよりも迅速かつ費用対効果の高い方法で拡張できます。そしてITチームは、リモートおよびハイブリッドアクセスの管理における管理上の複雑さを軽減できます。
2. シャドーITの管理
クラウドプロバイダーなら、AIサービスなどの新しいサービスをごく簡単に導入することができます。しかしその結果、個々の従業員やチームはIT部門に相談せずに、これらのサービスに登録してしまうことが多いのです。この種のシャドーIT(またはシャドーAI)は、クラウドアプリやクラウド環境の監視と保護をますます困難にしています。単純なクラウドベースのコラボレーションツールを使用するだけでも、機密データを危険にさらす可能性があります。
ゼロトラストセキュリティの一環としてクラウドアクセスセキュリティブローカー(CASB)、AIを活用した検出ツール、自動化されたポリシー適用を実装することで、不正なクラウドサービスの利用状況をリアルタイムで可視化および制御できます。
3. パスワード時代の終焉
攻撃者がAIを使用してより高度な戦術を開始したとしても、IDは依然として主要な攻撃ベクトルです。レポートによれば、Ciscoのインシデント対応の25%が、2024年第1四半期に不正な多要素認証(MFA)プッシュ通知を受け入れたユーザーに関連していました。攻撃者はまた、アクティブなセッションをハイジャックし、他の方法で認証情報を盗み、企業を広範な侵害やアカウント乗っ取りの危険にさらしています。
企業が直面しているアイデンティティに関連するいくつかの主要な課題:
認証情報の再利用:レポートによると、侵害された認証情報の分析により、全人間ログイン試行の46%と企業ログイン試行の60%が侵害された認証情報を含んでいることが判明しました。
自動化された資格情報攻撃:侵害された資格情報の分析によると、ログイン試行の94%がボットから漏えいした資格情報を使用していることがわかりました。ボットは、毎秒数千のパスワードを試すことができます。
不十分なパスワード:静的パスワードや基本的なMFAの手法でさえ、��セッションハイジャックやフィッシングに対する耐性のある資格情報の盗難などの最新の脅威には効果がないことがよくあります。
パスワードベースのセキュリティはもはや時代遅れです。パスワードレス認証、挙動分析、自動失効、その他の機能とともにゼロトラストアクセス制御を実装することで、単純な静的パスワードと基本的なMFAの潜在的なリスクに対処することができます。
ゼロトラストの旅の出発点を見極める
適切なユースケースを特定したら、アプリケーションのインベントリを作成し、監査を行う必要があります。目標は、各アプリケーションにすでにアクセスできる人、そしてアクセスすべきでない人を判断することです。多くのゼロトラストの取り組みが失敗するのは、企業がこれらの監査を見逃しているためです。
この時点で、ゼロトラストセキュリティソリューションを選択することができます。ゼロトラストは、単一のソリューションというよりも、むしろモデルや哲学であると言えるでしょう。とはいえ、適切なゼロトラストソリューションを選択すれば、確立したゼロトラストの原則とポリシーを適用できるのです。
ゼロトラストソリューションは重要とはいえ、多くの企業がソリューションの購入から始めてしまうので — その結果、プロセスが停止してしまうのです。ユースケースの選択や監査の実施を含め、最初にすべての準備を行うことで、期待する結果を得るために時間とエネルギーを効果的に投資することができます。
ある企業にとっては、他の企業よりも容易に導入できるでしょう。Menny Barzilay氏が指摘したように、スタートアップ企業は初日からゼロトラストセキュリティを実装し、レガシーソリューションの置き換えという潜在的なハードルを回避することができます。しかし、他の企業にとっては、リモートアクセスの保護など特定のユースケースを狙うことで、比較的早く成果を上げ、企業を前進させることができます。
残念ながら、ほとんどの企業はゼロトラストの旅がそれほど進んでいません。一方で、AIの大きな可能性と恐れの両方に対処する必要があります。AIは、非人間アイデンティティを管理する必要性などといった新たな障壁を作り上げてしまう一方で、脅威をより効果的に浮き彫りにし、企業のセキュリティ体制を自動的に改善してくれます。
それでも、Khalid Kark、Menny Barzilay氏、そして私は、ゼロトラストの旅を推進することが重要であるということで一致しています。ゼロトラストは、境界ベースのソリューションの欠点を解決するのに役立ちます。同時に、セキュリティの複雑さとコストを大幅に削減することができます。複数のツールを管理する代わりに、アイデンティティに焦点を当てることで、リソースを保護するための統合的なアプローチを取ることができます。
ゼロトラストへの移行
Cloudflareのコネクティビティクラウドは、旧式の境界ベースのセキュリティからゼロトラストセキュリティモデルへの移行を合理化するクラウドネイティブサービスのプラットフォームです。例えば、Cloudflareゼロトラストネットワークアクセスを使用すると、時代遅れのVPNを置き換えることができ、同時にセキュリティポスチャを強化し、管理を簡素化しながら、より優れたユーザーエクスペリエンスを提供できます。Cloudflareのプラットフォームは、ITの可視性と制御を取り戻し、ボットを利用したID攻撃を阻止するサービスも提供します。これらのサービスを組み合わせることで、ゼロトラストの旅を進め、従来の境界セキュリティモデルを廃止することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
耐障害性の高い企業の構築にゼロトラストセキュリティがどのように役立つかについては、『2025年Cloudflare Signalsレポート:大規模な耐障害性』をご覧ください。
著者
Steve Pascucci — @StevePascucci
Zero Trust責任者、Cloudflare
記事の要点
この記事では、以下のことがわかるようになります。
なぜ従来の境界ベースのセキュリティがもはや十分でないのか
ゼロトラストが最新のセキュリティ必須条件である理由
ゼロトラスト導入の開始地点