概念から行動へ:Zero Trustを解明する
Zero Trust:これはかなり前から見聞きする言葉の1つです。しかし、その長い歴史にもかかわらず、SSE、SASE、SWG、ZTNA、CASB、RBIといった数え上げたらきりがない多数の頭字語が混在していることで謎はさらに複雑化しています。
多くのベンダーがそれぞれ独自のZero Trust製品をすべてのセキュリティ問題を解決する決定的なソリューションとして売り込んでいるため、企業はその混乱の渦中に取り残されています。しかし、どの専門家らも言うように、Zero Trustを実装することは、店頭で製品を購入するような単純なものではありません。これは哲学に近いものです。しかし、残念なことに企業に哲学を展開することは一筋縄ではいきません。最終的に、企業にはこれらを現実のものにするため�に何らかの技術やソリューションが必要になります。そして、ここが最も混乱が生じやすいところなのです。
ユーザーの保護
Zero Trustをひとつずつ紐解きながら、抽象的な理解を具体的な理解へと変えていきましょう。ここでは、Zero Trustがその真価を発揮する場所である「ユーザーの保護」に焦点を当てます。歴史的にネットワークユーザは、ユーザ名とパスワードによる制限を除けば、ほぼ自由に企業のリソースにアクセスできました。このような状況は、ハッカーによってユーザーの資格情報やデバイスが侵害された場合に深刻な問題となる可能性があります。生産性を損なうような負担をかけることなく、ユーザーとそのデバイスに対する保護措置を講じることができるのが理想的です。Zero Trustはユーザーにとって目に見えない保護用の緩衝材のようなものだと言われています。何とも言えない例えではありますが、Zero Trustが目指す強化されたセキュリティとシームレスなユーザー体験を結びつけることの核心を突いたものだと言えます。
ここで登場するのが、サイバーセキュリティの申し子としてしばしば比較されるVPNです。その使い勝手の悪さは、モデムの音のないだけのダイヤルアップインターネット時代の遺物と言えます。VPNクライアントを起動し、資格情報を入力して接続を待ち、迷宮のような会社のイントラネットを移動し、切断して通常のインターネットに戻ります。毎回このVPNの決まった手順を踏むことになります。
リモートワークの出現によってVPNは脚光を浴びるようになり、その亀裂が目立ち始めました。従来の企業向けアプリはSaaSの代替アプリに取って代わられることとなり、VPNは追いつくために必死になっていました。その結果は、接続のボトルネックと速度低下、さらには接続障害。VPNは多くの場合、ログイン用のパスワードで保護され、通常、オンプレミスのユーザーに付与されるのと同じネットワークに対するアクセス権を提供します。
結果は明らかです。VPNは過度に広範で、ユーザーはその使用方法に混乱し、クラウドとの統合は一筋縄でいかず、その拡張性と自由度で間違いを犯します。これに脆弱なVPNインフラを標的としたDDoS攻撃の脅威が加われば、大惨事が起こるのを待っているようなものです。
新しい時代へと突入しています。「場所を選ばない働き方」の時代です。クラウドベースのアプリケーション、リモートユーザ、個人向けデバイスの爆発的な増加により、ネットワーク境界のセキュリティモデルの全面的な刷新が求められています。旧来の保護であるアプライアンスベースのVPNソリューションでは、足並みをそろえることはできません。Zero Trustネットワークアクセスの登場です(ZTNA)。
Zero Trust哲学の実践
Zero Trust哲学は、「決して信頼せず、常に検証する」というシンプルな原則を根幹にしています。ZTNAは、この精神を具現化したもので、過度に広範なネットワークアクセスを与えるのではなく、リソースに対して直接的かつきめ細かな、状況に応じたアクセス権を提供します。これは、優れたユーザーエクスペリエンス、堅牢なセキュリティ、可視性、拡張性を提供する、まさに革命の到来であり、現代のハイブリッド労働者に対する答えです。
しかし、ここで早計すべきではありません。Zero Trustの哲学はリモートからのアクセスに関するものだけではありません。Zero Trustの原則は、セキュアWebゲートウェイ(SWG)およびリモートブラウザ分離(RBI)を通してインターネットブラウザに拡張されます。そして、メールについても忘れてはいけません。全サイバー攻撃の90%以上はフィッシングメールが起点となっています。「決して信頼せず、常に検証する」という哲学は、メールフィッシング対策機能を使用してメールの受信トレイにも適用されるべきです。
エンドユーザーの保護が最も重要ですが、重要な企業データの保護も重要です。CASBとDLPもZero Trustを取り巻く一部として、データ漏洩の阻止に役立っています。AIやチャットボットが活躍するこの時代において、これは今まで以上に求められるものになっています。ネットワーク内のデータの移動方法や場所に関するポリシーの確立、実施、監視も、Zero Trustの大きな要素となっています。また、企業がソフトウェア定義のセキュリティアーキテクチャでネットワークを再構築するにつれて、Zero Trustモデルの重要�性は高まり続けています。
Zero Trustが約束された万能薬であるのなら、なぜ全員が採用しないのでしょうか?今、もし私たちが一から構築するのならば、Zero Trustが明確な選択肢となるでしょう。Zero Trustプラットフォームを選択し、任意のIDPとリンクし、ZTNAやその他の製品を使用して必要な準備をすぐに始めるでしょう。ですが、移行は一朝一夕で出来るものではありません。その原因として、多くの場合、ネットワークチームとセキュリティチームがうまく連携されていないことが挙げられます。また、現在のVPNインフラに既に多額の投資が行われていることも、移行を停滞させている理由です。移行に必要なリソースが不足している可能性もあります。ですが、はっきり言ってこれらは言い訳であり、正当な理由ではありません。
セキュリティに対する脅威は氷山の一角であり、エスカレートしていることは皆が知るところです。ユーザーは危険にさらされており、誤った判断でメールをクリックしてしまうことで誤ってサイバー攻撃を引き起こしてしまうかもしれない恐怖に常にさらされています。ユーザーを非難するのではなく保護することが、セキュリティリーダーとしての私たちの義務であるべきです。「決して信頼せず、常に検証する」という原則を持つZero Trustモデルは、従来のVPNとネットワークベースのセキュリティの欠点に対処する、効率的で適応性の高い戦略を提供します。Zero Trustを採用する最もシンプルな方法は、複数のベンダーのポイントソリューションを組み合わせるのではなく、単一のプラットフォームを利用することです。エンドユーザーとデータの両方を階層的に保護するZero Trustの導入を、わざわざ複雑にする必要はありません。リモートワーク、SaaS、AIの時代において、Zero Trustを採用することは単なる戦略的な選択ではなく、避けて通れない必然です。
信頼の基盤
Zero Trustモデルの採用は、かつてないほど進化し続けるサイバーセキュリティの状況において極めて重要なパラダイムシフトを表わしています。従来の境界ベースの防御では不十分であることを認識することで、組織はデータ保護の強化、攻撃対象領域の削減、高度な脅威に対する回復力の強化など、多くのメリットを得ることができます。Zero Trustの採用は単なる技術的な選択ではなく、組織が重要な資産を保護し、不確実な世界で信頼の基盤を構築できるようにするための戦略的必須事項です。
Cloudflareは、組織へのセキュリティ、パフォーマンス、信頼性を1つの完全なパッケージで提供する、セキュリティとサービスとしてのネットワーク(SASE)を組み合わせたZero Trustの実装を実現します。グローバルに広がるCloudflareネットワークを活用することで、従業員はどこにいても、高速かつ信頼性の高いインターネット接続を利用することができます。すべてのアクセス要求にZero Trustセキュリティを適用することで、すべてのトラフィックが認証され、従業員とデータを脅威から保護することができます。Cloudflare Zero Trustは、不要なアクセスを防止し、データ損失を軽減し、すべてを制御できる、あらゆる機能が一つに纏められたインターフェイスを提供します。デジタルトランスフォーメーションのどの段階にあるお客様にも、対応することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
著者
John Engates — @jengates
Cloudflare社テクノロジー・オフィサー
記事の要点
この記事を読めば、以下が理解できます。
ユーザーおよびデータに対する保護要件の変更
Zero Trustが実現する包括的な保護
信頼の基盤を構築し、主導権を握る方法