今や、金融、医療、製造、輸送、そしてそれら以外の業界にわたり、デジタル化がかつてないほど顕著になりつつあります。また、ビジネスのニーズに関連する技術を統合するために、有資格のIT専門家、システム、プロセスのエコシステムが必要です。ビジネスが多様化する中でITニーズは複雑化し、さまざまなテクノロジー、専門知識、カスタマイズされたソリューションが必要となっています。ITエコシステムはこうしたニーズに対処するだけではなく、最も重要な課題であるセキュリティにも取り組む必要があります。
ハイブリッドな職場文化が世界中の産業を支配する中で、ITの役割はかつてないほど重要になってきています。現在のビジネス環境では、モバイルユーザー、ハイブリッド型の勤務形態の従業員、サードパーティの担当者のすべてが、共同ネットワークおよび共有データへのアクセスを必要とします。それに伴い、組織は、サイバー攻撃、データ窃盗、ランサムウェア、その他の高度な脅威にさらされやすくなり、これらの脅威はデジタルシステムやITオペレーションを脅かします。
これらのセキュリティ脅威は、システムを超えて、従業員やその生産性にも影響を及ぼします。影響を受けやすいITシステムは、協力して作業する従業員やチームに関連する機密データの侵害につながる可能性があります。これは、組織に対する従業員の自信と信頼に影響を及ぼし、組織にとってより大きな課題を生み出します。また、クライアントや担当者がパートナーやベンダーへの信頼を失うにつれて、エンドユーザーエクスペリエンスにも影響を与え、ビジネスに影響を与えかねません。
従来のネットワークアーキテクチャは境界ネットワークというコンセプトを基に構築されており、ネットワークにいったん接続すれば暗黙の信頼が与えられました。クラウドホスティングやリモートワークなどの近代化への移行により、従来の境界ネットワークアーキテクチャでは問題が生じました。これらの問題は、Zero Trustセキュリティアプローチを 実装することで対処できます。これにより、社内外のすべてのトラフィックは確実に検証され、承認されます。Zero Trustアーキテクチャの実装は、従業員の生産性や接続性を阻害することなく、段階的に行うことができます。
Zero Trustセキュリティフレームワークは、アプリケーション、ネットワークプロセス、IDベースのアクセスキー、デバイスなどのITオペレーションの主要な側面を包含することによって、ITチームが現在の脅威の課題に対処することを可能にします。これは、役割や責任に基づきユーザーの権限レベルを下げ、異常なアクティビティを検出した際に自動的にアラートを生成することにより、ITエコシステムへのアクセスを制限します。これらの厳格なアクセス権は、ネットワーク内の検証され認可されたネットワーク、アプリケーション、ユーザー、デバイスのみを許可します。
ID検証は、社内アプリケーション、データ、インフラへの認証情報、コンテキスト、デバイスアクセスに基づくコントロールを設定します。デジタルトランスフォーメーション(DX化)の加速やクラウドの採用に伴い、組織はハイブリッドな職場環境にも移行しています。それにより、サイバー攻撃やセキュリティ脅威の大規模化・範囲の拡大に対し、セキュリティ管理を徹底する必要があります。
Zero Trustは、人やデータがさまざまな環境や場所に分散してい ても、組織が安全かつ生産的に機能することを可能にします。フレームワークを採用するための画一的な方法はありませんが、ほとんどの企業は、採用プロセスを3つの大きなステップにまとめることから開始することができます。
把握する:企業のためのZero Trustフレームワークを確立するためには、まず企業のあらゆる側面と相互接続を可視化することが重要です。これには、組織のリソース、アクセス方法、使用に関連するリスクの詳細な分析が必要です。例えば、法務部はクライアントの機密データを保存するデータベースにアクセスしなければならないかもしれませんが、そこに存在する接続などにより生じる「穴」は大きな脅威となり得ます。このように、リソースの評価のプロセスや、リソースへのアクセスの必要性は、企業の拡大に伴い、今後も継続して発展していくことが不可欠です。同様に、これらの要素に付随する重要性とリスクも進化するでしょう。したがって、Zero Trustフレームワークの適用を希望する企業は、フレームワークの採用が進むにつれて、最も重要で脆弱と考えられる領域から始めることをお勧めします。
軽減する:前のステップを実行することにより、企業は潜在的な脆弱性、潜在的な脅威、攻撃経路をすべて特定できます。この段階では、課題の優先順位付けを行い、課題に一つずつ取り組んでいきます。企業はそれに続き、新たな脆弱性を自動的に検出するプロセスとツールを開発する必要があります。さらに、攻撃を自動的に防止したり、影響を最小限に抑える方法(例えば、公開されるデータの制御など)があるかもしれません。
実行する:この段階では、企業は、ITのあらゆる側面を網羅するように、ポリシーと標準を拡大する必要があります。その拡大に伴い、有効性・利用可能性を検証するためのフレームワークを評価することが重要です。Zero Trustなどのセキュリティフレームワークを実装しても、ユーザーエクスペリエンスが損なわれてしまうと、非遵守や生産性の低下につながる可能性があるため、組織はユーザーエクスペリエンスに重点を置いた実装を心がける必要があります。
Zero Trustフレームワークは、あらゆるレベルで認証情報の検証を追加し、機密性の高いビジネスおよびユーザーデータを保護します。各セクターの組織がデジタルトランスフォーメーション(DX化)を受け入れ、その業務をクラウドに移行するにつれて、強固でセキュアなネットワークインフラストラクチャを提供するために、Zero Trustを実装することができます。しかし、ここでの課題は、多くの組織において、ネットワークとセキュリティに対する責任が異なる場合があり、これらのグループがしばしば各領域で、異なるベンダー を利用していることにあります。セキュリティとネットワークチームの間のサイロを崩し、望ましいビジネス成果に合致する適切なツール、製品、ベンダーを選択することは、Zero Trustを実装するために極めて重要です。これまで以上に、組織がITエコシステムと協力し、Zero Trustの採用を成功させることは、ますます価値が高まっています。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事は当初、CXO Todayのために作成されたものです
John Engates — @jengates
Field CTO、Cloudflare
この記事を読めば、以下が理解できます。
Zero Trustセキュリティフレームワークが今日の脅威の課題に対処するためにITをどのように強化するか
Zero Trustの採用プロセスを開始するにあたりとるべき3つのステップ