ゼロトラスト成熟度モデル
トピック: Series: Understanding Zero Trust2022年7月19日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第5回です。 この数週間、ゼロトラストの源流と中核的な原則について説明してきました。導入を計画する際には、サイバーセキュリティ・社会基盤安全保障庁(CISA、Cybersecurity & Infrastructure Security Agency)が概説した「ゼロトラスト成熟度モデル」についても理解しておく必要があります。このモデルは、NISTの原則に沿って、企業がゼロトラストの完全な導入へと移行するためのロードマップです。 CISAでは、ゼロトラストを実現するために 5 つの柱を掲げています。 アイデンティティ:エージェンシーユーザーまたはエンティティを一意に記述する属性または一連の属性。 デバイス:ネットワークに接続できるあらゆるハードウェア資産。たとえば IoT(モノのインターネット)デバイス、携帯電話、ノートパソコン、サーバーなど。 ネットワーク:オープンな通信媒体。メッセージを伝送するために使用される、エージェンシー内部ネットワーク、無線ネットワーク、インターネットを含む。 アプリケーションワークロード:オンプレミスおよびクラウド環境で実行されるシステム、コンピュータプログラム、およびサービス。 データ:デバイス、アプリケーション、ネットワーク上で保護されるべきデータ。 成熟度モデルは、これらの柱を横断する形で段階的に実施するもので、それぞれの柱を独立して、異なる時期に展開できることを意味します。全社的なゼロトラストの展開は、自動化、可視化、および動的なポリシー作成が5つの柱すべての統合を必要とする時点に達するまで、この方法で進めることができます。 成熟の3つのステージ CISAは、このモデルの段階的な展開をサポートするために、各柱について 3 つの成熟ステージを概説しています。 従来型: 手動設定と静的なセキュリティポリシー。 先進型: 中央集約的な可視化、アイデンティティ制御、および柱間の連携に基づくポリシー実施。 最適化: 資産やリソースへの属性の割り当てを完全に自動化し、自動トリガーに基づく動的なポリシーを実現し、柱間の相互運用性を高めるためにオープンスタンダードに準拠する。 CISA文書では、各柱の成熟ステージを下記のようにまとめています。 このCISA文書では詳細な説明があり、ゼロトラスト導入の準備段階でこれらの詳細を把握しておくとよいでしょう。NIST とオープングループが概説した成熟度モデルと基本原則を参照することで、実際に導入する段になって知らなかったとあわてることもなくなります。 ゼロトラストの適切な導入は、企業の時間とコストを削減し、規制要件に準拠した安全な環境を維持するのに役立ちます。 リソース ゼロトラストおよびバラクーダゼロトラストソリューションの詳細については、以下のリソースを参照してください。 ZTA(ゼロトラストアーキテクチャ)を構築する時期 Barracuda CloudGen Access:すべてのデバイスと場所からゼロトラストアクセスを実現します。 Secure Access Service Edge (SASE):クラウド移行を高速化し、安全性を確保します。 オンデマンドウェビナー:Barracuda | Vandis | AWS Dev Day: Advanced Zero Trust Access Control CISA Zero Trust Maturity Model NIST Special Publication 800-207 The Open Group Zero Trust...
海外ブログ
ゼロトラストのコア原則—オープングループ
トピック: Series: Understanding Zero TrustJuly 13, 2022年7月13日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第4回です。 オープングループ(Open Group)は、数百の加盟団体からなり、特定のベンダーおよびテクノロジーに依拠しない国際コンソーシアムです。このコンソーシアムは、技術標準や認証の開発を行っており、2013年に解散したジェリコフォーラム(Jericho Forum)の活動を吸収しています。Open Groupは、ゼロトラストのコア原則を定義したホワイトペーパーを含む出版物のライブラリーを維持管理しています。以下は、11のコア原則を4つの共通テーマに基づいて整理したものです。 1 組織価値とリスク調整の原則は、ビジネス、IT、セキュリティのステークホルダーが全体的な戦略推進要因に対応するための重要な目標に取り組むものである。 1 現代の仕事の実現 2 目標の調整 3 リスク調整 2 ガードレールとガバナンスの原則は、コンプライアンス、リスク、情報セキュリティのステークホルダーが、ゼロトラストを導入し、保証の持続可能性を確保するためのものである。 1 人々のガイダンスとインスピレーション 2 リスクと複雑性の軽減 3 調整と自動化 4 ライフサイクル全体をカバーするセキュリティ 3 テクノロジー原則は、IT 組織、情報セキュリティ、リスクおよびコンプライアンスのステークホルダーを対象とし、アイデンティティ、アクセス、脅威の表面積の減少に関連する懸念など、ZTA の開発の基礎となる技術的な意思決定を決定するものである。 1 資産中心のセキュリティ 2 最小限の特権 4 セキュリティ管理の原則は、機密性、完全性、可用性の保証の強固な基盤を確保するために、セキュリティとITアーキテクトに対処するものである。 1 シンプルかつ広範 2 明示的な信頼性検証 上述の原則やテーマの説明は、The Open Group Zero Trust Core Principles文書から直接引用しています。この文書には、さらに詳細が記載されています。 ゼロトラストの実施例 これらのテーマは、ビジネスニーズやリスクマネジメントの懸念に対応するために利用できます。Open Groupはアクメ銀行の例を挙げています。対面式の銀行であるアクメ銀行はコロナ禍に加え、デジタルトランスフォーメーションと規制の変化によって利益を上げられずにいます。そこでアクメのリーダーが新しい要件に対応する戦略を求めてきました。 アクメ銀行は、従業員が自宅で仕事をし、自分のデバイスを使って仕事をするためのリモートワークをサポートしなければなりません(オンラインモデルで顧客とやり取りする銀行スタッフを含む)。 アジリティを推進するために、アクメ銀行はデジタルにシフトする必要があります。オンラインでのやり取りが増え、対面式の銀行での業務は減っています。 競合他社や顧客の好みに対応するため、営業や顧客との関係(およびアプリケーション)を継続的に進化させる必要があり、そのためには増大する複雑性を管理しなくてはなりません。 The Open Groupの原則とテーマの構成を利用することで、新しいビジネス要件とゼロトラストセキュリティの整合性を保つことができます。最初のテーマである「組織価値とリスク調整」を見てみましょう。 コア原則 1: 現代の仕事の実現 – アダプティブ・アイデンティティというゼロトラスト能力を活用し、急速に進化する消費者ニーズやビジネス関係に対応する。 コア原則 2: 目標調整 – リアルタイム/ほぼリアルタイム・レスポンスというゼロトラスト能力を活用し、脅威の特定、対応、および軽減を行います。 コア原則 3: リスク調整 – 業界標準のリスクフレームワークと自動監査による定量的リスクというゼロトラスト能力を用いて、規制当局にコンプライアンスを報告します。 このようにセキュリティ戦略を構築することで、うっかり何かを見逃すことはありません。また、「ゼロトラスト」のコンセプトをビジネスの言葉を使って伝えることができます。 次回は、「CISAゼロトラスト成熟度モデル」を見ていきます。本シリーズの全記事はこちらからご覧いただけます。 原文はこちらThe core...
海外ブログ
