ZTA(ゼロトラストアーキテクチャ)を構築する時期
トピック: ネットワークおよびアプリケーションセキュリティ
2021年3月15日、Christine Barry
NSA(米国国家安全保障局)はネットワークにゼロトラストを導入するガイダンスドキュメントを公開しました。このドキュメント「Cybersecurity Information Sheet: Embracing a Zero Trust Security Model」では、ゼロトラストとは、ゼロトラストが必要である理由、およびゼロトラストに着手する方法について説明しています。
ゼロトラストとは
通常、ユーザがネットワーク境界内にいる従来のネットワークはネットワーク境界内のすべてのものを暗黙的に信頼する「信頼するが、検証する」というセキュリティモデルに基づいています。ネットワーク境界に入る認証情報があるユーザは、ビジネスロールに割り当てられたすべてのものを表示し、すべてのものにアクセスできます。ゼロトラストでは、このモデルが逆転し、明示的な信頼とアクセス制限に基づいて、「信頼せず、常に検証する」という環境が構築されます。NIST(米国国立標準技術研究所)は、すべてのゼロトラストのユースケースの第一原則とする必要がある複数の原則と前提を定義しています。マイクロソフトのゼロトラストの基本原則はゼロトラストへの取り組みに着手するための適切な出発点です。
- アイデンティティ、場所、デバイスの動作状態など、使用可能なすべてのデータポイントについて明示的に検証する。
- 最小権限のアクセスを使用して、ユーザをJIT/JEA(ジャストインタイム/ジャストイナフアクセス)に制限する。
- アクセスをセグメント化し、すべてのセッションを検証して、侵害を想定し、損害を最小限に抑制する。
IEEE(Institute of Electrical and Electronics Engineers)のシニアメンバーであるJack Burbankの発言によると、ゼロトラストは、1つの製品でも、アプローチでも、技術でもありません。考え方であり、決断です。企業が、ネットワークセキュリティを優先すると宣言し、この宣言に基づいて、リソースを投入することです。
ZTAとは
ZTAとはゼロトラストの原則を技術的および運用的に実装したものです。NISTによる定義は下記のとおりです。
ZTAとは、ゼロトラストの概念を活用し、コンポーネントの関係、ワークフロープラン、およびアクセスポリシーを包含する企業のセキュリティプランであり、ZTAプランの成果として企業に導入されるネットワークインフラストラクチャ(物理と仮想)と運用ポリシーです。
ZTAの実用的意義は、ユーザに必要なアクセス権限が付与され、セキュリティの欠陥が回避または修正されることです。ZTAネットワークでは、ユーザアイデンティティ、デバイスの動作状態、ワークロードとデバイスのアイデンティティなど、リアルタイムのデータポイントを使用する継続的なセッション検証が必要であるため、高度な脅威のリスクは低いです。ZTAでは、マイクロセグメントが使用されているため、攻撃者がネットワークに侵入できる空間を削減できます。
現在はZTAに着手するための適切な時期
世界はサイバー犯罪という点でかつてないほど危険になっています。ランサムウェアが急増しており、損害は全世界で10億ドル以上であると推定されています。2020年8月のFBI(米国連邦捜査局)のレポートによると、2016~2019年のBEC(ビジネスメール詐欺)による企業の損害は全世界で260億ドル以上です。2020年のデータ侵害による損害は平均380万ドルです。あるサイバー犯罪レポートの予測によると、今年末までに、損害は全世界で合計6兆ドルになります。
攻撃とマルウェアは、進化しており、日々さらに危険になっています。ZTAでは、データ、顧客、従業員、IP(知的財産)、サプライチェーンなど、ネットワークに関連するすべてのものが保護されます。マイクロソフトのセキュリティ、コンプライアンス、およびアイデンティティ担当CVP(コーポレートバイスプレジデント)であるVasu Jakkalはゼロトラストへの取り組みを「効果的な保護の基礎とセキュリティの基盤」と呼んでいます。サイバー犯罪が多発する現在、ZTAは単なるセキュリティではありません。ビジネス継続性です。
バラクーダはゼロトラストへの取り組みを支援
Barracuda CloudGen Accessは、すべてのデバイスと場所からアプリケーションとワークロードにセキュアにアクセスできる革新的なZTNA(ゼロトラストネットワークアクセス)ソリューションです。また、SDN(ソフトウェア定義ネットワーク)、クラウドおよびハイブリッドネットワーク全体のスケーラビリティ、企業コンプライアンスなどをわかりやすくする使いやすいソリューションです。ユーザロールとデバイス属性に基づく制御によって、継続的な検証を実行するというゼロトラストの原則を実装するために必要なコンテキストベースのアクセス権限を付与できます。
Barracuda CloudGen Accessによってゼロトラストへの取り組みに着手する方法の詳細については、バラクーダのWebサイト(https://www.barracuda.co.jp/products/cloudgen-access/)をご参照ください。
Barracuda CloudGen Accessがお客様のビジネスを支援する方法
原文はこちら:
Time to build your Zero Trust Architecture
March 15, 2021 Christine Barry
https://blog.barracuda.com/2021/03/15/time-to-build-your-zero-trust-architecture/