1. HOME
  2. ブログ
  3. Blog
  4. ゼロトラスト – より良いネットワークセキュリティー環境の構築のために

Info.

お知らせ

Blog

ゼロトラスト – より良いネットワークセキュリティー環境の構築のために

zero trust

ゼロトラストネットワークという言葉を知っていますか?これは、アメリカの調査会社フォレスターリサーチが提唱した次世代のネットワークセキュリティの考え方です。

ゼロトラストとは全く信用できないという意味です。「組織のセキュリティは安全である」とセキュリティ対策に手を抜かず、ゼロトラストであるということを前提に、全てのデバイスのトラフィックの検査やログの取得を行い、セキュリティ対策に万全を尽くすことです。

#ゼロトラスト  #ゼロトラストネットワーク  #ゼロトラスト実現  #ゼロトラストの目的  #ゼロトラストのための準備  #ゼロトラストの利点  #ゼロトラストのロードマップ

ゼロトラストネットワークの利点

ゼロトラストを利用することで、ネットワークへのサードパーティによるアクセスに関連するリスクを軽減します。デバイスとユーザアクティビティの可視性を向上し、アプリケーションとデータに役割ベースでのアクセスを可能にします。

ゼロトラストを実行するために

ゼロトラストは多くの企業で選択されるセキュリティモデルになっていますが、セキュリティプロフェッショナルおよびリーダーは、何から始めればよいか、わからない場合が多いと言えます。既存のすべてのセキュリティ管理を除外することから始める必要はありません。適切なアプローチとロードマップがあると、企業は、生産性を低下せずに、利益を得ることができます。

ゼロトラストプロジェクトの導入を計画している企業は、発想を転換し、導入を変更し、セキュリティテクノロジーを使用する必要があります。ゼロトラスト戦略を成功させるには、導入に必要な主なワークストリームとプロジェクトの概要を示す詳細なロードマップを構築することが重要です。

ロードマップ構築前の確認事項

詳細なロードマップを構築する前に、セキュリティ管理者が確認する必要事項は下記のとおりです。

  1. Forrester ResearchのZTX(Zero Trust eXtended)フレームワークを使用して、ゼロトラスト戦略全体を確認する。
  2. ビジネスとITの両方のステークホルダーをロードマップの構築に参加させる。
  3. 他のセキュリティ、IT、およびビジネスプロジェクトとの相互依存関係を特定する。

 

長期的目標設定

ゼロトラストロードマップの構築を開始するために、成熟度モデルを評価および確立できます。

  1. 自社の現状の成熟度を評価する: 大きなギャップがあるか。多くの改善が必要であるか。
  2. 現在のビジネスイニシアティブとセキュリティプロジェクトを理解する: ゼロトラストセキュリティモデルを達成するプロセスの触媒として役立つクラウドへの移行とITの変更があるか。
  3. 既存の機能をどこでどのように再利用できるかを文書化する
  4. 将来の成熟度の目標と達成までの期間を設定する

 

ゼロトラストの導入は、スプリントのような短期間のプロジェクトではなく、既存のセキュリティ機能を活用し、ゼロトラストモデルに徐々に移行する段階的なプロセスです。2年以上またはさらに長い期間がかかる可能性があります。

利用目的別ゼロトラスト

各利用目的別の事前考慮事項

従業員/ユーザ向けのゼロトラスト

プラットフォームは、セキュアであるだけでなく、ユーザが、UX(ユーザエクスペリエンス)を損なわずに、簡単に導入できるほど十分に直感的である必要があります。社員、パートナー、顧客、およびボットも、すべてが異なるアクセス権限のある固有のアイデンティティを使用しているため、IAM(アイデンティティ管理とアクセス管理)要件は、ますます複雑になっています。この問題を解決するには、下記の方法があります。

  1. コンプライアンス、セキュリティ、および生産性に関連する他の問題の解決に役立つように、MFA(多要素認証)、SSO(シングルサインオン)などのIAMテクノロジに投資します。
  2. リース権限の適用: データとアプリケーションへのアクセスをユーザに必要以上に提供しないようにします。また、権限のあるユーザが業務に不要なシステムの管理機能にアクセスできないようにします。
  3. パスワードの廃止: パスワードは盗聴および解読される可能性があります。重要なアプリケーションとデータ資産を保護するために、MFAなどの追加レイヤを追加できます。また、生体認証、トークン、鍵など、パスワードを使用しない認証方法もあります。

 

ワークロード向けのゼロトラスト

IAMイニシアティブの後、多くの企業は、次のゼロトラストイニシアティブとして、デバイスまたはワークロードに注力することが非常によくあります。クラウドの急速な導入によって、ワークロードセキュリティは緊急に成熟する分野になっています。

  1. 堅牢なクラウドガバナンスのプロセスと構造を確立する: ガバナンスが、常に有効であり、セキュリティに有益であるように、反復可能なプロセスを構築および文書化します。
  2. ワークロード設定をリスト化および監視する: 簡単に作成できるため、クラウドワークロードは非常に急速に普及します。
  3. クラウドネイティブなセキュリティおよび管理ソリューションに注力する: オンプレミスワークロードに適した設定と保護は、パブリッククラウドでは、ほとんど適していません。

 

クラウドネイティブなセキュリティおよび管理ソリューションに注力する: オンプレミスワークロードに適した設定と保護は、パブリッククラウドでは、ほとんど適していません。

デバイス向けのゼロトラスト

ほとんどのセキュリティ部門は、ノートパソコンとモバイルデバイスの保護が、既に難しいと感じており、そこにIoT(モノのインターネット)デバイスが加わることによって、さらに困難になります。セキュリティプロフェッショナルは進化する脅威の状況に迅速で効果的に適応できる柔軟なアーキテクチャを構築する必要があります。

  1. デバイスを管理するためのゼロトラストネットワークセグメント化の適用: IoTネットワークセグメント化ソリューションは、IoTデバイスの既存のネットワークを活用し、ゾーンまたはマイクロ境界を作成して、IoTデバイスを他のITデバイスまたはネットワークから分離できます。
  2. IoTデバイスのハードニング: IoTデバイスのハードニングソリューションは、セキュアなファームウェア、信頼できる実行環境、難読化、バイナリの変更などの機能によって、IoTデバイスとデータの整合性を実現して、デバイスの改ざん、およびIoTデバイスとデータに対する不正なアクセスと使用のリスクを最小限に抑制できます。
  3. BYOD(Bring Your Own Device)ポリシーによるユーザリスクの抑制: BYODの使用とモバイルワーカーが増加しているため、IT部門は、企業ネットワークに接続し、データにアクセスするエンドポイントを十分に管理できなくなっています。企業ネットワークへの接続またはシステムへのアクセスをエンドポイントに許可する前に、エンドポイントの動作状態チェックを行います。

 

ネットワーク向けのゼロトラスト

ネットワーク境界の認識は、進化しており、現在、ユーザが企業に接触または接続するためのネットワークの「エッジ」になっています。

  1. ネットワーク境界を引き直す: ネットワークではなく、リソースを保護するために、ネットワーク境界を引きます。つまり、アプリケーションとアプリケーションに関連するホスト、ピア、およびサービスを中心にセグメント化するということです。セグメント化ポリシーは、あるグループから別のグループへのアクセスを定義するものです。
  2. 企業の「エッジ」に管理を適用する: 既存の南北のネットワーク境界を人間が作成したすべてのトラフィックのインスペクションゾーンとして活用するための複数のアプローチがあります。
  3. 最新のエンタープライズファイアウォールを使用して、クラウドのセキュリティ管理を強化する: 次世代ファイアウォールはゼロトラストの「元祖」であり、現在、ゲートウェイロードバランサの内側にオートスケーリング可能な仮想化ファイアウォールのレイヤを挿入して、アプリケーショントラフィックをインスペクションできます。

 

データ向けのゼロトラスト

ZTX(Zero Trust eXtended)は、ネットワークを中心とするより、むしろデータとアイデンティティを中心とするセキュリティへのアプローチです。従来のアプローチでは、ユーザ間、アプリケーション間、および多くのデバイス上のデータ間のやりとりを可視化する機能を構築し、ユーザが企業ネットワークに接続しているかどうかにかかわらず、1つのポリシーセットを設定および適用できます。

  1. 何をどこでどのように保護する必要があるかを理解するために、データを定義する: データがどこにあるか、および何が機密データであるかの特定に役立つように、データを発見および分類する機能の構築を含んでいます。
  2. データを分析して、データの価値とライフサイクル、およびデータに対する脅威を理解する: この分析によって、ポリシーと管理に役立つように、データに関するビジネス情報と文脈情報が提供されます。この分析には、データに関する疑問への回答に役立つプロセスとテクノロジが必要です。このデータは、どのように流れて、ビジネスの成果を生み出すか。誰がどれほどの頻度でどのような目的でデータを使用しているか。なぜ企業がデータを所有しているか。データがどのように収集されているか。データの整合性が損なわれた場合は、どのような結果が生じるか、など。
  3. 4つの中核的な対策、および対策を実現するテクノロジによって、データを保護する: アクセスの制御、データ使用パターンのインスペクション、データの保護可能な廃棄、難読化など。

 

Barracuda CloudGen Access ゼロトラストネットワークの特徴

Barracuda CloudGen Accessのゼロトラストモデルは、従来のVPNと異なり、パフォーマンスの低下なく、ユーザとデバイスに優れたアクセス制御を確立します。リソースへのリモートアクセス、条件付きアクセス、およびコンテキストアクセスを提供し、権限アクセスおよび関連するサードパーティのリスクを軽減します。

クラウドおよびSaaSアプリケーションのセキュリティを確保するために、最新のSDPを実装しています。リソースへのリモートアクセス、条件付きアクセス、およびコンテキストアクセスを提供し、過剰な特権アクセスと関連するサードパーティのリスクを軽減します。従業員とパートナーは、あらたに追加の攻撃対象領域を作成することなく、企業アプリケーションとクラウドワークロードにアクセスできます。

#ゼロトラスト  #ゼロトラストネットワーク  #ゼロトラスト実現  #ゼロトラストの目的  #ゼロトラストのための準備  #ゼロトラストの利点  #ゼロトラストのロードマップ

ゼロトラストネットワーク製品の詳細はこちらをご覧ください。
#ゼロトラストネットワーク導入事例-ソテリア
#ゼロトラストネットワーク

関連記事