クラウドに対応したゼロトラストとは
ゼロトラストとは、信頼という概念を排除することでネットワーク、アプリケーション、データを保護するITセキュリティ モデルです。これは、悪意のある攻撃者が常にネットワークの信頼できない側にいて、信頼できるユーザーは常に信頼できる側にいることを前提とした、従来の境界セキュリティ モデルとはまったく対照的です。ゼロトラストでは、このような前提は無効になり、どのユーザーも信頼できないとみなされます。
主要な調査およびアドバイザリ企業のForrester Research社は、ゼロトラスト ソリューションが以下の要件を満たす必要があるとしています。
セグメント化してレイヤー7のポリシーを適用できるようにすることで、既知の許可されたトラフィックまたは正当なアプリケーション通信のみ許可されるようにする。
最小権限のアクセス戦略を活用し、厳格にアクセス制御を適用する。
すべてのトラフィックを検査し、ログに記録する。そうしなければ、攻撃者が会社のネットワークに極めて簡単にアクセスできるようになることが考えられます。
これらの原則は、企業ネットワークでは容易に実装できるかもしれませんが、クラウドにはどのように適用されるでしょうか。同様の概念をクラウドに適用するには、セキュリティ ゲートウェイを使用してアクセスを行うことで、セキュアな最小権限のアクセスを適用します。ただし、ゲートウェイを実装するだけでは、クラウドでゼロトラストを実現するのに不十分です。実装によってあらゆるアプリケーションのすべてのトラフィックが検査されるようにする必要があります。そうでないと、ゼロトラストは本当の意味で実現されません。
なぜ企業はクラウド環境でゼロトラストを必要とするのか
企業ネットワークへのゼロトラストの実装は、その組織自体がネットワークを制御することを前提としています。境界を配置できる場所を設定し、アクセス制御を適用して、機密性の高いアプリケーション(オンプレミスのデータセンター内に存在するものなど)を不正なアクセスや横方向の移動から保護します。
昨今、データセンターではなくクラウドでアプリケーションをホストするほうがコスト効率が高い場合も珍しくありません。事実、IDGによると、73%を超える企業がクラウド上にアプリケーションやインフラストラクチャを配置しています。1 クラウド サービス プロバイダやSaaSベンダーによって運営されているそれらのクラウド環境は、組織のネットワークの一部ではないため、同様のネットワーク制御は適用されません。
その結果、ほとんどの企業が以下の状態にあります。
複数の場所にアプリケーションやデータが散在している。
以下に対する洞察が得られなくなっている。
誰が自社のアプリケーションやデータにアクセスしているか、さらにはどのデバイスがそのアクセスに使用されているか(スマートフォン、タブレット、ラップトップなど)。自社の資産の大半がサードパーティのインフラストラクチャ上にあるため。
データがどのように使用され、共有されているか。
これらの問題に対応するために、企業では、資産が存在する場所に応じてさまざまなアクセス テクノロジを駆使することが一般的です。ほとんどの企業で以下の組み合わせが使用されています。
場所 |
アクセスに使われるテクノロジ |
オンプレミスのデータセンター |
リモート アクセスVPN |
プライベート アプリケーション(データセンター、ハイブリッド クラウド) |
ソフトウェア定義の境界 |
パブリック クラウド |
受信プロキシまたは仮想化ファイアウォール |
SaaSアプリケーション |
CASBプロキシ |
このようなテクノロジの組み合わせにより、セキュリティ アーキテクチャが断片化されてしまい、クラウド上の特定のデータを保護するためにどのポリシーが適用されているのかを確認することが難しくなっています。クラウド環境は従来のネットワークとは根本的に異なり、継続的に変化するため、企業のセキュリティへのアプローチは包括的であるとともに適応力に優れていなければなりません。
そのため、サイバーセキュリティ担当者の10人中9人が、現在「クラウドのセキュリティが心配だ」と回答しています。彼らが答えた課題のトップ3は、データの損失や漏洩に対する保護(67%)、データ プライバシーへの脅威(61%)、機密性の侵害(53%)です。また、インフラストラクチャのセキュリティに対する可視性の確保(43%)、コンプライアンス(38%)、クラウド環境およびオンプレミス環境全体で一貫性のあるセキュリティ ポリシーの確立(35%)といった、セキュリティ制御の問題にも苦戦しています。2
したがって企業が成功を収めるには、以下のような単一の統合セキュリティ アーキテクチャを導入する必要があります。
パブリック クラウド、SaaSアプリケーション、およびプライベート クラウド/データセンター全体で、ユーザーに会社のアプリケーションやデータへのセキュアなアクセスを提供する。
それらの資産へのアクセス権を持つユーザー、およびその利用方法を制御および制限する。
継続的にトラフィックを検査してセキュリティ ポリシーを適用する。
組織がクラウドへと移行するなか、ゼロトラストを新しいクラウド インフラストラクチャの設計に組み込むことが重要になっています。その作業を始めるにあたってのいくつかのアイデアを以下にご紹介します。
5ステップ方法論によるクラウドに対応したゼロトラストの導入方法
作業を始める前に、クラウドにゼロトラストを実装するうえでの自社の目標と、望ましいビジネス成果を定義することが重要になります。
ステップ1: どのような種類のアプリケーション(パブリック、プライベート、SaaSなど)やデータ(秘密、機密、重要でないなど)を自社が保有していて、どこに存在し、誰がそれらにアクセスして使用しているかを特定します。その後、保護対象領域(自社のビジネスにとって最も重要なデータ、アプリケーション、資産、サービス)を定義します。
ステップ2: トランザクション フローをマッピングします(アプリケーションが実際にどのように機能するか)。
ステップ3: 新しいクラウド インフラストラクチャを構築し、ユーザーとアプリケーションの境界を作成します。
ステップ4: 誰に何へのアクセス権を付与すべきかに基づいて、自社のゼロトラスト ポリシーを策定し、最小権限の原則に基づいてコンテキストによるアクセス制御を適用します。自社のセキュリティ ポリシーと、クラウド上の自社のアプリケーションやデータにアクセスして利用する場合にユーザーに期待されることについて、ユーザーの教育を行います。
ステップ5: ゼロトラスト環境の監視と管理を行います。つまり、すべてのトラフィックを継続的に検査してログに記録することで、異常なアクティビティを発見し、ポリシーをよりセキュアなものにする方法を決定します。積極的な監視によって、保護対象領域を拡大することができ、セキュリティをさらに強化するためにアーキテクチャを変更することが可能になります。
クラウド環境にゼロトラスト環境を適用するためのヒント
クラウドでのゼロトラストの管理を容易にするには、
クラウド提供型セキュリティ対策を利用して、クラウドにゼロトラストを導入します。
ユーザーが物理的にどこにいて、どのような接続方法を希望し、どのアプリケーションを使用したいかにかかわらず、セキュアで、一貫性のある、シームレスなエクスペリエンスをユーザーに提供します。そうでなければ、ユーザーが新しい場所で働く場合や異なるアプリケーションを使用する場合はいつでも、ユーザー エクスペリエンスが複雑すぎたり、あまりにも多くの変化が必要になり、ユーザーはそれを受け入れることができないでしょう。
コンテキストに基づいてユーザー アクセスを制限することで、攻撃対象領域を縮小します。
メリット
クラウド用ゼロトラストを導入するメリットには、次のようなものがあります。
データ、資産、リスクに対する可視性の向上
一貫性のある、包括的なセキュリティ
進化するテクノロジの先を行くスピードと俊敏性
運用コストと複雑性の低減
詳細については、弊社のホワイトペーパー「複数のクラウド環境に対する ゼロトラストの適用」をご覧ください。
出典
ゼロトラストに関するその他の記事: