目次
ゼロ・トラスト・ポリシーとは何か?
Azero trustpolicyは、ユーザーやデバイスがネットワーク境界の内外にかかわらず、すべてのアクセス要求に対して「決して信頼せず、常に検証する」という原則を実施する一連のセキュリティルールです。従来のセキュリティモデルとは異なり、ゼロトラストは侵害がすでに発生していることを前提とし、機密リソースへのアクセスを許可する前に、ユーザーやデバイスの認証、認可、セキュリティ態勢の評価を継続的に行うことで、各接続を検証します。
ゼロ・トラストは、ネットワーク境界線に依存する代わりに、データ、アプリケーション、システムへの個々の接続を保護することに重点を置く:
- 継続的な監視:すべてのアクセスとアクティビティが監視され、潜在的な脅威をリアルタイムで検出して対応します。
- アイデンティティとアクセス管理:強力な認証は、すべてのユーザーとデバイスのアイデンティティを検証します。
- デバイスのセキュリティ状態:デバイスの健全性とセキュリティ状態が継続的にチェックされます。
- コンテクスチュアル・アクセス:アクセス決定は、ユーザーID、場所、デバイスの姿勢、アクセスされるリソースの機密性など、アクセス要求のコンテクスチュアルに基づいて行われる。
- マイクロセグメンテーション:ネットワークを小さな孤立したゾーンに分割することで、脅威の横の動きを制限し、機密資産を保護する。
ゼロ・トラスト・ポリシーの仕組み
ゼロ・トラスト・ポリシーは、リソースへのすべてのアクセスをデフォルトで拒否し、各アクセスの試行に対して、ユーザーとデバイスのアイデンティティの認証、承認、検証を常に要求することで機能する。アクセスの決定は静的なものではなく、ユーザーの行動、デバイスの健康状態、場所、データの機密性などのリアルタイムのシグナルに依存する。
このアプローチは、ネットワーク内部での無許可の横移動を防止し、ユーザがタスクを実行するために必要な最小限の権限しか持たないようにする。ゼロ・トラスト・ポリシーの運用は、強力なアイデンティティ管理、ネットワーク・セグメンテーション、モニタリング、および適応ポリシーに依存する。
セキュリティ・ツールは継続的にログを記録して相互作用を評価し、異常な動作やコンプライアンスに反する動作を阻止する。アイデンティティ・プロバイダ、アプリケーション・ゲートウェイ、エンドポイント・エージェントなどの実施ポイントは、リソース・アクセスを許可する前にコンプライアンスをチェックするように連携する。これにより、単一のシステムまたはクレデンシャルが侵害された場合、広範な侵害のリスクが軽減される。
ゼロ・トラスト・ポリシーの主要要素
1.アイデンティティ
アイデンティティ・コンポーネントは、組織のリソースにアクセスしようとするユーザ、 サービス、およびアプリケーションを対象とする。ゼロ・トラスト・ポリシーは、多要素認証(MFA)、バイオメトリクス、適応型リスク評価を活用して、各エンティティに対して強力な認証と厳格な本人確認を実施する。すべてのアクセス要求は、ユーザーのコンテキスト、グループメンバーシップ、過去の行動に基づいて継続的に評価されます。
アイデンティティの管理には、クレデンシャルの使用、ライフサイクル、およびアクセス権限の厳密な管理も含まれる。自動化されたオンボーディングとオフボーディングは、攻撃者に悪用される可能性のある 孤立したアカウントを防止するのに役立つ。多くの場合、シングルサインオン(SSO)と統合された集中型 ID システムは、将来の監査や異常検知のためにアクティビティを記録しながら検証を行う。
2.装置
デバイスは、管理対象(企業所有)であるか非管理対象(持ち込みデバイス)であるかにかかわらず、アクセスが許可される前に、セキュリティ態勢が評価される。これには、更新されたオペレーティング・システム、インストールされたセキュリティ・ソフトウェア、組織のポリシーへの準拠について、デバイスの健全性をチェックすることが含まれる。ゼロ・トラスト・ソリューションでは、デバイスの認証が必要となり、設定された基準を満たさないデバイスは制限または隔離されます。
デバイスの状態が急速に変化する可能性があるため(例えば、デバイスが感染したり、ジェイルブレイクされたりした場合)、継続的なデバイス監視はセキュリティを向上させます。ゼロ・トラスト・ポリシーは、デバイスのリスク・レベルが上昇した場合に即座にアクセスを取り消し、攻撃者の露出時間を最小限に抑え、機密データが信頼できるエンドポイントからのみアクセスされるようにします。
3.アプリケーション
アプリケーションは、機密データやワークフローへのアクセスを可能にするため、ゼロトラストにおけるもう一つの重要なコントロールポイントを構成する。ポリシーは最小特権アクセスを強制し、承認されたアプリケーションのみが必要な内部リソースと通信できるようにします。アプリケーションのアイデンティティは検証され、動作は危殆化や誤用の兆候を監視される。
アプリケーション・レベルの制御により、セキュリティ・チームは、ユーザがどのデバイスからどのアプリケーションにアクセスできるかを規定するルールを設定します。このセグメンテーション(アプリごとにきめ細かいパーミッションの適用)により、攻撃者が侵害されたアプリケーションを環境内でさらなる攻撃の発射台として活用することを防ぎます。
4.データ
データ保護はゼロ・トラストの中心である。ポリシーはデータを機密性によって分類し、各カテゴリーに合わせたアクセス制限を適用します。データ中心の管理は、データの暴露や流出のリスクを低減するために、静止時および転送時の暗号化、データのマスキング、アクセスログ、データ損失防止(DLP)アクションを実施します。
ゼロ・トラスト・データ・ポリシーは、誰が、どのくらいの頻度で、どこから、どのようなコンテキストでデータにアクセスするかを監視します。大量のデータダウンロードや異常な場所からのアクセスなど、疑わしいアクセスは調査のためにフラグが立てられ、リアルタイムポリシーによって、ユーザーやデバイスが信頼性を再検証するまでアクセスをブロックすることができます。
5.ネットワーク
従来のネットワーク境界線はゼロ・トラストのもとでは消滅する。その代わりに、ネットワークはマイクロ・パーメーターやソフトウェア定義のパーメーターでセグメント化され、ユーザーやアプリケーションの機能に必要なものだけに通信が制限される。トラフィックは、信頼できるはずのセグメント内であっても、悪意のあるコンテンツやプロトコルの異常がないか継続的に検査される。
ネットワーク・ポリシーは、セグメント内およびセグメント間通信のきめ細かなルールを定義します。各デバイスやアプリケーションの露出を制限することで、横移動などの脅威を軽減します。ゼロ・トラスト・ネットワーキングは、最小特権ルーティング、暗号化、ポリシーベースのフィルタリングを標準的な手法として採用しています。
6.インフラ
ゼロトラストのインフラには、サーバー、仮想マシン、クラウド資産、コンテナが含まれます。各リソースはコンテキスト・ポリシーによって分離・保護され、管理者権限によるアクセスも監視、監査され、必要な場合にのみ許可されます。ランタイム・セキュリティ・ツールは、許可されたプロセスとユーザーのみがインフラストラクチャ・コンポーネントとやり取りできるようにします。
自動化を活用することで、パッチ適用や設定変更を迅速に展開し、悪用される可能性を低減します。インフラストラクチャのコンプライアンスチェックが実施され、設定ミスや未承認の変更にフラグが立てられ、脆弱性が発生する可能性があります。Infrastructure-as-Code の原則は、安全で監査可能な変更を強制することで、これらのポリシーを補完します。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、ゼロ・トラスト・ポリシーをよりよく設計し、実施するのに役立つヒントを紹介しよう:
- 資産だけでなく、ミッションクリティカルなワークフローに基づいてポリシーの範囲を定義する:資産だけで始めるのではなく、価値の高いビジネスプロセスをマッピングし、エンドツーエンドの完全性と継続性を確保するフルチェーン(ユーザー、アプリ、データ、インタラクション)を保護するポリシーを定義する。
- IDレイヤとアプリケーションレイヤの両方でdeny-by-defaultを実装する:多くのゼロトラスト展開はIDレイヤで止まっている。deny-by-defaultロジックをアプリレベルのインタラクション(例えば、APIコール、データクエリ)に拡張し、認証されたユーザーであっても自分の職務範囲外のアクションを実行できないようにする。
- 欺瞞マーカーを使用してポリシーの不正使用を識別:ポリシーで制御された環境内に、隠されたおとりファイル、偽のアクセストークン、またはシャドーサービスを配置します。あらゆるアクセス試行がアラートのトリガーとなり、内部脅威や過剰に許可されたユーザーに対する偵察の試みを検知するのに役立ちます。
- マシン間の信頼は見過ごされがちである。サービスアカウント、API、コンテナ、ワークロードには、短命の証明書と自動ローテーションを使用し、インフラストラクチャとオートメーションレイヤーでゼロトラストを維持する。
- 長期間のセッションについて、時間経過に伴う信頼低下のモデル化:セッション減衰メカニズムを導入する。しきい値(例:アイドル状態 4 時間、アクティブ状態 8 時間)に達したら、再認証または姿勢の再評価を要求する。
ゼロ・トラスト・ポリシーが取り組む主な質問
誰がリソースにアクセスできるか?
ゼロ・トラストにおける基本的な問題は、誰がアクセスを要求しているのかを判断することである。このポリシーでは、明確な認証と強力な方法を使用したユーザ ID の詳細な検証を要求し、正当なユーザのみにアクセスが付与されるようにする。このプロセスは多くの場合、信頼レベルを割り当てるために、統合 ID 管理、MFA、および動的リスク評価を活用する。
その後、部署、プロジェクトチーム、職能などの要素を考慮し、役割ベースまたは属性ベースのアクセス制御(RBAC/ABAC)によってアクセスをさらに制限する。このようなきめ細かな制御により、ユーザーは自分のタスクに必要な特定のリソースとしかやり取りできず、自分の役割に無関係なデータやアプリケーションにアクセスできないようになります。
リソースへのアクセスにどのアプリケーションが使われるか?
ゼロ・トラスト・ポリシーは、アプリケーションのセキュリティ態勢があらゆるアクセス試行のリスクに影響することを認識し、リソースへのアクセスに関与するアプリケーションを対象とする。ポリシーは、保護されたリソースとのやり取りを許可する前に、アプリケーションが認可されているか、最新であるか、コンプライアンス要件を満たしているかを判断する。
許可されていないアプリケーションや脆弱なアプリケーションはブロックされ、攻撃のベクトルとして機能することを防ぎます。ゼロ・トラスト・モデルはまた、承認されたツールだけが機密データにアクセスできるようにするため、アプリケーションのホワイトリスト化と行動監視を実施し、ネットワーク・リソースの不正使用や悪用の可能性を抑制します。
ユーザーはいつリソースにアクセスするのか?
アクセス時間は重要なポリシー属性である。ゼロ・トラスト・セキュリティは、ユーザーがいつアクセスを要求したかを考慮し、通常のスケジュールと一致する、あるいは逸脱するパターンを検出する。例えば、通常とは異なる時間帯や、確立された勤務パターン外のリクエストは、追加の検証や一時的な拒否の引き金となる可能性がある。
アクセス時間を監視することで、時間外に漏洩した認証情報によって開始されたセッションなど、潜在的な脅威への迅速な対応が可能になります。時間ベースの制御は、機会の窓を制限することによって最小特権の原則を強制し、監視が緩慢な時間帯を悪用する攻撃から保護するのに役立ちます。
リソースとユーザーはどこにいるのか?
ユーザーとリソースの両方のソースとロケーションが綿密に精査される。ゼロ・トラスト・ポリシーは、ユーザーの地域とリソースのホスティング環境を考慮し、信頼できない地域からのアクセスをブロックしたり、外部からのリクエストに対して追加のセーフガードを要求したりする。ロケーション・ベースのアクセス・ポリシーは、脅威の高い地域や見慣れないIPアドレスに関連するリスクを低減する。
物理的およびネットワークロケーションのチェックは、データ主権法への準拠を強制するためにも有用である。例えば、特定の記録へのアクセスは、ユーザが承認されたネットワーク上、または特定の地理的地域内にいることを必要とする場合があり、アクセスを物理的なコンテキストに結びつけることで、防御のレイヤーをもう1つ追加することができる。
データはなぜアクセスされ、その価値は何か?
データアクセスの背後にある目的を理解することは、基本原則である。ゼロ・トラスト・ポリシーは、許可を与える前に、ユーザーの業務上の必要性、目下のタスク、データの分類などのコンテキストを調査する。データアクセスが職務やアクティブなタスクによって正当化できない場合、要求は拒否されるか、フラグが立てられます。
データの価値と機密性によって、アクセス制御の厳密さが決まる。財務記録や顧客の個人情報などの重要なデータセットは、より厳格な精査、より強固な監視、頻繁な監査を受けます。このように対象を絞った実施により、不必要な暴露を防ぎながら、価値の高い資産を保護することができます。
ゼロ・トラスト政策の課題と考察
セキュリティとUXのバランス
ゼロトラストを導入すると、認証やアクセス検証が増えることでワークフローが遅くなるため、エンドユーザーに摩擦が生じる可能性がある。組織は、セキュリティの必要性とユーザビリティや従業員満足度の維持のバランスを注意深くとらなければならない。多すぎるプロンプトや不透明な制限は、ユーザーの不満、回避策、セキュリティ・ガイドラインの完全な無視につながる可能性がある。
レガシー・システムとの統合
レガシー・プラットフォームを使用する環境でゼロトラスト・セキュリティを維持することは、困難な課題を提起する。古いシステムには、最新の認証フック、きめ細かなアクセス制御、あるいはベンダーのサポートがない場合があり、既存のゼロ・トラスト・フレームワークとの統合や監視が難しくなっています。このような弱点は、そうでなければ強固なセキュリティ体制にギャップを生じさせる可能性がある。
マルチクラウド環境の管理
マルチクラウド環境では、クラウドプロバイダ間でセキュリティツール、API、管理モデルが異なるため、ゼロトラスト・ポリシーの実装がより複雑になる。このような相違があるにもかかわらず、一貫した本人確認、監視、アクセス制御を適用し、弱点を持ち込まないようにしなければならない。
静的ポリシーの問題:ポリシーはリアルタイムの行動に適応しない
静的なゼロトラスト・ポリシーは、進化する脅威やユーザーとデバイスの行動の変化に対応できないことがよくあります。例えば、ユーザは最初の姿勢チェックに基づいてアクセスを許可されるかもしれないが、セッションの途中で異常なデータセットにアクセスしたり、未知のドメインに機密ファイルをアップロードしたりするなど、ユーザの行動が逸脱した場合、静的なルールはこれらの指標を見逃す可能性がある。リアルタイムのコンテキストがなければ、そのようなポリシーは信頼のスナップショットを提供するだけで、継続的な検証にはなりません。
成功するゼロ・トラスト・ポリシー構築のためのベストプラクティス
組織は、ゼロ・トラスト・ポリシーを確立する際、以下のステップを考慮すべきである。
1.重要資産から始める
ゼロトラストを展開する場合、最も重要なデータ、アプリケーション、システムから始めるのが現実的である。こうすることで、最も貴重でリスクの高い資産を最初に保護することができ、組織は最も重要な部分にリソースと労力の優先順位をつけることができる。依存関係を特定しマッピングすることで、チームは当面のリスクを軽減するための境界とコントロールを設定することができる。
ゼロトラスト方針を段階的に拡大し、重要度の低い資産も含めるようにすることで、継続的な学習とプロセスの改良が可能になる。重要なリソースに早期に焦点を絞ることで、組織的な支援が構築され、セキュリティ上の価値が直ちに証明され、ゼロトラストが実際の攻撃対象領域を削減する上で有効であることが実証される。
2.方針決定と執行のロジックを明確に分ける
明瞭さと安全性のために、ゼロ・トラスト・アーキテクチャーは、アクセスを許可すべきかどうかを決定するロジック(ポリシー決定ポイント)と、その決定を実施するコンポーネント(ポリシー実施ポイント)を分離する必要があります。この分離により、監査、トラブルシューティング、将来の調整が簡素化され、システム上のエラーや一貫性のない施行が減少する。
また、ポリシーロジックとエンフォースメントを区別しておくことで、根本的な意思決定アルゴリズムを根本的に変更することなく、エンフォースメントレイヤーを追加または変更しても、柔軟な拡張と移行が可能になります。このアーキテクチャの実践により、多様な環境やユースケースにおいて、継続的かつ予測可能なポリシーの適用が保証されます。
3.ポリシーの階層と継承を確立する
効果的なゼロ・トラスト・デプロイメントでは、ポリシーを明確な階層で整理し、一般的なルール(組織全体のベースラインなど)と、より具体的な例外(部門や個々のユーザーなど)を共存させることができます。ポリシーの継承は重複を減らし、管理のオーバーヘッドを削減し、環境が大きく複雑になってもスケーラブルなガバナンスを可能にする。
階層化により、チームは大規模な書き換えを行うことなく、脅威やビジネスニーズに対応したポリシーの更新やオーバーライドを迅速に行うことができます。また、適切にスコープされた継承メカニズムは、重複するポリシー間のギャップや重複のリスクを低減し、コンプライアンス、プライバシー、セキュリティなどの優先事項が一様に満たされるようにします。
4.ポリシーのバージョン管理と変更管理
ポリシーのバージョン管理は、ゼロトラスト・セットアップの変更を管理するために不可欠です。ポリシーの変更はすべて文書化、バージョン管理、テストを行い、セキュリティの低下や偶発的なロックアウトを引き起こさないようにする必要があります。ピアレビュー、ステージング、ロールバック機能などの変更管理は、エラーが業務を中断させるリスクを低減します。
誰が、いつ、何を、なぜ変更したかを示す包括的なログは、コンプライアンスとインシデント対応のための監査証跡を構築します。適切なバージョン管理は、ポリシーの変更が意図的であり、テスト済みであり、元に戻すことが可能であることを関係者に保証し、継続的なゼロ・トラスト・ガバナンスへの信頼を植え付ける。
5.ポリシーのテスト、検証、シミュレーション
ゼロ・トラスト・ポリシーは、意図した動作を確認し、弱点を発見するために、導入前と導入後に厳密にテストする必要があります。自動化されたシミュレーション・ツールは、さまざまなアクセス要求、攻撃シナリオ、デバイスの状態を模倣してギャップを浮き彫りにし、実運用を危険にさらすことなくルールを微調整することができる。インフラ、アプリケーション、脅威が進化するにつれて、継続的な検証が必要になる。
定期的な監査とレッドチームによる演習は、名目上のポリシーを回避できるエッジケースや実際の攻撃経路を明らかにするのに役立つ。テストと検証は単発の活動ではなく、ゼロトラスト管理が変化するセキュリティ環境に真に適応し、対応できるようにするための継続的な取り組みである。
6.政策の有効性を継続的に検証する行動分析
ゼロ・トラスト環境は、ユーザーとデバイスが時間とともにどのようにシステムと相互作用するかを監視する行動分析から大きな恩恵を受ける。これらのツールは、通常のアクティビティに関するベースラインを構築し、過剰なデータダウンロード、異常なログイン時間、ほとんど使用されていないリソースへのアクセスなど、逸脱が発生した場合にアラートをトリガーします。これにより、最初のアクセス・チェックを通過した場合でも、侵害されたアカウントや内部の脅威を迅速に検出することができます。
行動分析を効果的に行うには、ポリシー評価エンジンに統合する必要があり、インシデント発生後の調査だけに使用することはできない。組織は、ステップアップ認証、セッションの終了、一時的なアクセス・ブロックなどの自動的な対応のトリガーとなる異常行動のしきい値を設定し、信頼が継続的に得られるようにする必要がある。
ゼロ・トラスト・セキュリティExabeam
Exabeamのセキュリティ・オペレーション・プラットフォームは、コア・ゼロ・トラスト・ソリューションを補完する包括的な遠隔測定と高度な分析を提供することで、ゼロ・トラスト・アーキテクチャをサポートしている。主なゼロ・トラスト・プロバイダではないが、Exabeam、ID・アクセス管理システム、ネットワーク・デバイス、エンドポイント・セキュリティ・ツールなど、さまざまなソースからのデータ取り込みを専門としている。このデータ収集は、すべてのアクセス要求を継続的に検証し、継続的なリスクを評価するために必要な詳細な情報を提供するため、ゼロ・トラスト・モデルにとって極めて重要である。
行動分析と機械学習を活用することで、Exabeam、侵害や確立されたZero Trustポリシーからの逸脱を示す可能性のある異常や不審な行動を検出することができます。例えば、ユーザーが通常と異なる場所からリソースにアクセスしようとした場合、またはデバイスの動作が確立されたベースラインから逸脱した場合、Exabeam、これらのイベントにフラグを立てることができます。この機能は、セキュリティ・チームに不可欠なコンテキストとアラートを提供し、「信頼せず、常に検証する」フレームワークの中でも潜在的な脅威に対応する能力を強化する。
最終的には、Exabeam、ゼロ・トラスト環境で生成される膨大なデータの流れを、まとまりのあるセキュリティの物語に統合するのに役立つ。アクセス試行とリソース相互作用の「誰が、何を、いつ、どこで」を理解するのに役立つ。これは、侵害の微妙なインジケータさえも確実に識別し、セキュリティ担当者の注意を喚起して、情報に基づいた意思決定と迅速な対応を可能にすることで、ゼロ・トラスト戦略の全体的な有効性に貢献する。
Exabeamについてもっと知る
ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。
