ゼロ・トラスト戦略：成功への3つのステップ

ゼロ・トラスト戦略とは何か？

ゼロ・トラストとは、「決して信用せず、常に検証する」という原則に基づいて構築されたサイバーセキュリティ・モデルである。企業ネットワーク内のすべてが安全であることを前提とする従来のセキュリティ・アプローチとは異なり、ゼロ・トラストは、その出所にかかわらず、すべてのアクセス・リクエストを潜在的に敵対的なものとして扱う。このモデルでは、内部ユーザーやシステムが侵害される可能性があり、外部からの脅威は永続的であることを認識した上で、あらゆるレイヤーで厳格な本人確認とアクセス制御を実施する。

ゼロ・トラストを導入するには、境界ベースの防御から、よりきめ細かいセキュリティ・アプローチに移行する必要がある。ネットワークをセグメント化し、ユーザーとデバイスのアクセスを厳密に制御し、アクティビティを継続的に監視することで、攻撃サーフェスを最小化することに重点を置く。この戦略では、継続的な検証と最小権限の実施なしに、いかなるエンティティ（ユーザー、デバイス、アプリケーション）も環境内で自由に移動できないようにすることで、潜在的な侵害の被害を制限する。

ゼロ・トラスト導入の課題

複雑なインフラ

大企業は通常、異種ネットワーク、レガシー・システム、サービス間の複数の依存関係からなる複雑な IT 環境を抱えている。セキュリティ・アーキテクチャは、各システム固有の要件と統合ポイントを考慮する必要があるため、このような複雑な環境全体でゼロトラストを実装することは困難である。

企業がクラウドサービス、SaaS プラットフォーム、モノのインターネット（IoT）デバイスを採用するにつれて複雑さが増しており、これらすべてに個別のセキュリティ管理が必要になっている。こうした関係や相互依存関係をマッピングすることは、リスクの高い領域や既存のセキュリティ体制に潜在するギャップを特定する上で非常に重要である。新しい接続や技術が増えるたびに複雑さが増し、統一されたセキュリティ・ポリシーを確立することが難しくなります。

コストと労力

ゼロ・トラストへの移行には、新しいテクノロジー、人材、およびプロセスの再設計に多額の投資が必要になる場合がある。既存のシステムは、より強力な認証、きめ細かなポリシー、および継続的な監視をサポートするために、アップグレードまたはリプレースが必要になるかもしれない。

特に予算が限られていたり、投資対効果が不明確であったりする場合は、ライセンス、コンサルティング、トレーニングなど、これらの初期コストが、ゼロトラスト導入へのコミットメントを躊躇させる可能性がある。実施には、アクセス制御の再設計、統合の編成、新しいプロセスへのユーザーオンボーディングの管理など、社内チームの多大な労力も必要となる。

統合ツールセットの欠如

多くのセキュリティチームは、異なる時期に特定の問題を解決するために導入されたツールのパッチワークで業務を行っている。このような場当たり的なアプローチでは、データがサイロ化し、機能が重複し、セキュリティポリシーの実施に一貫性がなくなることが多い。ゼロ・トラストは、ほとんどのレガシー・ツールセットがネイティブに処理できないレベルの統合と自動化を必要とする。

これらのギャップを埋めるには、技術的な努力が必要であり、さらなるツールの投資が必要になるかもしれない。複数のベンダーの製品を統合することは、互換性と相互運用性の課題も提起する。IDプロバイダー、ネットワーク・セキュリティ・ツール、エンドポイント保護ツール、分析プラットフォーム間の連携を確保することは重要だが、複雑である。

ビジビリティ・ギャップの克服

最新のセキュリティ・ツールを導入していても、多くの組織は収集したデータの意味を理解するのに苦労している。アイデンティティ・システム、エンドポイント・エージェント、ネットワーク・モニター、クラウド・プラットフォームからのログはサイロ化されたままであることが多く、環境全体で何が起きているかを統一的に把握することは困難です。このような一元的な可視性の欠如は、悪意のある活動を覆い隠し、検出を遅らせ、ゼロトラスト・ポリシーを損なう可能性があります。

このギャップを埋めるために、組織は、ID、ネットワーク、デバイス、アプリケーション、データなど、すべての主要なコントロール・ポイントからデータを取り込む中央分析レイヤーを必要としている。このレイヤーは、行動ベースラインを確立し、異常を検出し、実用的な洞察を提供するために、遠隔測定を正規化し、相関させなければならない。このような分析基盤がなければ、どんなに優れた技術的コントロールであっても、信頼を検証したり、信頼が破られたことを検知したりすることはできない。

関連コンテンツガイドを読むゼロトラスト・アーキテクチャ 

ゼロ・トラスト戦略を構築し実施するための主要ステップ

組織は、ゼロトラスト・セキュリティ戦略を計画する際に、これらのステップを考慮すべきである。

フェーズ1：基礎戦略と計画

この段階は、計画を正しく立てることだ。

1.経営陣の賛同とガバナンス

ゼロ・トラストは、ITエコシステムのあらゆる部分に関わり、ユーザーがシステムやデータにアクセスする方法を変えることが多いため、トップダウンの支援が必要である。経営陣の賛同が得られないと、抵抗、不整合、リソース不足のために取り組みが停滞する可能性がある。リーダーシップは、ゼロ・トラストとは何か、そしてそうではないのかについて教育されなければならない。これは製品ではなく、アクセスとリスク管理を再構築するセキュリティ戦略である。

ガバナンス構造には、セキュリティ、IT、法務、コンプライアンス、人事、事業部門の代表者で構成される部門横断的な運営委員会を含めるべきである。このグループは、ポリシーの方向性を定め、対立を解決し、予算を配分し、進捗を監視する責任を負う。明確な役割と責任を定め、成功のための指標を定義することで、説明責任を確実にし、組織全体のモメンタムを維持することができる。

2.現状を把握し、環境をマッピングする

まず、現在のITおよびセキュリティ環境を詳細に評価する。これには、ユーザー、アプリケーション、デバイス、データ・ストア、サービス、ネットワーク・フローの棚卸しが含まれます。特に、レガシー・システム、クラウド・サービス、サード・パーティとの統合などの環境では、多くの組織が可視化に苦労しています。構成管理データベース（CMDB）、アセット・ディスカバリ・プラットフォーム、クラウド・インベントリ・ツールなどのツールは、このプロセスを支援します。

環境のマッピングには、ユーザーとシステムがリソースとどのように相互作用しているか、つまり、誰が、どこから、何に、どのようにアクセスしているかを特定することも含まれる。これは、監視されていないアクセス経路、過剰な権限、シャドーITの発見に役立つ。目的は、攻撃対象領域を明確に理解することであり、セグメンテーション、ポリシーの実施、アクセス制御に関するその後の意思決定に役立ちます。

3.表面保護」の定義と優先順位付け

ゼロ・トラストは、ネットワーク境界全体を保護するのではなく、最も価値のある資産を保護することに重点を置く。これらの「保護対象領域」は、従来の攻撃対象領域よりも小さく、より具体的であり、通常、機密データ（例：顧客のPII、財務記録）、重要なアプリケーション（例：ERP、CRM）、特権ID、および重要なサービスが含まれる。

各プロテクトサーフェスについて、その属性（プロテクトサーフェスとは何か、誰がアクセスする必要があるのか、どのようにアクセスするのか、どのシステムと相互作用するのか）を定義する。この情報を使って、ビジネスへの影響とリスク・エクスポージャーに基づいて優先順位をつける。小規模で価値の高いプロテクトサーフェスから始めることで、ゼロトラストの原則を管理されたスコープでテストし、規模を拡大する前に実装アプローチを改良することができます。

4.段階的ロードマップの作成

ゼロトラストを一度に導入することは、ほとんどの組織にとって実現不可能である。段階的なロードマップは、変革を構造化し、現実的な期待を設定するのに役立つ。各フェーズには、具体的な目標、マイルストーン、タイムライン、およびリソース計画を設定す る。初期のフェーズには、ID 統合、MFA の導入、ネットワークの可視化などの基盤機能を含めることができる。その後のフェーズでは、マイクロセグメンテーション、自動化、高度な分析に焦点を当てることができる。

ロードマップは動的で、定期的に見直され、ビジネスの優先順位に沿ったものでなければならない。イニシアチブ間の依存関係を明確にマッピングし、将来の計画と実行を改善するために、チームは各フェーズで学んだ教訓を文書化すべきである。

フェーズ2: 中核となる柱の実施

この段階は、技術的な管理体制を整えることである。これらはデータを生成するものである。

5.アイデンティティとアクセス・コントロールの強化

アイデンティティは、ゼロ・トラスト・モデルにおける新しい境界である。すべてのアクセス要求は、認証され、承認され、継続的に評価されなければならない。アイデンティティ・ストアを統合し、フェデレーション、MFA、SSO、条件付きアクセス・ポリシーをサポートする最新のアイデンティティ・アクセス管理（IAM）システムを導入することから始めましょう。

役割ベースのアクセス制御（RBAC）または属性ベースのアクセス制御（ABAC）を採用し、最小権限のアクセスを強制する。定期的にアクセス権限を見直し、クリーンアップすることで、孤立したアカウントや過剰な権限を排除する。人事システムとの統合により、役割の変更に伴うプロビジョニングとプロビジョニング解除を自動化する。

特権アカウントについては、特権アクセス管理（PAM）ソリューションを使用して資格情報を分離し、セッション監視を実施し、可能な場合はジャスト・イン・タイムのアクセスを要求する。

6.デバイスとエンドポイントの信頼の確保

環境に接続するすべてのデバイスを検証し、継続的に評価する必要があります。暗号化、更新パッチ、アクティブなアンチウイルスまたは EDR、および適切な設定を含む、デバイスの信頼性に関するベースラインを定義する。MDM (モバイルデバイス管理)、UEM (統合エンドポイント管理)、またはエンドポイントコンプライアンスエージェントなどのツールを使用してコンプライアンスを実施する。

デバイスのポスチャーは、アクセス決定の一部であるべきである。例えば、信頼されていないデバイスやコンプライアンスに準拠していないデバイスを使用しているユーザは、機密性の高いアプリケーションへのアクセスを拒否されたり、より制限の厳しい環境に追いやられたりする可能性がある。デバイスの信頼性をアイデンティティ・プロバイダまたはポリシー・エンジンと統合し、これらのルールを動的に実施する。

エンドポイント検出・対応（EDR）ツールを導入することで、デバイス・レベルで悪意のあるアクティビティを検出し、封じ込める能力が強化されます。

7.ネットワークのセグメンテーションとマイクロセグメンテーション

従来のフラットなネットワークでは、攻撃者は一旦内部に入ると横方向に移動することができる。ゼロトラストは、セグメンテーションを使用して環境を区分し、移動を制限する。まず、主要なゾーン（ユーザー、アプリケーション、データベースなど）を隔離するマクロ・セグメンテーションから始める。次に、これらのゾーン内にマイクロセグメンテーションを実装し、東西トラフィックを制御する。

IPアドレスのような静的な属性ではなく、アイデンティティ、デバイスの姿勢、アプリケーションのコンテキストを使用して、セグメンテーション・ポリシーを定義する。次世代ファイアウォール、SDN（Software-Defined Networking）、ホストベース・ファイアウォールなどのテクノロジーは、これらのポリシーを実施することができる。

リスクと業務上の必要性に基づいてセグメンテーションを決定します。可視化ツールは、セグメンテーションモデルが摩擦をもたらすことなく業務をサポートしていることを検証するのに役立ちます。

8.セキュアなアプリケーションとAPI

アプリケーションとAPIは、そうでないことが証明されない限り、信頼できないエンティティとして扱われるべきである。OAuth 2.0、OpenID Connect、APIキーなどのメカニズムを使用して、すべてのインタラクションに認証と承認のチェックを適用する。ポリシー、レート制限、脅威検出を実施するAPIゲートウェイを通してアクセスをゲートする。

安全なコーディング手法を採用し、静的・動的解析（SAST/DAST）のようなアプリケーション・セキュリティ・ツールを開発ライフサイクルに統合する。ランタイム・アプリケーション・セルフ・プロテクション（RASP）は、実行中に追加の防御層を提供することができます。

API、特に一般公開されているAPIについて、定期的にインベントリ を作成し、公開とセキュリティ管理を見直す。インジェクション攻撃やデータ漏えいを防ぐために、転送中の暗号化を実施し、入力を検証する。

フェーズ3：信頼ゼロのエンジン - 監視、自動化、成熟化

この段階は、ゼロ・トラスト戦略をインテリジェントで適応性のあるものにすることだ。

9.継続的モニタリング、分析、フィードバック

これはゼロトラストの最も重要な柱であり、コントロールが機能していることを検証し、失敗した場合にそれを検出する方法だからだ。最高のポリシー、アイデンティティ、セグメンテーションであっても、行動を観察し、それが意図と一致していることを確認し、すり抜けた脅威を捕まえることができなければ、ほとんど意味をなさない。そのためには、IDシステム、エンドポイント、ネットワークトラフィック、クラウドプラットフォーム、アプリケーション、データアクセスレイヤーなど、環境のあらゆる部分からテレメトリーを取り込む必要がある。

セキュリティ情報・イベント管理（SIEM）または拡張検知・対応（XDR）プラットフォームを使用して、このデータを一元管理します。これらのシステムにより、ドメイン間でイベントを相関させ、異常なパターンを検出し、インシデントにほぼリアルタイムで対応することができます。

ユーザーとエンティティの行動分析（UEBA）は、ベースラインを確立し、内部脅威、アカウントの侵害、特権の悪用を示唆する逸脱を発見するのに役立ちます。脅威インテリジェンスを統合することでコンテキストを追加し、無害な異常と侵害の真の指標を区別するのに役立ちます。モニタリングとインシデント対応活動からのフィードバックループを確立します。

10.オーケストレーション、自動化、ポリシー実施

手動プロセスは、最新の環境のスピードと規模に追いつくことはできません。アナリティクス・プラットフォームが脅威を検出したら、自動化されたレスポンスをトリガーする必要があります。オーケストレーションと自動化は、ゼロトラスト・ポリシーを一貫して実施し、脅威に迅速に対応するのに役立ちます。セキュリティ・オーケストレーション、自動化、対応（SOAR）ツールを使用して、インシデント処理、ポリシー適用、コンプライアンス・チェックを自動化します。

ポリシー決定ポイント（PDP）やポリシー実施ポイント（PEP）などのポリシー・エンジンは、コンテキスト・データ（ID、デバイス、ロケーション、リスク）を評価し、動的にアクセス決定を行います。これらのエンジンをIAM、ネットワーク、エンドポイントプラットフォームと統合し、エンドツーエンドで実施する。

自動化は、証明書管理、パッチ適用、プロビジョニングなどのタスクもカバーする必要があり、チームの運用負担を軽減し、信頼性を高める。

11.トレーニング、チェンジマネジメント、文化

信頼をゼロにすることで、人々の働き方、システムへのアクセス方法、セキュリティに対する考え方が変わることがよくあります。アナリティクスから得られる洞察は、ポリシーを改善し、ユーザを訓練し、長期的に戦略を成熟させるための重要なフィードバック・ループとなります。効果的なトレーニングにより、ユーザーは新しい認証手順、デバイス要件、アクセス・プロセスを確実に理解する。技術的な指導だけでなく、行動の変化に焦点を当てましょう。

変更管理計画は、コミュニケーション、利害関係者の関与、フィードバックの収集、および抵抗の緩和に取り組むべきである。パイロットや段階的なロールアウトを利用して、変更をテストし、早期にユーザーの意見を収集する。

文化的に、組織は暗黙の信頼から継続的な検証へと移行しなければならない。これは、セキュリティは全員の責任であり、ゼロトラストはビジネスを阻害するものではなく、ビジネスを実現するものであることを強化することを意味する。

12.見直し、反復、成熟

ゼロ・トラストは継続的な旅である。パフォーマンス指標、コントロールの有効性、脅威の状況の変化、テクノロジーの更新を定期的にレビューする。想定をテストし、弱点を発見するために、卓上演習、レッドチーム活動、監査を実施する。

アイデンティティ、デバイス、ネットワーク、アプリケーション、およびデータ保護を評価するフレームワークまたはモデルを使用して成熟度を追跡する。調査結果を使用して、ポリシーを改善し、コントロールを調整し、イニシアチブを再優先する。

デジタルトランスフォーメーション、M&A、クラウドの採用など、環境が進化するにつれて、ゼロトラスト戦略を再検討し、ビジネスとセキュリティの目標に沿ったものであることを確認する。

ゼロ・トラスト・セキュリティExabeam

Exabeamのセキュリティ・オペレーション・プラットフォームは、コア・ゼロ・トラスト・ソリューションを補完する包括的な遠隔測定と高度な分析を提供することで、ゼロ・トラスト・アーキテクチャをサポートしている。主なゼロ・トラスト・プロバイダではないが、Exabeam、ID・アクセス管理システム、ネットワーク・デバイス、エンドポイント・セキュリティ・ツールなど、さまざまなソースからのデータ取り込みを専門としている。このデータ収集は、すべてのアクセス要求を継続的に検証し、継続的なリスクを評価するために必要な詳細な情報を提供するため、ゼロ・トラスト・モデルにとって極めて重要である。

行動分析と機械学習を活用することで、Exabeam、侵害や確立されたZero Trustポリシーからの逸脱を示す可能性のある異常や不審な行動を検出することができます。例えば、ユーザーが通常と異なる場所からリソースにアクセスしようとした場合、またはデバイスの動作が確立されたベースラインから逸脱した場合、Exabeam、これらのイベントにフラグを立てることができます。この機能は、セキュリティ・チームに不可欠なコンテキストとアラートを提供し、「信頼せず、常に検証する」フレームワークの中でも潜在的な脅威に対応する能力を強化する。

最終的には、Exabeam、ゼロ・トラスト環境で生成される膨大なデータの流れを、まとまりのあるセキュリティの物語に統合するのに役立つ。アクセス試行とリソース相互作用の「誰が、何を、いつ、どこで」を理解するのに役立つ。これは、侵害の微妙なインジケータさえも確実に識別し、セキュリティ担当者の注意を喚起して、情報に基づいた意思決定と迅速な対応を可能にすることで、ゼロ・トラスト戦略の全体的な有効性に貢献する。