This post is also available in: English (英語)
脅威をめぐる情勢が変化し続け、多種多様なデジタル トランスフォーメーション プロジェクトに企業が乗り出す中で、高度なエンタープライズセキュリティはますます分かりにくい存在になっています。業界として、弊社はしばしば新しいツールやテクノロジを使用して台頭する脅威へのレスポンスを行ってきましたが、お客様企業の多くは、平均で100種類以上のセキュリティ製品を導入していました。また近頃はゼロトラストが大きな注目を集めていますが、その定義や内容は一貫していません。そのため、この最新セキュリティ手法を自社で利用するにはどのような取り組みが必要なのか、多くのセキュリティ専門家が明確な説明を求めています。基本的にゼロトラストとは、すべてのデジタルトランザクションを絶えず検証することで、企業全体から暗黙の信頼の排除を試みるアプローチです。その性質から非常にセキュリティ効果の高いアプローチであり、ランサムウェアとそれに伴うラテラルムーブのような極めて巧妙で危険な脅威への対策に役立ちます。現在では、包括的なアプローチを採用し、ユーザー、アプリケーション、インフラストラクチャをカバーする包括的なゼロ トラスト ベストプラクティスを適用することで、ゼロトラスト企業へ進化できます。そうすれば、機能の整理統合、セキュリティポリシーの統一、一貫性のあるセキュリティ適用によって、総合的なセキュリティを向上し複雑さを軽減できるのです。
「最小アクセス」ポリシーをユーザーに適用
ゼロトラスト企業への取り組みに着手する際は、まずゼロ トラスト ベストプラクティスによる対ユーザーのセキュリティ対策から取り組むのが有効となることが多いでしょう。具体的には多要素認証(MFA)の導入をはじめとする強力なIDベストプラクティスを重視することです。また、ユーザーデバイスからも暗黙の信頼を排除する必要があります。侵害されたデバイスに関するリスクを軽減するため、優れたエンドポイント保護を使用すべきです。さらに、業務に必要なリソースへのアクセス権だけを各個人や各ロールに付与するロールベースアクセス制御ポリシーを利用することで、「最小アクセス」をエンドポイントに適用できます。
安全なクラウド移行を実現する
多くの企業がゼロトラストへの取り組みをユーザー中心に始めるとしても、アプリケーションにゼロトラストの原則を適用することも同じく重要です。実際、プロジェクト後半で判明したセキュリティ問題が原因でクラウド移行に行き詰まる企業は少なくありません。そうなると、クラウドに関する取り組みの多くを遅らせざるを得なくなります。ゼロトラストをアプリケーションにも適用し、ホスト、コンテナ、Kubernetes、サーバレス機能といったワークロードとコードを対象にセキュリティと完全性を確保しましょう。具体的には、個々のリソースが侵害された場合のラテラルムーブを制限することを目的とした、クラウドワークロードに対するマイクロセグメンテーションの適用などのベストプラクティスが挙げられます。
サプライ チェーン リスクの解決とIoT
サプライチェーンのリソースや、IoT機器などの管理対象に入っていないインフラも、見落とされがちなコンポーネントです。サプライチェーンのベンダーに対して、製品に関連するセキュリティとゼロトラストのガイドラインを提出するよう求めるべきです。ベンダーがセキュリティを適切に管理できているはずという思い込みは避けましょう。各ソリューションのセキュリティリスクとゼロ トラスト ベストプラクティスの遵守状況を評価しましょう。IoT (モノのインターネット)が急激に普及した結果、管理下にないデバイスは重大リスクの原因になりがちです。IoTデバイスはさまざまな脆弱性を抱え、セキュリティがほとんど組み込まれておらず、強力な認証やエンドポイントセキュリティを導入する余地がないのです。
IoTデバイスを漏れなく把握した上で、ユーザーに対するゼロトラスト適用アプローチと同様に「最小アクセス」権限をIoTデバイスに適用しましょう。IoTデバイスは社内の非常に限られた用途に使用されるため(監視カメラやMRI装置など)、ポリシーの制約をかなり厳しくできます。たとえば監視カメラの場合、通信に使用するのは映像プロトコルのみ、通信相手は動画保存インフラのみ、インターネット接続はファームウェア更新のみとし、それ以外は禁止すべきです。
正しい理解を: 継続的な監視におけるSOCの役割
優れた可視性を実現して適切なゼロ トラスト ポリシーを策定した後は、継続的な監視と継続的な改善がゼロトラスト戦略の成熟度を高める鍵となります。ここでは、ゼロ トラスト ポリシーに対する継続的な監査機能を提供する、セキュリティオペレーションセンター(SOC)が重要な役割を果たすことになります。すべてのセキュリティツールとセキュリティ機能から取得したテレメトリを利用して、継続的なセキュリティ分析を実施するとともに、複雑で多面的なセキュリティイベント同士を相関させましょう。そうすれば、ゼロトラスト コントロールの誤りを正し、ポリシーに潜む潜在的セキュリティギャップを取り除けます。
ゼロトラスト企業に向けた取り組みの計画を立てる
ゼロトラスト活動を始めたばかりの企業では、ほとんどの場合「トップダウン」形式で戦略的な計画を策定することが欠かせません。筆者は長年の経験の中で、ゼロトラストの取り組みを連携の取れないばらばらの技術プロジェクトとして開始したことを後悔なさっている企業様を多数お見かけしています。また、信頼できるセキュリティパートナーなど外部企業との協力や、鍵となる人材を全社的に育てることもゼロトラストへのスムーズな移行を実現する上で重要です。最後に、包括的なアプローチの全体像を描いたとしても、すべての要素を1度に達成することはできません。実行の優先順位と現実的なスケジュールが必要なのです。このアプローチを正しく実行すれば、総合的に高レベルなセキュリティを実現できるだけでなく、複雑さの軽減、運用効率の向上、取締役会などの利害関係者への重要マイルストーンの提示といったメリットも得られます。
お客様がゼロトラスト企業へ進化する上で弊社がどうお役に立てるかは、こちらのページをご覧ください。