ゼロトラストについては盛んに議論され、答えが無数にあるように思われ、ゼロトラストのアーキテクチャスタックで必要なベンダーごとに異なるため、圧倒されることがあります。

ゼロトラストの実装の成功事例を基に、お客様による重要サービスの適切な評価、およびベンダーによるゼロトラストでの連携に役立つ重要な質問を作成しましたので、ここでいくつかご紹介します。

質問1：NIST 800-207に準拠していますか？

これにより、ベンダーを切り替える場合にアーキテクチャの変更が不要になります。NISTフレームワークは単一のベンダーテクノロジーに依存していません。

質問2：以下のものを脅威から保護するにはどうすればよいですか？

• 人間（ユーザー、特権ユーザー）の認証情報
• 人間以外の認証情報（サービスアカウント）
• アイデンティティストア（例：Active Directoryプロトコル攻撃）

侵害を阻止するにはアイデンティティが非常に重要であり、ゼロトラストを確実に成功させるには、アイデンティティがどのように組み込まれているのかを知ることが非常に重要です。

質問3：ゼロトラスト用にリスクベースのポリシーアプローチを実装しますか？

ゼロトラストには継続的な検証が必要なため、すべてのトランザクションに多要素認証を挿入するだけでもユーザーには無理があり、アプリケーションにとってもまったくスケーラブルではありません。したがって、ポリシーアクションは動的なリスクモデルに基づく必要があり、リスクが変化するときにのみ、デバイスまたはユーザーのレベルで課題が生じます。これにより、操作性を損なわずに継続的な検証を確実に実施できます。

質問4：巨大なログファイルを作成せずにリアルタイムで処理できるのは、どのようなデータですか？

ゼロトラストポリシーを効果的に実行するには（例：前述のNISTガイドラインに従ってコンテキストを自動化）、アイデンティティセキュリティデータをリアルタイムで処理する必要があります。その結果、遅すぎてコストがかかりすぎる、分析後の大量データのダンプが必要なくなります。また、攻撃の事例を理解するには、デバイスとユーザー間の相関関係が非常に重要です。

質問5：ゼロトラストネットワークアクセスだけではなく、それ以上のことを行っていますか？

ゼロトラストはゼロトラストネットワークアクセス（ZTNA、次世代VPNアクセスとも呼ばれる）であると主張する組織もありますが、これはゼロトラストフレームワークの重要な要素ではありません。さまざまな環境へのアクセス方法を新しくし、セキュリティで保護することが重要です。とは言え、ゼロトラストに必要なのは信頼できないフレームワークであるため、ゼロトラストには、信頼できるソリューションのエンドポイント、アイデンティティ、ワークロード、およびその他のコンポーネントの要素を含める必要があります。ZTNAはゼロトラストフレームワークのごく一部です。

質問6：既存のベンダーおよび投資をサポートするために、ゼロトラストプラットフォームを拡張できますか？

また、SOARおよびSIEMのインフラストラクチャ、さらには、Eメール、セキュアWebゲートウェイについてはどうですか？ゼロトラスト用に十分に開発されたプラットフォームには、主要なSIEMベンダー（Splunk Phantom、Palo Alto NetworkのDemistoなど）、アイデンティティプロバイダー（AD、ADFS、AD Azure、Okta、Ping Identity、SSOなど）、SaaS保護のEメールセキュリティやセキュアWebゲートウェイプロバイダー（Zscaler、Netskopeなど）への事前統合およびAPIに加え、その他の接続が含まれます。これにより、既存のデータおよびシステムを確実に活用できます。

質問7：管理対象外のシステムまたはレガシーシステムから保護するにはどうすればよいですか？

ゼロトラストは、すべてのユーザーを保護できる場合にのみ効果的であり、エンドポイントデバイスを管理するエージェントをインストールできない可能性がある場合は、請負業者、サプライチェーンベンダーを含めます。さらに、レガシーシステムでは多要素認証が要求されることがありますが、簡単に実行できない可能性があります。