ゼロトラストアーキテクチャとは？

ゼロトラストアーキテクチャとは、ゼロトラストのセキュリティモデルを有効にするためにネットワークデバイスとサービスを構造化したセキュリティ対策です。

ゼロトラストモデルとは？

ゼロトラストとは、ネットワークアプリケーションやデータへのアクセスを許可する前に、組織のネットワークの内外を問わず、すべてのユーザーに継続的な認証、承認、検証を要求するセキュリティフレームワークです。

ゼロトラストは、従来のネットワークエッジがないことを前提としています。ネットワークには、ローカル、クラウド、または、ハイブリッドクラウドが考えられます。

ゼロトラストアーキテクチャの構築方法

ゼロトラストモデルはフレームワークを構成する一連の設計原則であり、単一の製品を使用して実装できるものではありません。成功させるには、適切な運用戦略、ポリシー、アーキテクチャ、製品、および統合が必要です。

ゼロトラストネットワークは以下の4つの主要原則に従います。

1. すべてのユーザーおよびデバイスについて、デフォルトのアクセス制御をすべて「拒否」に設定します。つまり、すべてのNorth-South（南北）トラフィックとEast-West（東西）トラフィックが常に「untrusted」モードになるようにします。
2. さまざまな予防手法を活用して、ネットワークアクセスが要求されるたびにすべてのユーザーおよびデバイスを認証します。
3. リアルタイムの監視と制御を有効にして、悪意のあるアクティビティと最新の脅威（ランサムウェアやサプライチェーン攻撃など）を特定し、封じ込めます。
4. 組織の広範で包括的なサイバーセキュリティ戦略に合わせて調整し、有効にします。

ゼロトラストネットワークを実装するための各組織のプロセスは独自のものになりますが、ゼロトラストアーキテクチャを開発、展開するためにクラウドストライクは以下のことを提案します。

1. 組織を評価する。

• 攻撃対象領域を突き止め、このフレームワーク内で機密データ、アセット、アプリケーション、およびサービス (DAAS) を明らかにします。
• 脅威によって侵害された認証情報が悪用されるのを阻止するために、組織内のすべての認証情報（アクティブ、休眠、共有、人間ユーザー、サービスアカウント、特権ユーザーなど）を特定、監査し、認証ポリシーのギャップを突き止めます。
• リスクおよび影響がないか、すべての特権をレビューします。
• 組織の現在のセキュリティツールセットを評価し、インフラストラクチャ内のギャップを突き止めます。
• セキュリティアーキテクチャ内で、最も重要なアセット（最優良資産）に最高レベルの保護が与えられていることを確認します。

2. すべてのアセットのディレクトリを作成し、トランザクションフローをマッピングする。

• 機密情報のある場所と、その情報にアクセスできるユーザーを特定します。
• さまざまなDAASコンポーネントがどのように相互作用しているのかを考慮し、これらのリソース間でセキュリティアクセス制御の互換性を確保します。
• すべてのアイデンティティをセグメント化します。
• 所有するサービスアカウントの数と、そのアカウントの接続が必要な場面を把握します。
• すべての認証プロトコルをレビューし、旧式のプロトコル（例：非推奨のNTLMプロトコルの使用）およびシステム（多くの場合、ローカルのレガシーシステム）に関する接続の問題を解消/提起します。
• 認可されているすべてのクラウドサービスのリストを入手し、リスクスコアおよび振る舞いに基づいてアクセス権を適用します。
• 休眠アカウントを削除し、パスワードの定期的な変更を義務付けます。

3. 各種の予防策を確立する。

各種の予防策を活用して、データ侵害の発生時にハッカーを躊躇させ、アクセスを阻止します。予防策には以下のものがあります。

• 多要素認証 (MFA)：ゼロトラストの実現には、MFA、2FA、または第三要素認証が必須です。これらの制御は企業内外のすべてのユーザーにもう一段階の検証を提供し、リスク増大、振る舞い、逸脱、異常なトラフィックによってトリガーされる必要があります。
• 最小特権の原則：組織において機密データの存在する場所が特定されたら、継続的な検証を用いて、ユーザーロールで必要とされる最小限のアクセス権をユーザーに付与します。特権アカウントを定期的にレビューし、ユーザーがグループ間を移動するときに昇格した特権が必要かどうかを評価します。
• アイデンティティセグメンテーション：マイクロ境界がシステム内の境界制御、アイデンティティ/認証情報として作用し、不正なラテラルムーブメントを防止します。組織は、ユーザーグループ、ロール、アカウントの種類、アクセスするアプリケーションなどに基づいてセグメント化を行うことができます。

4. ネットワークを継続的に監視する。

• 異常なアクティビティの発生している場所を把握し、周囲のすべてのアクティビティを監視します。
• すべてのトラフィックとデータを継続して検査、分析し、ログに記録します。
• 異常または疑わしいトラフィックおよびアクティビティについて、認証ログをエスカレーションし、保存します。
• サービスアカウントおよびその他の重要リソースの異常な振る舞いについて、明確なアクションプランを作成します。

ゼロトラストアーキテクチャの利点

ゼロトラストは、組織がネットワーク、アプリケーション、およびデータへのアクセスを制御するための最も効果的な方法の1つです。ゼロトラストアーキテクチャの利点を以下に示します。

可視性の向上：ゼロトラストモデルの主要な目的は、ネットワークへのアクセスが要求されるたびに、「誰が、なぜ、どのように」アクセスするのかを明確に理解したうえで、組織がすべてのユーザーおよびすべてのデバイスを承認できるようにすることです。この機能を最小特権アクセスと併用することで、組織はすべてのネットワークユーザーとデバイス、およびそれらのアクティビティを厳しく監視し続けることができます。

リスクの削減：従来の境界セキュリティモデルと異なり、ゼロトラスト環境でのすべてのユーザーおよびデバイスのデフォルトのアクセス設定は「拒否」です。高度なテクノロジーを活用してユーザーのアイデンティティを検証し、振る舞い、ユーザーリスクとデバイスリスクのポスチャに基づいてアプリケーションのアクセスを提供することによって、攻撃者によるネットワークの発見またはネットワークへのアクセス権の獲得がさらに困難になり、組織はリスクを大幅に削減できます。

隔離：ゼロトラストの戦略で、ネットワークをアイデンティティ、グループ、機能ごとにセグメント化し、ユーザーアクセスを制御することによって、侵害を封じ込め、潜在的な損害を最小限に抑えられるよう組織を支援します。これにより、組織の「ブレイクアウトタイム」が向上します。ブレイクアウトタイムとは、侵入者が最初のマシンを侵害してから、ネットワークの他のシステムにラテラルムーブメントできるようになるまでの時間を表し、セキュリティにとって重要な意味を持っています。

操作性の向上：ゼロトラストモデルが正しく実装されると、VPNと比較して、強化された操作性が提供されます。VPNでは、アプリケーションの使用が頻繁に制限され、システムパフォーマンスに影響があり、頻繁に更新と認証が必要です。多くの場合、ゼロトラストを実装した組織は多要素認証疲労を軽減するための意識的な取り組みにより、シングルサインオン (SSO) ツールとともに多要素認証を活用して操作性を効率化、簡素化する傾向にあります。

BYODポリシー有効化：セキュリティプロトコルによってデバイスの所有者が考慮されず、ユーザーとデバイスが認証可能であることのみ考慮されるという点において、ゼロトラストは個人デバイスの使用を可能にするのに役立ちます。

クラウドの互換性：企業がネットワーク内のエンドポイントの数を増やし、クラウドベースのアプリケーションおよびサーバーを含めるようにインフラストラクチャを拡大する際、ゼロトラストアーキテクチャは重要なセキュリティ対策となります。ゼロトラストネットワークは本質的にボーダーレスであり、場所に関係なく、すべてのユーザーおよびデバイスに等しくセキュリティプリンシパルを適用します。

複雑さの軽減：ゼロトラストの実装に必要な製品は比較的少ないため、ゼロトラストの構築、運用、維持における複雑さが低減されます。

ゼロトラストモデルは組織に適しているか？

多くの組織が、ゼロトラストモデルによるセキュリティ強化とリスク削減の恩恵を受けることができます。具体的な基準は以下のとおりです。

• 広範囲に分散したワークフォースとデバイスのエコシステムを持つ組織
• 数世代にわたるハイブリッド運用環境を持つ組織
• 多岐にわたるデータ管理の環境とデータ所有権を持つ組織

クラウドストライクでゼロトラストへの取り組みを活性化

CrowdStrike Falcon® Next-Gen Identity Securityが、クラウド提供型のアプローチで現代の企業を保護し、エンドポイント、クラウドのワークロード、またはアイデンティティに対する侵害を場所に関係なくリアルタイムで阻止します。クラウドストライクは、エンタープライズセキュリティチームのために面倒な作業をすべて行い、業界をリードするSecurity Cloudを使用してシームレスなゼロトラストを適用します。CrowdStrike Security Cloudは毎週数兆件のイベントを処理します。これにより、高精度の攻撃の相関付けと、展開モデルのスケーリングが可能なリアルタイムの脅威分析および対応が可能になります。レガシーアプリケーションとプロプライエタリアプリケーションも実行可能なマルチクラウドかハイブリッドエンタープライズかは関係ありません。

クラウドストライクのクラウドネイティブアプローチは、セキュリティチームが数テラバイトのデータ、脅威フィード、ハードウェアとソフトウェア、および関連する継続的な人件費の管理の複合間接費なしでゼロトラストの保護を達成できる唯一のソリューションです。