多くの組織でゼロ トラストがサイバー攻撃の防御を成功させる手段として認識されるようになりました。しかし、従来のセキュリティ モデルや「全部かゼロか」の考えから、ゼロ トラストへの移行に躊躇する企業も少なくありません。しかし幸い、ゼロ トラスト アーキテクチャは見た目よりはるかに簡単に構築できます。既存のアーキテクチャを拡張したものであるゼロ トラストは、テクノロジの全面的見直しを必要としないためです。むしろ、既存のツールとテクノロジを引き続き活用ししつつ、ゼロ トラストを反復的に導入できます。
ゼロ トラストの導入と管理の5つのステップに従うことで、導入プロセスの現在位置と次のステップがわかります。それらのステップは以下のとおりです。
保護対象領域の定義。今日の進化し続ける脅威環境にあって、攻撃対象領域を縮小するために辛抱強く取り組むことは現実的ではありません。攻撃対象領域は拡大の一途をたどり、定義することも、縮小したり防御したりすることも難しくなっています。しかし、ゼロ トラストなら、マクロ レベルの攻撃対象領域に焦点を当てるのではなく、保護対象領域を特定できます。保護対象領域には、重要なデータ、アプリケーション、資産、およびサービス(DAAS)という、企業にとって保護すべき最も価値あるものが含まれます。
以下は保護対象領域に含まれる一般的なDAASの例です。- データ: PCI(クレジット カード情報)、PHI(個人医療情報)、PII(個人の識別が可能な情報)、IP(知的財産)
- アプリケーション: 市販またはカスタム ソフトウェア
- 資産: SCADA制御システム、POS端末、医療機器、製造資産、IoTデバイス
- サービス: DNS、DHCP、Active Directory®
保護対象領域を定義した時点で、その領域のできるだけ近くにセキュリティ制御を移動させることで、限定された正確でわかりやすいポリシー ステートメントによってマイクロ境界を構築できます。
トランザクション フローのマッピング。ネットワークをトラフィックが移動する手段によって、その保護方法が決まります。そのため、DAASの相互依存関係に関するコンテキストに基づく洞察を得ることが欠かせません。特定のリソースの相互作用について文書化することで、セキュリティ制御を適切に適用することが可能になり、制御が業務の妨げとなるのではなく、データの保護に役立つようにするための有用なコンテキストが得られます。
ゼロ トラスト ネットワークのアーキテクチャ設計。ゼロ トラスト ネットワークは、単一の汎用設計に基づくものではなく、完全にカスタマイズされています。代わりに、そのアーキテクチャは保護対象領域を中心に構築されます。保護対象領域を定義し、ビジネスのニーズに合わせてフローをマッピングしたら、ゼロ トラスト アーキテクチャの計画を立てることができます。まずは、次世代ファイアウォールからです。次世代ファイアウォールはセグメンテーション ゲートウェイとして機能し、保護対象領域の周りにマイクロ境界を構築します。セグメント ゲートウェイによって、保護対象領域内のリソースへのあらゆるアクセスの試みに対して、インスペクションとアクセス制御の追加レイヤーをレイヤー7まで適用することができます。
ゼロ トラスト ポリシーの作成。ネットワークを設計した時点で、「5W1H法」に従ってゼロ トラスト ポリシーを作成し、どのリソースに他のリソースへのアクセスを付与すべきかをホワイトリストに挙げる必要があります。小説家の間で有名なKiplingは、彼の詩「6人の召使い」の中で「誰が、何を、いつ、どこで、なぜ、どのように」という概念を打ち出しました。この手法を利用することで、以下のように定義できます。
- リソースにアクセスする必要があるのは誰か?
- 保護対象領域内のリソースにアクセスするときに使用するアプリケーションは何か?
- リソースにアクセスするのはいつか?
- パケットの宛先はどこか?
- このパケットが保護対象領域内のこのリソースにアクセスしようとしているのはなぜか?
- パケットは特定のアプリケーションを介してどのように保護対象領域にアクセスしているか?
このレベルのきめ細かなポリシーの適用によって、既知の許可されたトラフィックまたは正当なアプリケーション通信のみ許可されるようにすることができます。
- ネットワークの監視・保守。最後のステップには、レイヤー7までのすべての内部および外部ログを、ゼロ トラストの運用面に重点を置きながら確認するプロセスが含まれます。ゼロ トラストは反復プロセスなので、すべてのトラフィックを検査してログに記録することで、ネットワークを徐々に改善する方法に関する有用な洞察が得られます。
ゼロ トラスト ネットワークを導入するための5ステップ方法論を最初の保護対象領域に対して完了したら、その他のデータ、アプリケーション、資産、またはサービスを、レガシー ネットワークからゼロ トラスト ネットワークに、コスト効率に優れた中断のない方法で反復的に移動するために拡張できるようになります。
ゼロ トラストの実装方法の詳細については、「5 Steps to Zero Trust」(ゼロ トラストへの5つのステップ)で詳細なガイドをご覧ください。