※ 本ブログは、アジア時間 9 月 3 日に公開された “Zero Trust in a COVID-19 remote world” の抄訳です。
過去数カ月間に世界の数百万人もの人々がリモートワークに移行しました。COVID-19 がもたらしたこの大規模な移行が、先進的セキュリティモデルと人々の行動に変化をもたらしています。ガートナーの調査によれば、アジア太平洋地域において組織の 91 パーセントが感染拡大の後に在宅勤務を採用し、その 54 パーセントがテクノロジやインフラの問題が在宅勤務を効果的に行なう上での最大の障壁になっていると伝えています。
ハイブリッドなワークプレースという新しい生活様式へと世界が向かう中で、アジア圏の組織は自社の事業継続計画を再評価し、中長期的な生産性を回復するという厳しい課題に対応しています。ここで重要になるのは、社員に対する適切なテクノロジインフラとツールの提供、そして、組織がサイバーセキュリティの観点から健全な状態であるかというサイバーハイジーンのベストプラクティスです。
そのためには、ゼロトラストセキュリティが求められます。ゼロトラストセキュリティとは、組織があたかも常に見知らぬ人によりアクセスされているかのように、あらゆるステップにおいてセキュリティの警戒を怠らないという、組織的なプロセスと考え方です。
安全な在宅勤務を実現することは、実質的に、ネットワークの既存のインフラと機能をゼロトラストセキュリティのフレームワークに移行することを意味します。既にほとんどの組織がこの目標を目指しており、今後数カ月間に移行を加速すると予測されます。
ゼロトラストとは何でしょうか? なぜそれが必要なのでしょうか?
「決して信頼してはいけない、常に検証せよ」がゼロトラストの基本原則です。
ゼロトラストのモデルでは、企業ファイアウォールの内側にあるものは安全であると仮定するのではなく、侵入があることを前提にして、アクセス要求がどこから来たのか、どのリソースをアクセスするのかにかかわらず、あたかもオープンなネットワークから来たものであるかように検証します。このモデルでは、データアクセス要求の許可には、完全な認証、承認、暗号化が求められます。
ゼロトラストの考え方では、アイデンティティ、デバイス、アプリケーション、データ、インフラ、ネットワークにわたって、アクセスは常に明示的に検証され、最小限の権限が使用され、侵入があり得ることが前提にされます。これにより、組織は、特定のアプリやリソースに対するアクセスを権限のあるユーザーのみに限定することができます。
COVID-19 の存在にかかわらず、サイバー犯罪が蔓延し、さらにはその戦術を変化させている現在、このモデルはますます重要になっています。
柔軟な働き方の安全性を推進する
既にゼロトラストの取り組みを開始している企業にとって、COVID-19 は取り組みの加速要因として働いています。アプリケーションのアクセスとネットワークのアクセスを分離し、日付と時刻、地理的位置、デバイスの状態などの背景情報とアイデンティティに基づいてアプリケーションのアクセスを保護することが、IT 部門がリモートワークを支援する上で重要になっています。
サイバーセキュリティ戦略を再考する時には、以下の 6 要素においてゼロトラストの考え方を採用することで従来型セキュリティを改善することができます。
- アイデンティティ – 人、サービス、IoT デバイスなど表現するものにかかわらず、検証が必要になるリソースのアクセスの発信点となる要素です。
- デバイス – IoT デバイスやスマートフォン、BYOD やパートナー管理のデバイス、オンプレミスのワークロードやクラウド上のサーバーなど、データが流れ、アクセスが許可される場所を指します。
- アプリケーション – データが消費されるインターフェースの供給源です。
- データ – セキュリティチームが保護にフォーカスする要素です。クラス分けされ、ラベル付けされ、暗号化され、必要な場合にはアクセスが制限されなければなりません。
- インフラ – 重要な脅威ベクトルであり、サイバー犯罪者がアクセスを取得する手段になり得ます。
- ネットワーク – 最終的にすべてのデータが通る場所であり、攻撃者によるラテラルムーブメントを防ぐために、リアルタイムの脅威保護、エンドツーエンドの暗号化、監視、アナリティクスによりセグメント化されるべきです。
以下の図に、デジタル領域の全体にわたって、これらの要素とゼロトラストモデルがどのように関連しているかを示します。
ゼロトラストを推進するツール
アジア地域の組織のゼロトラストの進捗状況は様々です。組織の成熟度レベルを理解することが最適な展開を行なう上で有効です。堅牢なゼロトラストを実現する上での重要要素には以下のものがあります。
- 強力な認証 – アクセス戦略のバックボーンとして多要素認証 (MFA) とセッションリスク検知を使用することでなりすましのリスクを最小化します。
- ポリシーベースの適応型アクセス – リソースに対する適切なアクセスポリシーを定義し、一貫したセキュリティポリシーエンジンでそれを強制し、ガバナンスと例外事象に関する洞察を提供します。
- マイクロセグメンテーション – 単純な集中型ネットワークから総合的で分散化されたマイクロペリメータから成る分割されたネットワークに移行します。
- オートメーション – 攻撃に対する組織の平均応答時間 (MTTR) を削減するために、自動化されたアラートと修復に投資します。
- インテリジェンスと AI – クラウドインテリジェンスと利用可能なあらゆるシグナルにより、リアルタイムで異常の検知と対応を行ないます。
- データの分類と保護 – 重要データの発見、分類、保護、監視により攻撃あるいは事故による情報漏洩を最小化します。
未来に備えたサイバーセキュリティ
リモートアクセスが選択肢ではなく必須要件となった今、ゼロトラストの普及が加速することは好ましいことです。リソースと優先順位にしたがった段階的アプローチを採ることにより、組織はより高いレベルのセキュリティを実現できます。
最終的に、企業の成功をもたらす最重要の要素は人材です。安全なテクノロジがそれを支えます。ゼロトラストの進化は、従業員が、最も有用なデバイスやアプリを使って自分の必要な時間、場所、方法で働くことができるよう支援することにもつながります。これこそが、アジアのワークフォースが未来に備えるための基盤となるでしょう。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。