ゼロトラストの導入方法:5つのステップと導入チェックリスト
ゼロトラストを導入するには?
ゼロトラストセキュリティモデルにより、データとITリソースのセキュリティを強化すると同時に、エコシステムの可視化を拡張できます。ゼロトラスト導入には、一般的にはネットワークへのマイクロセグメンテーションの追加、多要素認証の追加、エンドポイントデバイスの検証など、最低5つのステップが含まれます。
ゼロトラストの導入ステップおよびゼロトラスト技術ソリューションを選定中に考慮すべき重要なポイントについて説明します。また、ゼロトラスト導入に伴う課題およびそれらに対処する方法も説明します。
これは、ゼロトラストネットワークアクセス(ZTNA)に関する連載記事の一部です。
ゼロトラスト導入の5つのステップ
ゼロトラスト導入に役立ついくつかの原則と技術を以下に示します:
1 SASEの導入
SASE(セキュアアクセスサービスエッジ)は、SD-WANとネットワークセキュリティポイントソリューションを一元化し、クラウドネイティブサービスに統合します。ゼロトラスト戦略の一環として、SASEを導入できます。ここでは、SASEソリューションを検討する際に考慮すべきポイントについて説明します。
- 統合- 既存のネットワークアーキテクチャとシームレスに統合できる、SASEソリューションを選定するのが理想的。例えば、重要なインフラをオンプレミスで運用している場合、クラウドリソースやレガシーインフラへ安全に接続できるゼロトラストコンポーネントを提供するSASEソリューションを選択するのが賢明です。
- 機能- 潜在的な脅威を阻止し、侵害された場合の被害を軽減する機能を提供するSASEソリューションが必要。これには、例えばマイクロセグメンテーション、パッチ適用、サンドボックス、IDアクセス管理などが含まれます。
- 封じ込め- 侵害の防止を完全に保証することはできない。ネットワークに侵入した脅威を確実に封じ込めて、全体的な影響を軽減するSASEソリューションを選択するのが理想的です。
SASEは、以下の技術をすべて単一のマネージドサービスにパッケージ化しているため、より容易に導入できます。
2マイクロセグメンテーションの利用
マイクロセグメンテーションは、セキュリティの境界線をより小さなゾーンに分割します。これにより、ネットワークの特定部分へのアクセスを分離できます。この分離により、特定の関連ゾーンへのアクセスを一部のユーザー、アプリケーション、サービスにのみ許可し、他のゾーンへのアクセスを制限できます。
関連コンテンツ:CATOのゼロトラストネットワークに関するガイド
3多要素認証(MFA)の適用
MFAは、複数の認証要素入力をユーザーに要求します:
- 知識要素 – パターン、パスワード、PINなど、ユーザのみが知っている情報。
- 要素 – スマートカード、スマートフォン、ATMカードなど、ユーザが所有している情報または物品。
- 生体要素:網膜スキャン、顔スキャン、指紋など、ユーザーの生体特性。
すべての要素が正常に検証された場合のみ認証されます。
4最小特権原則(PoLP)の導入
PoLPは、ユーザーのアクセスや許可を業務遂行に最低限必要な範囲に絞り込みます。例えば、リソースやファイルの実行、読み込み/書き込みなど、最小限のアクセス許可をユーザーに付与できます。
また、システム、アプリケーション、デバイス、プロセスなど、人以外に紐付くリソースにも最小特権原則を適用してアクセスを制限できます。これにより、許可されているアクティビティの実行に必要な権限のみがリソースに付与されます。
5すべてのエンドポイントデバイスを検証
何も信用せずに、すべてのデバイスを検証します。ゼロトラストセキュリティにより、エンドポイントを検証し、IDに基づくアクセス制御をエンドポイントレベルまで拡張できます。通常は、リソースにアクセスを許可する前に、デバイス登録を確認します。デバイス登録により、デバイスを容易に特定および検証できます。デバイスの検証により、リソースのアクセスに使用するエンドポイントがセキュリティ要件を満たしているかどうかを確認できます。
ゼロトラスト導入のチェックリスト
以下は、ゼロトラストソリューションを導入する際にチェックすべきいくつかのポイントです:
| 容易な導入 | システムを即座に立ち上げて実行できる?
ベンダーがソリューションに合わせて環境を変更する必要がある? 例えば、ファイアウォールのポートオープンが必要? |
| マルチクラウド対応 | 複数のパブリッククラウドベンダーとの容易かつシンプルな統合がサポートされている?
複数のクラウドのワークロードを効率的/効果的に保護できる? |
| 拡張性 | 拡張性の高いゼロトラストアーキテクチャ?
拡張性により、ワークロードの要件を満たせる? |
| セキュリティ | ソリューションプロバイダーが提供しているセキュリティ対策は?
合理的なセキュリティサイクルを維持できる? 不正侵入検知防御システム(IPS)を導入し、すべてのトラフィックをスキャンしてマルウェアを検出している? |
| 可視化 | すべてのユーザーのあらゆるリソースへの現在および過去のアクセス要求を一元化されたインターフェースで可視化できる?
監視や規制監査のために、許可されているデータ、ブロックされているデータに容易にアクセスできることが重要。 |
| サービスとサポート | ゼロトラストソリューションのベンダーが問題解決をサポートできる? |
| 付加価値 | 付加価値を提供するソリューション?
貴社の既存のセキュリティツールを上回る、付加価値(機能、リスク軽減)を提供するソリューション? |
ゼロトラスト導入に伴う課題
ゼロトラスト導入時に以下の課題を調査して解決する必要があります。
複雑なインフラ
現在の企業インフラは、一般的にプロキシ、サーバー、ビジネスアプリケーション、データベース、SaaS(Software-as-a-Service)ソリューションなどで構成されています。インフラの構成要素には、オンプレミスおよびクラウドで実行されているものが含まれます。
既存および新しいアプリケーションやハードウェアが混在しているハイブリッド環境の要件を満たしながら、ネットワークの各セグメントを保護することは容易ではありません。このような複雑な環境でゼロトラストを完全に実現することは困難です。
複数のツールによるゼロトラストの運用
ゼロトラストモデルのサポートに使用できる、さまざまなツール:
- ZTNA(ゼロトラストネットワークアクセス)またはSDP(ソフトウェア定義の境界)ツール
- セキュアアクセスサービスエッジ(SASE)またはVPNソリューション
- マイクロセグメンテーションツール
- 多要素認証(MFA)
- シングルサインオン(SSO)ソリューション
- デバイス承認ソリューション
- 不正侵入検知防御システム(IPS)
これらのツールの多くは、オペレーティングシステム、デバイス、クラウドプロバイダーがそれぞれ異なります。また多くの場合、同種のデバイスをサポートしていません。オンプレミスのデータセンターおよび複数のクラウドでサービスが実行されていたり、デバイスがWindows、Mac、その他のネットワークに接続されていたり、複数のLinuxディストリビューションや複数のWindowsサーバーバージョンでサーバが運用されている場合もあります。
特に大規模な組織の場合、ゼロトラストツールをすべてのツールや環境で一貫して運用することが難しい場合があります。
関連コンテンツ:ゼロトラストアーキテクチャに関するガイド
マインドセットの調整
大規模な組織でゼロトラストモデルを構築するには、関係者の同意を得て、有効なトレーニングおよび計画を行い、実行する必要があります。ゼロトラストプロジェクトは、ほぼすべての従業員に影響を及ぼすため、すべてのリーダーおよびマネージャーが取り組みに同意する必要があります。一般的に、組織が変更を進めるには時間がかかります。企業の政策がプロジェクトの有効性に逆影響する可能性もあります。
コストと労力
ゼロトラスト導入には、時間と人材および資金が必要です。ゼロトラストモデルには、ネットワークのアクセス領域およびアクセスできるユーザーの定義、適切なネットワークセグメンテーションが必要です。これには、綿密な計画と連携が必要です。
ネットワークセグメンテーションを実施して継続的に維持するには、担当者を割り当てる必要があります。ゼロトラストシステムのより適切な環境との統合により、これらをより容易に行うことができます。
