ゼロトラストへのロードマップ
シンプルな5つのゼロトラスト導入推進プロジェクト
Zero trust adoption is complex, but getting started doesn’t have to be
ゼロトラストセキュリティの導入が困難なプロセスであることは、よく知られています。いろいろな意味で、そのような評判が立つのも無理はありません。ゼロトラストには、セキュリティ・IT担当者が慎重になるのもうなずけるほどの作業が必要になります。リクエス��トをデフォルトで許可するポリシーと境界ベースのネットワークアーキテクチャの見直しや、職務上異なるチームとの協力が必要ですし、新しいセキュリティサービスに確信が持てなければなりません。企業は、次のようなさまざまな理由でこの変革を先送りするかもしれません。
他のプロジェクトとの兼ね合いで十分な人手が割けない
ゼロトラストベンダーが提供するサービスが多岐にわたる
さまざまなアプリケーションやリソースがネットワーク上のどこにあるかが不明確である
従業員の生産性への影響
ゼロトラストフレームワークは全体的にかなり複雑になっています。ゼロトラストアーキテクチャへの完全ロードマップは、28の包括的プロジェクトで構成されています。ただし、プロジェクトによっては、時間の限られた小規模チームでも、比較的少ない労力で済みます。
ゼロトラストを徐々に導入する
ネットワーキングについていうと、ゼロトラストセキュリティを達成�するには、企業ネットワークを出入りしたり内部で行き来するリクエストをすべて検査、認証、暗号化し、ログに記録しなければなりません。これは、「送信元や送信先を問わず、いかなるリクエストも暗黙に信頼してはならない」という考え方に基づいています。
ゼロトラスト導入の初期は、それらの機能を現在ないところに確立する作業です。ゼロから始める企業にとっては、多くの場合、機能を1つの「ネットワーク境界」を超えて拡張することを意味します。
ここで紹介するのは、ユーザー、アプリケーション、ネットワーク、インターネットトラフィックの安全確保に重点を置いたごくシンプルな5つのゼロトラスト導入プロジェクトです。これだけで包括的なゼロトラストを実現することはできませんが、すぐにメリットが得られ、広義の変革に向けた取り組みに早い段階で弾みをつけることができるでしょう。
プロジェクト1
すべての重要なアプリケーションで多要素認証を実施する
ゼロトラストアプローチでは、信頼できる主体から実際に送信されたリクエストであることを、ネットワークが確信できなければなりません。企業は、フィッシングやデータ漏洩によりユーザー資格情報が盗まれることに対して安全対策を確立する必要があります。多要素認証(MFA)は、そうした資格情報盗難に対する最善の保護策です。MFAの完全ロールアウトにはかなりの時間を要するかもしれませんが、最もクリティカルなアプリケーションに重点を置けば比較的簡単に進められ、効果を出すことができます。
既にIDプロバイダーを持っている企業は、ワンタイムコードやプッシュ通知アプリを従業員のモバイル端末へ送るなどして、そのプロバイダー内にMFAを直接セットアップすることができます。現行IDプロバイダー(IdP)と直接統合されないアプリケーションの場合は、アプリケーションの前面にアプリケーションリバースプロキシを配してMFAを適用するやり方を検討しましょう。
IDプロバイダーを持たない企業は、MFAに関して異なるアプローチをとることができます。Google、LinkedIn、Facebookなどのソーシャルプラットフォームや、ワンタイムパスワード(OTP)を使用すると、ユーザーIDを再確認するのに役立ちます。これらは、サードパーティの請負業者を企業IDプロバイダーに追加登録せずにアクセス権を自製する一般的な方法です。こうした戦略は社内にも適用できます。
プロジェクト2
重要なアプリケーションのためのゼロトラストポリシーの実施
ゼロトラストの適用は、単にユーザーIDを確認するだけではありません。アプリケーションは、リクエストを常に検証し、さまざまな挙動と背景となる要素を考慮した上で認証し、アクティビティを継続的に監視するポリシーで保護する必要があります。プロジェクト1と同様に、まずはクリティカルなアプリケーションを一覧にし、それにポリシーを実装すればシンプルでしょう。
このプロセスは、取り扱うアプリケーションのタイプによって異なります。
プライベートなセルフホスト型アプリケーション(企業ネットワーク上でのみアドレス指定可能)
パブリックなセルフホスト型アプリケーション(インターネット上でアドレス指定可能)
クラウドベースのアプローチ
プロジェクト3
Eメールアプリケーションを監視し、フィッシング攻撃をフィルタリングする
メールは企業の通信手段の筆頭であり、最もよく使われるSaaSアプリであり、攻撃者が最もよく使う侵入口でもあります。企業は標準的な脅威フィルターや検査を補完するために、メールにゼロトラストの原則を適用する必要があります。
さらに、セキュリティチームは、完全にブロックするほど疑わしいものではないリンクを検疫するために、分離したブラウザを使用することを検討する必要があります。
プロジェクト4
アプリケーション配信のために、インターネットに開いているすべてのインバウンドポートを閉じる
開放されたインバウンドネットワークポートはよく使われる攻撃ベクトルであり、既知のソース、信頼されたソース、検証済みのソースからのトラフィックのみを受け入れるゼロトラスト保護を適用する必要があります。
これらのポートはスキャニング技術で検出できます。次に、ゼロトラストリバースプロキシで、受信ポートは一切開放せずに、Webアプリケーションをパブリックインターネットに安全に公開することができます。アプリケーションの一般公開レコードはDNSレコードだけで、これはゼロトラスト認証とロギング機能で保護できます。
セキュリティの追加レイヤーとして、ゼロトラストネットワークアクセス(ZTNA)ソリューションを使い、内部DNSやプライベートDNSを利用することができます。
プロジェクト5
既知の脅威や危険な宛先へのDNSリクエストをブロックする
DNSフィルタリングとは、悪性であることがわかっていたり、その疑いが濃いWebサイトやインターネット上の他のリソースに、ユーザーがアクセスしないようにすることです。トラフィックの検査もログ記録もないため、ゼロトラストの議論で必ずしも話題に上るとは限りません。しかし、ユーザー(またはユーザーグループ)によるデータの転送やアップロードの宛先を究極的に制御できるという点で、広義のゼロトラストの考え方によく合致しています。
DNSフィルタリングは、ルーターの設定によって、またはユーザーマシンで直接適用することができます。
広義のゼロトラストのイメージを理解
これら5つのプロジェクトの導入により、ゼロトラストへの移行が比較的スムーズに進められます。当該プロジェクトを完遂した企業は、より良い最新セキュリティの実現�に向けて大きく前進したことになります。
広義のゼロトラスト導入はまだまだ複雑です。そこで、当社はベンダーニュートラルなゼロトラスト移行の全工程ロードマップを作成しました。上記の5つのプロジェクトと類似のプロジェクトを取り上げています。中には数日より遥かに日数がかかるプロジェクトもありますが、このロードマップでゼロトラスト移行の意味が明確になるでしょう。
All of these services are built into the Cloudflare connectivity cloud: a unified platform of cloud-native services designed to help organizations regain control of their IT environment. Cloudflare is the leading connectivity cloud company. It empowers organizations to make their employees, applications, and networks faster and more secure everywhere, while reducing complexity and cost. Powered by one of the world’s largest and most interconnected networks, Cloudflare blocks billions of threats online for its customers every day.
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
本記事では、次の内容について解説しています。
ゼロトラストロードマップにおける28のプロジェクト
比較的少ない労力でできる5つのゼロトラスト導入プロジェクト
実装を可能にするサービスの種類
自社で導入ロードマップを作成する際の最初の一歩
関連リソース
このトピックを深く掘りさげる
完全ガイド『ゼロトラストアーキテクチャへのロードマップ』でゼロトラストの詳細を学び、お客様の組織のロードマップ作成を始めましょう。