概念から行動へ:Zero Trustを解明する
ゼロトラスト:これはかなり前から見聞きする言葉の1つです。しかし、その長い歴史にもかかわらず、SSE、SASE、SWG、ZTNA、CASB、RBIといった数え上げたらきりがない多数の頭字語が混在していることで謎はさらに複雑化しています。
多くのベンダーがそれぞれ独自のゼロトラスト製品をすべてのセキュリティ問題を解決する決定的なソリューションとして売り込んでいるため、企業はその混乱の渦中に取り残されています。しかし、どの専門家らも言うように、ゼロトラストを実装することは、店頭で製品を購入するような単純なものではありません。これは哲学に近いものです。しかし、残念なことに企業に哲学を展開することは一筋縄ではいきません。最終的に、企業にはこれらを現実のものにするために何らかの技術やソリューションが必要になります。そして、ここが最も混乱が生じやすいところなのです。
ユーザーの保護
ゼロトラストをひとつずつ紐解きながら、抽象的な理解を具体的な理解へと変えていきましょう。ここでは、ゼロトラストがその真価を発揮する場所である「ユーザーの保護」に焦点を当てます。歴史的にネットワークユーザは、ユーザ名とパスワードによる制限を除けば、ほぼ自由に企業のリソースにアクセスできました。このような状況は、ハッカーによってユーザーの資格情報やデバイスが侵害された�場合に深刻な問題となる可能性があります。生産性を損なうような負担をかけることなく、ユーザーとそのデバイスに対する保護措置を講じることができるのが理想的です。ゼロトラストはユーザーにとって目に見えない保護用の緩衝材のようなものだと言われています。何とも言えない例えではありますが、ゼロトラストが目指す強化されたセキュリティとシームレスなユーザー体験を結びつけることの核心を突いたものだと言えます。
ここで登場するのが、サイバーセキュリティの申し子としてしばしば比較されるVPNです。その使い勝手の悪さは、モデムの音のないだけのダイヤルアップインターネット時代の遺物と言えます。VPNクライアントを起動し、資格情報を入力して接続を待ち、迷宮のような会社のイントラネットを移動し、切断して通常のインターネットに戻ります。毎回このVPNの決まった手順を踏むことになります。
リモートワークの出現によってVPNは脚光を浴びるようになり、その亀裂が目立ち始めました。従来の企業向けアプリはSaaSの代替アプリに取って代わられることとなり、VPNは追いつくために必死になっていました。その結果は、接続のボトルネックと速度低下、さらには接続障害。VPNは多くの場合、ログイン用のパスワードで保護され、通常、オンプレミスのユーザーに付与されるのと同じネットワークに対するアクセス権を提供します。
結果は明らかです。VPNは過度に広範で、ユーザーはその使用方法に混乱し、クラウドとの統合は一筋縄でいかず、その拡張性と自由度で�間違いを犯します。これに脆弱なVPNインフラを標的としたDDoS攻撃の脅威が加われば、大惨事が起こるのを待っているようなものです。
新しい時代へと突入しています。「場所を選ばない働き方」の時代です。クラウドベースのアプリケーション、リモートユーザ、個人向けデバイスの爆発的な増加により、ネットワーク境界のセキュリティモデルの全面的な刷新が求められています。旧来の保護であるアプライアンスベースのVPNソリューションでは、足並みをそろえることはできません。ゼロトラストネットワークアクセスの登場です(ZTNA)。
ゼロトラスト哲学の実践
ゼロトラスト哲学は、「決して信頼せず、常に検証する」というシンプルな原則を根幹にしています。ZTNAは、この精神を具現化したもので、過度に広範なネットワークアクセスを与えるのではなく、リソースに対して直接的かつきめ細かな、状況に応じたアクセス権を提供します。これは、優れたユーザーエクスペリエンス、堅牢なセキュリティ、可視性、拡張性を提供する、まさに革命の到来であり、現代のハイブリッド労働者に対する答えです。
しかし、早とちりしてはなりません。ゼロトラストの原理はリモートからのアクセスに関するものだけではありません。ゼロトラストの原則は、セキュアWebゲートウェイ(SWG)およびリモートブラウザ分離(RBI)を通してインターネットブラウザに拡張されます。そして、メールについても忘れてはいけません。全サイバー攻撃の90%以上はフィッシングメールが起点となっています。「決して信頼せず、常に検証する」という哲学は、メールフィッシング対策機能を使用してメールの受信トレイにも適用されるべきです。
エンドユーザーの保護が最も重要ですが、重要な企業データの保護も重要です。CASBとDLPもゼロトラストを取り巻く一部として、データ漏洩の阻止に役立っています。AIやチャットボットが活躍するこの時代において、これは今まで以上に求められるものになっています。ネットワーク内のデータの移動方法や場所に関するポリシーの確立、実施、監視も、ゼロトラストの大きな要素となっています。また、企業がソフトウェア定義のセキュリティアーキテクチャでネットワークを再構築するにつれて、ゼロトラストモデルの重要性は高まり続けています。
If zero trust is the promised panacea, why isn't everyone on board? If we were building from the ground up today, zero trust would be the unequivocal choice. We'd select a zero trust platform, link up the IDP of choice, and promptly start provisioning users with ZTNA and the rest of the arsenal. But transitions aren't instantaneous. Often, it's because network and security teams aren't in sync. At other times, it’s the sizable investment already sunk into the current VPN infrastructure that stalls the shift. There may even be a resource crunch to execute the change. But let's be clear, these are explanations, not justifications.
セキュリティに対する脅威は氷山の一角であり、エスカレートしていることは皆が知るところです。ユーザーは危険にさらされており、誤った判断でメールをクリックしてしまうことで誤ってサイバー攻撃を引き起こしてしまうかもしれない恐怖に常にさらされています。ユーザーを非難するのではなく保護することが、セキュリティリーダーとしての私たちの義務であるべきです。「決して信頼せず、常に検証する」という原則を持つゼロトラストモデルは、従来のVPNとネットワークベースのセキュリティの欠点に対処する、効率的で適応性の高い戦略を提供します。ゼロトラストを採用する最もシンプルな方法は、複数のベンダーのポイントソリューションを組み合わせるのではなく、単一のプラットフォームを利用することです。エンドユーザーとデータの両方を階層的に保護するゼロトラストの導入を、わざわざ複雑にする必要はありません。リモートワーク、SaaS、AIの時代において、ゼロトラストを採用することは単なる戦略的な選択ではなく、避けて通れない必然です。
信頼の基盤
ゼロトラストモデルの採用は、かつてないほど進化し続けるサイバーセキュリティの状況において極めて重要なパラダイムシフトを表わしています。従来の境界ベースの防御では不十分であることを認識することで、組織はデータ保護の強化、攻撃対象領域の削減、高度な脅威に対する回復力の強化など、多くのメリットを得ることができます。ゼロトラストの採用は単なる技術的な選択ではなく、組織が重要な資産を保護し、不確実な世界で信頼の基盤を構築できるようにするための戦略的必須事項です。
Cloudflareは、組織へのセキュリティ、パフォーマンス、信頼性を1つの完全なパッケージで提供する、セキュリティとサービスとしてのネットワーク(SASE)を組み合わせたゼロトラストの実装を実現します。グローバルに広がるCloudflareネットワークを活用することで、従業員はどこにいても、高速かつ信頼性の高いインターネット接続を利用することができます。すべてのアクセス要求にゼロトラストセキュリティを適用することで、すべてのトラフィックが認証され、従業員とデータを脅威から保護することができます。Cloudflare Zero Trustは、不要なアクセスを防止し、データ損失を軽減し、すべてを制御できる、あらゆる機能が一つに纏められたインターフェイスを提供します。デジタルトランスフォーメーションのどの段階にあるお客様にも、対応することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
従来の境界ベースのセキュリティからゼロトラストへ移行するための道筋については『ゼロトラストアーキテクチャへのロードマップ』レポートをご覧ください。
著者
John Engates
元フィールドCTO、Cloudflare
記事の要点
この記事を読めば、以下が理解できます。
ユーザーおよびデータに対する保護要件の変更
ゼロトラストが実現する包括的な保護
信頼の基盤を構築し、主導権を握る方法