私たちの世界を保護する上でのゼロ トラストの重要な役割

news

私たちは、これまでに見たことのない最も複雑なサイバーセキュリティ環境で活動しています。攻撃を検出して対応する現在の能力は、ここ数年で信じられないほど急速に成熟しましたが、悪意のある人物は立ち止まっていません。 Nobelium 1や Hafnium が追求するような大規模な攻撃は、重要なインフラストラクチャに対するランサムウェア攻撃と並んで、攻撃者がますます巧妙になり、組織化されていることを示しています。サイバーセキュリティ部門と IT 部門の仕事が、国内および世界のセキュリティにとって重要であることは十分に明らかです。

Microsoft は、世界中のサイバー脅威と攻撃に関する独自のレベルのデータ アクセス権を持っており、より大きな利益のためにこの情報と洞察を共有することに取り組んでいます。最近の攻撃が示すように、私たちは公共部門と民間部門、業界の同業者やパートナーと協力して、すべての人を保護するためのより強力でインテリジェントなサイバーセキュリティ コミュニティを作成しています。

この協力関係には米国政府が含まれており、米国のサイバーセキュリティ大統領令2 (EO) のマイルストーンが近づいていることを祝います。 EO は、国家のサイバーセキュリティを強化し、連邦政府機関とデジタル エコシステム全体でますます巧妙化する脅威に対処するための具体的な行動を規定しています。この命令は、政府機関とそのサプライヤーに、情報共有、インシデント検出、インシデント対応、ソフトウェア サプライ チェーンのセキュリティ、および IT のモダナイゼーションに関する機能と調整を改善するよう指示します。

これらの国家的行動が動き出し、すべての企業がサイバーセキュリティ体制を強化するよう呼びかけているため、Microsoft とその広範なパートナー エコシステムは、私たちの世界を保護する準備ができています。重要なインフラストラクチャを保護し、将来のインシデントを最小限に抑え、より安全な世界を構築するための最新のフレームワークであるゼロ トラストがすでに存在します。特に 2020 年から 2021 年にかけてのリモート ワークとハイブリッド ワークの潮流を受けて、多くの官民組織がゼロ トラスト アプローチを確立して実装するのを支援してきました。また、Microsoft は、包括的で統合されたセキュリティ ソリューションを大規模に提供し、ゼロ トラスト展開の詳細なガイダンスを含め、セキュリティ ジャーニーのあらゆる段階でお客様をサポートすることに引き続き取り組んでいます。

私たちの世界を保護する上でのゼロ トラストの重要な役割

証拠は明らかです。リソースとデータの周りに侵入不可能な要塞を構築するという古いセキュリティ パラダイムは、今日の課題に対して実行可能ではありません。リモートおよびハイブリッド ワークの現実は、人々が仕事と私生活の間、複数のデバイス間で流動的に移動し、組織の境界の内外でコラボレーションが増加していることを意味します。攻撃のエントリ ポイント (ID、デバイス、アプリ、ネットワーク、インフラストラクチャ、およびデータ) は、従来の境界の保護の外に存在します。現代のデジタル資産は分散しており、多様で複雑です。

この新しい現実には、ゼロ トラスト アプローチが必要です。

EO のセクション 3は、セキュアなクラウド サービスへの移行とゼロ トラストの実装を加速することにより、連邦政府が「サイバー セキュリティへのアプローチを近代化する」ための「決定的な措置」を求めています。データ。ゼロ トラスト戦略がサイバーセキュリティのベスト プラクティスとして認められたこと、および民間部門が EO ガイドラインと同じ方向で「野心的な措置」を講じるようホワイトハウスが奨励したことを称賛します。

セクション 3 によると、ゼロ トラストの連邦基準とガイダンスは、他の業界や科学的イノベーションの測定と同様に、米国商務省の国立標準技術研究所(NIST) によって開発されています。 NIST は、 いくつかの基本原則に基づいてゼロ トラストを定義しています。

  • すべてのリソースの認証と承認は動的であり、アクセスが許可される前に厳密に適用されます。
  • リクエスタのトラストへのアクセスは、アクセスが許可される前に評価されます。また、タスクを完了するために必要な最小限の権限でアクセスを許可する必要があります。
  • アセットは常に、企業ネットワークに攻撃者が存在するかのように振る舞う必要があります。

Microsoft では、これらのゼロ トラストの原則を 3 つの原則にまとめました。それは、明示的に検証する、最小特権アクセスを使用する、および侵害を想定することです。これらの原則は、お客様への戦略的ガイダンス、ソフトウェア開発、およびグローバルなセキュリティ体制に使用されます。

Microsoft セキュリティの 3 つのゼロ トラスト原則: 明示的に検証する、最小特権アクセスを使用する、侵害を想定する。

ゼロ トラストの考え方で運営されている組織は、新しい攻撃に対してより回復力があり、一貫性があり、対応力があります。真のエンド ツー エンドのゼロ トラスト戦略は、攻撃者がネットワークに侵入するのを困難にするだけでなく、横方向の動きを防止することで潜在的な爆発範囲を最小限に抑えます。

悪意のあるユーザーによるアクセスを防止することは重要ですが、それはゼロ トラストの方程式の一部にすぎません。環境内の巧妙なアクターを検出できることは、侵害の影響を最小限に抑えるための鍵です。洗練された脅威インテリジェンスと分析は、攻撃者の行動の迅速な評価、排除、修復に不可欠です。

公共部門および民間部門における国家安全保障を強化するためのリソース

バイデン大統領の大統領令は、政府機関だけでなく、サイバー脅威に直面した際の回復力を求めるすべての企業のモデルとして、タイムリーな行動を促すものであると私たちは信じています。インシデント対応、データ処理、コラボレーション、およびゼロ トラストの実装への関心の高まりは、グローバル サプライ チェーン、インフラストラクチャ リソース、情報、およびセキュリティをより適切に保護するという使命において、官民を問わずすべての組織にとって行動を促すものでなければなりません。より良い未来に向かって前進します。

Microsoft は、政府機関の完全なサイバー機能を解き放つ、政府機関間および機関内の機能を強化するという国の要請に応えて、連邦政府機関をサポートすることに取り組んでいます。 連邦機関に推奨される次のステップは、Microsoft Federal の最高技術責任者である同僚のジェイソン ペインによって概説されています。この責任の一環として、連邦政府機関に、NIST 標準にマッピングされた主要なゼロ トラスト シナリオ アーキテクチャと、ゼロ トラスト ラピッド モダナイゼーション プランを提供しました。

マイクロソフトはまた、お客様が最新のセキュリティ トレンドを把握し、次世代のセキュリティ プロフェッショナルを育成できるようサポートすることにも取り組んでいます。 EO で特定された機能についてチームをトレーニングし、すべてのミッションをサポートする、より安全で俊敏な環境を構築する準備を整えるための一連のスキル リソースを開発しました。

連邦政府機関向けの EO リソースに加えて、組織がゼロ トラストの採用を加速し、サイバーセキュリティ要件を満たすのを支援するために、ガイダンスの発行、学習の共有、リソースの開発、および新しい機能への投資を継続しています。

おすすめのゼロ トラスト リソースは次のとおりです。

  • Microsoft がどのようにゼロ トラストを定義し、ID、エンドポイント、アプリ、ネットワーク、インフラストラクチャ、およびデータにわたるソリューションを分類するかについて詳しくは、ゼロ トラスト成熟度モデルをダウンロードしてください。
  • ゼロ トラストへの取り組みにおける組織の進捗状況を評価し、技術的な次のステップに関する提案を受けるには、 ゼロ トラスト評価ツールを使用します。
  • 展開、統合、および開発に関する技術的なガイダンスについては、ゼロ トラスト ガイダンス センターにアクセスして、ゼロ トラストの原則を実装するための段階的なガイダンスを参照してください。
  • Microsoft でのゼロ トラスト導入の取り組みについて知りたい場合は、最高情報セキュリティ責任者の Bret Arsenault とチームがMicrosoft Digital Inside Trackでストーリーを共有しています。

高度なサイバー脅威に共に立ち向かう

EO は、すべての組織がサイバーセキュリティ体制を改善し、多要素認証やエンド ツー エンドの暗号化を含むゼロ トラストを実装するために迅速に行動する機会です。ホワイトハウスは何が必要かについて明確な方向性を示しており、ゼロ トラスト フレームワークは、世界中の民間企業、州政府、地方政府、および組織のモデルとしても使用できます。

これらの悪意のある攻撃者と重大な課題に対して、チームとしてのみ勝つことができます。組織がゼロ トラスト アーキテクチャを推進するために行うすべてのステップは、資産を保護するだけでなく、すべての人にとってより安全な世界に貢献します。私たちは、あらゆる規模の組織がゼロ トラストを採用していることを称賛し、この旅で皆様と協力することをお約束します。

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

1ノーベリウム リソース センター、マイクロソフト セキュリティ レスポンス センター。 2021 年 3 月 4 日。

2大統領が国家のサイバーセキュリティを改善し、連邦政府のネットワークを保護するための新しいコースを作成する大統領令に署名 、ホワイトハウス、2021 年 5 月 12 日。

参照: https://www.microsoft.com/en-us/security/blog/2021/06/30/the-critical-role-of-zero-trust-in-securing-our-world/

Comments

Copied title and URL