Microsoft は、ゼロ トラストをあらゆる組織のセキュリティ計画の不可欠な要素と考えています。マイクロソフトは、クラウド コンピューティングのベスト プラクティスを促進する非営利組織である Cloud Security Alliance と提携し、エグゼクティブ セキュリティ リーダーを集めて、ゼロ トラストへの取り組みについて話し合い、洞察を共有しています。
最初のディスカッションでは、著名なエネルギー、金融、保険、製造企業の 10 人のエグゼクティブ セキュリティ リーダーと仮想円卓会議を開き、何がうまくいったかを理解し、ゼロ トラスト セキュリティ モデルをどこで調整する必要があるかを発見しました。私たちの全体的な目標は、お互いから学び、学んだことを他の組織と共有することでした。このような議論は、成長するための貴重な機会を私たちに与えてくれ、他のサイバーセキュリティの専門家とこれらの会話を共有するために eBook を発行するに至りました。
本日、これらの会話の結果として、「 Examineing Zero Trust: An Executive Roundtable Discussion 」eBook を発行します。この eBook では、ゼロ トラスト セキュリティ モデルが境界セキュリティを超えて考え、より全体的なセキュリティ アプローチに移行する方法について説明しています。電子ブックは、組織がこの重要な分野での取り組みを促進するために発行した他のリソースを補完します。たとえば、 マイクロソフト ゼロ トラスト成熟度モデルやゼロ トラスト デプロイ センターの導入ガイダンスなどです。ゼロ トラストは違反を想定し、制御されていないネットワークから発信されたかのように各要求を検証します。ゼロ トラストにモットーがあるとすれば、それは「決して信頼せず、常に検証する」です。つまり、ファイアウォールの内側でも外側でも、エンドポイントでもサーバーでもクラウドでも、誰も何も信用しないということです。
ゼロ トラスト戦略
組織にゼロ トラストを導入するには、すべての基本要素 (ID、デバイス、アプリケーション、データ、インフラストラクチャ、ネットワーク) にわたって制御とテクノロジを実装する必要があります。円卓会議の参加者は、これらの基本要素のそれぞれの価値を尊重する成功したゼロ トラスト戦略を提示しました。
戦略 1 – ID を使用してアクセスを制御する
ID (人、サービス、IoT デバイスを表す) は、ネットワーク、エンドポイント、アプリケーションの共通点です。ゼロ トラスト セキュリティ モデルでは、データへのアクセスを制御するための強力で柔軟かつ詳細な方法として機能します。または、ある参加者が説明したように、「新しい境界はアイデンティティであり、検証された強力なアイデンティティが必要です。」
ID がリソースへのアクセスを試みた場合、セキュリティ制御は、強力な認証を使用して ID を検証し、アクセスが準拠しており、その ID に典型的であることを確認し、ID が最小特権アクセスの原則に従っていることを確認する必要があります。
戦略 2 – 認証を高める
多要素認証または継続的認証を ID 管理戦略に組み込むことで、組織の情報セキュリティ体制を大幅に改善できます。円卓会議の参加者の 1 人は、ID 管理を継続的な認証機能で拡張することにより、ユーザーの IP アドレスや日常的な行動パターンが変化したときに、組織が ID を検証できるようになったことを共有しました。
「ゼロトラストは、エンドユーザーに対して透過的である場合にのみ機能します」と参加者は述べています。 「簡単で透明性のあるものにする必要があります。 5 分ごとまたは 1 秒ごとに認証する場合でも、エンド ユーザーが何もする必要がなく、他の方法で検証できる限り、それで問題ありません。たとえば、エンドポイントは多要素認証の要素の 1 つになる可能性があります。」
戦略 3 – パスワードレス認証を組み込む
パスワードレス認証は、従来のパスワードを、暗号鍵ペアで保護された 2 つ以上の検証要素に置き換えます。登録すると、デバイスは公開鍵と秘密鍵を作成します。秘密鍵は、PIN や生体認証 (指紋スキャン、顔認識、虹彩認識) などのローカル ジェスチャを使用してロックを解除できます。
戦略 4 – 企業ネットワークをセグメント化する
ファイアウォールは初期のセグメンテーションを表し、開発とテストを複雑にする可能性があるため、ネットワークのセグメンテーションはビジネス IT にとって問題になる可能性があります。最終的に、IT チームは、ネットワーク接続とアクセスの問題を解決するためにセキュリティ チームにさらに依存するようになります。
ただし、ネットワークをセグメント化し、ネットワーク内のより深いマイクロセグメンテーションを実施することは、ゼロ トラストにとって重要です。モバイルおよびクラウド ファーストの世界では、すべてのビジネス クリティカルなデータがネットワーク インフラストラクチャを介してアクセスされるためです。ネットワーク制御は、可視性を高め、攻撃者がネットワークを横切って移動するのを防ぐのに役立つ重要な機能を提供します。
戦略 5 – デバイスを保護する
ゼロ トラスト モデルでは、デバイスが企業所有であっても、個人所有の電話やタブレットであっても、同じセキュリティ ポリシーが適用されます。これは、「bring your own device (BYOD)」とも呼ばれます。会社、請負業者、パートナー、およびゲストのデバイスは、デバイスが IT によって完全に管理されているか、アプリとデータのみが保護されているかに関係なく、同じように扱われます。これは、これらのエンドポイント (PC、Mac、スマートフォン、タブレット、ウェアラブル、または IoT デバイス) が、安全な企業ネットワーク、ホーム ブロードバンド、または公共のインターネットを使用して接続されているかどうかに当てはまります。
「BYOD の世界では、デバイスは爆発物です」とある参加者は言いました。 「パッチが適用されていないデバイスがネットワークに接続することを許可した場合、それは本質的に、ライブ条例で基地に足を踏み入れることになり、すぐに悪くなる可能性があります.そもそも外でテストしてみませんか?」
戦略 6 – アプリケーションをセグメント化する
クラウド アプリとサービスを最大限に活用するには、アクセスの提供と制御の維持との間で適切なバランスを見つけて、アプリとそれに含まれるデータを確実に保護する必要があります。コントロールとテクノロジーを適用してシャドー IT を検出し、適切なアプリ内権限を確保し、リアルタイム分析に基づいてアクセスをゲートし、異常な動作を監視し、ユーザー アクションを制限し、安全な構成オプションを検証します。
「アプリケーション間のセグメンテーションがより簡単になり、実現可能になってきています」と参加者は述べています。 「過剰な特権/役割ベースのアクセスを提供できることは、ポリシー エンジンの一部になりつつあります。パズルのアプリケーション ピースは、時間の経過とともによりインテリジェントに解決されているようです。このアプローチは、エンドユーザーが問題にダイヤルインできると聞くたびに検証されます。」
戦略 7 – 役割とアクセス制御を定義する
リモート ワークの急速な増加に伴い、組織は最新のセキュリティ制御を実現する別の方法を検討する必要があります。ロールを運用化し、承認、シングル サインオン、パスワードレス アクセス、およびセグメンテーションの一部としてポリシーに結び付けると便利です。ただし、定義された各ロールは現在および将来的に管理する必要があるため、作成するロールの数を選択して、後で管理の問題が発生しないようにしてください。
「組織内に何千もの役割を細かく設定すると、将来的に管理に問題が生じるでしょう」と、ある参加者は言いました。 「更新されていないアカウントが大量に存在することになり、そこに侵害が発生します。」
ゼロトラストへの旅
組織がゼロトラストへの取り組みを開始するにつれて、組織の基本的な焦点は異なります。円卓会議の参加者が代表する組織の中には、ユーザー ID とアクセス管理からゼロ トラストへの取り組みを開始したものもあれば、ネットワークのマクロおよびマイクロ セグメンテーションまたはアプリケーション側から開始したものもありました。これらのリーダーは、ゼロ トラストに対処するための全体的な戦略を策定することが重要であり、ゼロ トラストを組織全体に展開する前に、小規模から始めて自信を構築する必要があることに同意しました。
これは通常、組織のゼロ トラストの成熟度、利用可能なリソース、および優先順位に基づいて、特定の領域を対象とする段階的なアプローチを取ることを意味します。たとえば、クラウドで新しいグリーンフィールド プロジェクトを開始したり、開発者およびテスト環境で実験したりできます。自信をつけたら、デジタル資産全体にゼロ トラスト モデルを拡張することをお勧めします。同時に、ゼロ トラスト モデルを統合されたセキュリティ フィロソフィとエンド ツー エンドの戦略として採用し、前進させます。あなたはこの旅で一人ではありません。成功を収めている組織はこの道を歩んできました。Microsoft は、あらゆる段階でお客様をサポートできることを嬉しく思います。
もっと詳しく知る
- ゼロ トラスト セキュリティの詳細をご覧ください。
- ゼロ トラスト評価を受けてください。
- ゼロ トラスト プランを構築します。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments