今日の世界は、ゼロ トラストに関する定義と見解であふれています。そのため、ゼロ トラストとは何か、またその意味を明確にするためにブログ シリーズを開始します。
この最初のブログでは、過去、現在、未来を利用して明確なビジョンを実現しながら、現実の地盤にしっかりと足を踏み入れたままにします。
まず、人々がゼロ トラストをどのように見ているかについての観察と洞察から始め、米国国立標準技術研究所 (NIST) で現在入手可能な製品を使用してゼロ トラストを実現するためのいくつかの優れた取り組みに焦点を当てます。ゼロ トラストを標準化するオープン グループ (Steve Whitlock による The Jericho Forum のオリジン ストーリーを含む)。
認識と範囲: ゼロ トラストに対する人々の見方
お客様やパートナーと話していると、ほとんどの人がゼロ トラストを戦略的なセキュリティ変革、またはアクセス制御をモダナイズするための具体的なイニシアチブと見なしていることが明らかになりました。
ゼロ トラストの原則は、クラウドとデジタル資産へのアクセス制御を確保するために不可欠ですが、ゼロ トラストの範囲はそれだけにとどまりません。従来の境界アプローチを超えてセキュリティをモダナイズする緊急の必要性は、以下にまで及びます。
- セキュリティ オペレーション センター (SOC) で資産に対する脅威を検出して対応します。
- どこにいてもデータを保護します。
- IT インフラストラクチャのセキュリティ体制を継続的に監視し、改善します。
- 開発オペレーション (DevOps) などのアプリケーション開発プロセスにセキュリティを統合します。
- コンプライアンス リスクの継続的な報告と修正。
- これらの機能を、攻撃者の標的になることが多い IoT および運用技術 (OT) 資産全体に拡張します。
大規模な戦略的オーバーホールを計画しているかどうかに関係なく、ほとんどの場合、アクセス制御が解決するための最優先事項であるため、混乱が生じます。ビジネスに不可欠な資産が境界外のクラウドやモバイルに移動するにつれて、常に最優先事項は、承認されたユーザーのみがこれらのビジネス資産にアクセスできるように制御を迅速に導入することです。攻撃者は、フィッシングや資格情報の盗難攻撃で境界アクセス制御を確実に通過することを学習したため、このイニシアチブにさらに重点が置かれています。
アクセス制御は急務ですが、この変化する技術資産全体で解決すべきセキュリティ問題はこれだけではありません。
NIST: 現在利用可能なゼロ トラスト機能
国立サイバーセキュリティ センター オブ エクセレンス (NCCoE) は、多くのベンダーをラボに招き、ゼロ トラスト向けのソリューションを実装して実用的なガイダンスを作成しています。これは、現在の実際の技術的能力を非常に透明性の高いプロセスで実装することにより、明確さを生み出しています。
また、この取り組みをサポートする Microsoft チームのメンバーとして参加している間、この取り組みが業界の一貫性をどのように推進しているかを目の当たりにしました。私は、多くのベンダーがキックオフ中にゼロ トラストのビジョンを共同プロジェクト チームに共有するのを見ました (これは、RSA カンファレンス ショー フロアの要約版のようなものでした)。これらのプレゼンテーションに共通して見た唯一のことは、各ベンダーが NIST ゼロ トラスト図を使用していたことです (多くの場合、ソリューションをそれにマッピングしています)。これは、ゼロ トラストの共通の見解を得ることの難しさを示していますが、ゼロ トラストに非常に必要な一貫性を生み出すために NIST の取り組みがいかに価値があるかを示しています。
詳細については、ブログMicrosoft と NIST が EO で協力してゼロ トラストの採用を推進するか、 NCCoE プロジェクト ページを参照してください。
The Open Group: ゼロ トラストの標準化
Open Groupは、The Open Group Architecture Framework (TOGAF)、Open FAIR などと同様に、ゼロ トラストをグローバル スタンダードとして定義する道を順調に進んでいます。この厳格なプロセスは、ゼロ トラストの範囲、ゼロ トラストとは何か、ゼロ トラスト (およびセキュリティ) をビジネスの目標と優先事項に関連付ける方法を明確に定義することに重点を置いています。このトップダウン アプローチは、NIST テクノロジーアップ アプローチを補完して、ゼロ トラストをさらに明確にします。
Jericho Forum ®からのいくつかの歴史的背景
Open Group は、(現在は廃止された) Jericho Forum ® をホストしているため、Zero Trust をよく知っています。 これは、現代のゼロ トラスト運動の種を蒔いたものとして広く認識されています。 Open Group のゼロ トラストの取り組みは、ほぼ 20 年前のこの取り組みに基づいて構築されており、今日の企業が直面している課題に焦点を当てています。
現在の作業に入る前に、Jericho Forum® のオリジン ストーリーを簡単に確認しておくと役に立ちます。当時の世界は多くの点で異なっていましたが、この取り組みは、当時でさえ境界アプローチがセキュリティ ニーズを満たしていなかったという事実から生まれました。
Steve Whitlock は Jericho Forum® のオリジナル メンバーの 1 人であり、この起源の話を丁寧に共有してくれました。
1990 年代半ばから後半— どう見てもセキュリティ コストは上昇していましたが、ソリューションは実際には問題を解決していませんでした。英国に本拠を置く大企業の数人の最高情報セキュリティ責任者 (CISO) が定期的に会合を開き、何が起こっているのかを把握しようとしました。彼らの視点は、「ネットワークを保護する」という一般的な基準に適合していませんでしたが、これらの CISO は初心者ではありませんでした。英国に本拠を置く大手エネルギー企業の CISO の 1 人は、英国で最初のプロの CISO の 1 人であり、他の企業で情報セキュリティを担当することになる多くの人々を訓練していました。ヨーロッパのエネルギー会社の別の人物は、ISO 2700 シリーズのセキュリティおよびリスク管理基準に発展した内部文書を作成していました。
2004 年 1 月、これら 4 人の CISO は Jericho Forum ®を結成し、de-perimeterisation と呼ばれる問題を定義し、前進する方法を提案することに焦点を当てました。彼らの努力はすぐに他の戦略的思想家を引き付けました。 2005 年には、最初の Jericho Forum ®会議が開催され、ビジョンに関する白書が発表されました。これに続いて、2006 年に Jericho Forum ® Commandments が開催されました。この一連の戦略原則は、組織が従来の境界のない世界で生き残ることができるように設計されています。 Jericho Forum ®は、クラウド セキュリティ、安全なコラボレーション、セキュリティ プロトコル、Voice over Internet Protocol (VoIP)、ワイヤレス、データ セキュリティなどの関連トピックに関する一連の論文を発行しました。そして、2011 年には、ID、資格、およびアクセス管理に関する 2 番目の一連の戒めがリリースされました。
その後、Jericho Forum ®は The Open Group に完全に吸収され、変更の原則を示した後、2013 年に正式に閉鎖されました。Jericho Forum ®は、スマート データの使用を含む、より優れたデータ保護の必要性を明確に示しました。その創設者の 1 人は、グローバルなデジタル ID エコシステムの一部を定義するグローバルな組織を作成しました。 Jericho Forum ®の他のメンバーは、クラウド セキュリティ組織のガイダンス ドキュメントに貢献しました。
ゼロトラストの戒めとその先
The Open Group の現在の作業は、これらの苦労して得た教訓に基づいて構築され、最近のベスト プラクティス、現在の傾向、および予想される将来の傾向で今日更新されています。
- これは、ゼロ トラストを定義したゼロ トラスト コア原則から始まりました。これには、主要な推進要因とコア原則が含まれます。
- これは、元の Jericho Forum® Commandments を更新したZero Trust Commandmentsに続き、ゼロ トラストの条件の交渉不可能なリストを定義しました。
- The Open Group では現在、これらの戒めに基づいて構築し、ゼロ トラスト参照モデルの完全な技術標準を提供する作業が進行中です。
ゼロ トラストの戒めは、何かがゼロ トラストであるかどうかを識別するために、今日利用できる最も明確な方法の 1 つです。ゼロ トラストの主張を聞いた場合は、次のように尋ねることができます。
- このアクションは、1 つ以上の戒めをサポートしていますか?
はいの場合、それはゼロ トラストの一部である可能性があります。 - この行為は戒めに違反しますか?
戒めに違反するものはすべてゼロ トラストではありません (そしておそらく、ビジネス目標、セキュリティ、またはその両方にとって逆効果です)。
このシリーズの今後のいくつかのブログを通じて、ゼロ トラストの戒めについて深く掘り下げていきます。
それまでの間、 ゼロ トラストの戒めを読み、それらを使用してゼロ トラスト計画を導き、実際にゼロ トラストとは何かを除外することをお勧めします。
ゼロ トラスト フレームワークでプロアクティブなセキュリティを採用する
- Microsoft の委託による Forrester Consulting の調査の全文、 The Total Economic Impact™ of Zero Trust Solutions From Microsoftを読み、Microsoft でゼロ トラスト フレームワークを実装した場合の投資収益率 (ROI) について詳しく学んでください。
- 重要なインサイト、ゼロ トラスト アーキテクチャ、および導入を加速するための成熟度モデルについては、ホワイトペーパー「 Evolving Zero Trust 」をお読みください。
2022 年 5 月 12 日に開催されるMicrosoft Security Summitデジタル イベントで、他のサイバーセキュリティの専門家に参加してください。サイバー戦略と脅威インテリジェンスの専門家とのライブ チャット Q&A で新しいセキュリティの洞察を得て、より安全でより革新的な未来の基盤を築くために使用できるソリューションを見つけてください。 .今すぐ登録してください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments