バック・トゥ・ザ・フューチャー: ジェリコ フォーラムが現代のセキュリティについて教えてくれたこと

私たちが現在ゼロトラストと呼んでいるものに関する最も初期の正式な作業のいくつかは、ジェリコ フォーラム (後にオープン グループ セキュリティ フォーラムに統合されました) として知られるセキュリティ コンソーシアムで始まりました。これは、同じ考えを持つ CISO のグループが、すべてのリソースをセキュリティ境界の背後にある「安全な」ネットワークに配置することによって保護するという、支配的で疑問の余地のない哲学の限界と格闘することから始まりました。

ジェリコ フォーラムは、ユーザーや企業に企業ネットワーク上にデータを保持するよう説得するのではなく、企業ネットワークの境界に出入りする企業データを保護する方法に焦点を当てた、境界解除と呼ばれるセキュリティの新しい概念を推進しました。初代の iPhone が 2007 年までリリースされなかったことを考えると、この「安全な資産」への移行は非常に予言的であることが証明されました (2007 年がユーザーの好みの大きな変化を引き起こし、企業のテクノロジに関する意思決定を形成するきっかけとなりました)。

ある CISO: 私たちのネットワークはミニ インターネットになりました

ネットワーク上に何があるかを正確に把握していた時代から、多くのことが変わりました。ある多国籍企業の CISO は、企業ネットワークがミニチュアのインターネットになっていると述べたことがあります。管理されていない多くのデバイスを含む数十万のデバイスが常に接続されているため、ネットワークはデバイスの信頼を確立する能力を失っています。ネットワーク制御は依然としてセキュリティ戦略の一部ですが、ビジネス資産を保護するために必要な保証を構築するための基盤ではなくなりました。

このブログでは、これらの概念 ( Jericho® Forum Commandmentsに簡潔にまとめられています) が、 Microsoft のゼロ トラストのビジョンとテクノロジを含む、今日のゼロ トラストの形成にどのように役立ったかを検討します。

非境界化を受け入れることで、セキュリティ アーキテクトと防御者は、データを保護するためのアプローチを再考することができます。データが存在する場所でセキュリティを確保する (人為的にネットワークに制限するのではなく) ことは、当然のことながら、ビジネスとの整合性を高め、ビジネスを安全に運用できるようにします。

ブロッキングは鈍器

セキュリティ担当者は、あらゆるリスクをブロックして組織を安全に保つという考えを好みますが、現実の世界では、グレー エリアやニュアンスを適切に処理するための柔軟なソリューションが必要です。

ネットワーク レベルでのみセキュリティを適用する従来のアプローチでは、コンテキスト セキュリティが参照するもの (たとえば、ユーザー/アプリケーションが現時点で何をしようとしているのか) が制限され、通常は応答オプションがブロックまたは許可のみに制限されます。

これは、親が特定のテレビ チャンネルや YouTube などのサイト全体をブロックして、子供のコンテンツをフィルタリングすることに匹敵します。セキュリティでサイトをブロックするのと同じように、大まかなブロックは、子供がオンライン クラスを行うために YouTube を必要としたり、不適切なコンテンツを含む Web サイトやその他の TV チャンネルを見つけたりするときに問題を引き起こします。

単に接続をブロックしたり、「アクセス拒否」を発行したりするよりも、生産性を高めるための安全な方法をユーザーに提供する方がよいことがわかりました。 Microsoft は、このグレー エリアでの使いやすさとセキュリティの両方のニーズに対応するために、ゼロ トラストに多額の投資を行ってきました。

  • 多要素認証 (MFA) とパスワードレス認証を使用して信頼性を証明する簡単な方法を提供します。これは、リスクが変化していない場合に検証を繰り返し要求することはありません。また、デバイスをサイレントに保護するハードウェア セキュリティ保証も提供します。
  • ユーザーが灰色の領域で生産性を発揮できるようにする– ユーザーは、管理されていないネットワークや通常とは異なる場所で作業している場合でも、仕事の生産性を維持する必要があります。 Microsoft は、ユーザーが MFA プロンプトで信頼を高めることを可能にし、組織がセッションを制限または監視して、生産性を妨げることなくリスクを軽減できるようにします。

「完全にブロックした方が安全だ」と考えたくなりますが、この危険な誤謬に注意してください。今日のユーザーは自分の働き方をコントロールしており、IT 部門やセキュリティ部門の管理外でデバイスやクラウド サービスを使用しなければならない場合でも、最新の方法で仕事をする方法を見つけるでしょう。さらに、攻撃者は、安全であるはずの承認された通信チャネル (正規の Web サイト、DNS (ドメイン ネーム サーバー) トラフィック、電子メールなど) に侵入することに長けています。

ジェリコ フォーラムは、現在では日常生活の一部となっている新たなトレンドを認識しています。将来的にセキュリティ投資を行う際には、新しい働き方を採用し、資産が所属していないネットワークに不自然に閉じ込めるのをやめ、それらの資産とユーザーがどこにいても、どこにいても保護する必要があります。

ゼロ トラストの理由について詳しくは、こちらをご覧ください。 Microsoft セキュリティ ソリューションの詳細については、当社のWeb サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2020/10/28/back-to-the-future-what-the-jericho-forum-taught-us-about-modern-安全/

コメント

タイトルとURLをコピーしました