「コンプライアンスとは、リスク管理とリスクの軽減がすべてであり、ゼロ トラストについても同じことが言えます。」
—アッバス・クドラティ
リスク管理とは何か、なぜ重要なのか?
ライフサイクル全体にわたってリスクに対処するための戦略を策定するプロセスであるリスク管理には、通常、リスクの特定、評価、対応、および監視と報告の 4 つのフェーズが含まれます。
リスク管理は、組織のセキュリティ体制の強化を支援する上で重要な役割を果たします。インサイダーインシデントを例にとると、組織にとってコストがかかるだけでなく、封じ込めにも時間がかかります。利用できるリソースが限られていることを考えると、多くの組織が、より重大なリスクに対処できるセキュリティ管理への投資を優先することがよくあります。そのため、投資収益率 (ROI) は、組織の資産を効果的に保護し、事業運営を確保する上で最大化されます。リスク管理は継続的な活動です。企業で長年にわたって確立されてきたリスク管理プログラムは、進化するデジタルおよび脅威の状況を常に把握していますか?
デジタル トランスフォーメーション、クラウドへの移行、ハイブリッド ワークなどのトレンドにより、従来の信頼の境界は曖昧になりつつあります。境界主導型の防御は、増加する攻撃ベクトルを防御するにはもはや十分ではありません。攻撃者が企業環境にいると想定し、組織が常に明示的に検証し、最小特権アクセスを強制することを奨励するゼロ トラスト セキュリティ モデルに、より多くの注目が集まっています。
ゼロ トラスト アーキテクチャはリスク管理にどのように役立つのでしょうか?
Microsoft は、お客様がデジタル資産を保護するためのリファレンスとして、次のゼロ トラスト アーキテクチャに取り組んでいます。
ゼロ トラスト アーキテクチャが、組織が 4 つのフェーズ全体でエンタープライズ リスク管理の実践を効果的に管理するのにどのように役立つかを見てみましょう。
1. 識別: 6 つの柱によるより徹底した資産の発見とリスクの識別
リスク管理の最初のステップでは、組織は影響分析に基づいて、処理、保存、送信されるシステムと情報を分類する必要があります。優先順位を付けて、資産に対する脅威と脆弱性を特定する活動が実行されます。ゼロ トラスト アーキテクチャは、ID、エンドポイント、ネットワーク、データ、アプリケーション、およびインフラストラクチャとして指定された 6 つの柱を使用して、デジタル資産全体にわたって組織資産を完全にカバーすることを強調しています。リファレンス アーキテクチャに従うことで、組織は IT ランドスケープと関連するリスクの全体像を把握できます。
資産の発見とリスクの特定の段階で、組織が考慮すべきいくつかの質問:
- どのタイプの構造化データと非構造化データを作成、処理、保存しますか?すべてのデータは分類、ラベル付け、および暗号化されていますか?
- どのアプリケーションにアクセスしますか?それらはクラウドにありますか、それともオンプレミスにありますか?
- クラウドまたはオンプレミスで、どのような種類のインフラストラクチャを管理していますか?
- ネットワーク、データ、アプリケーション、インフラストラクチャなどのリソースにアクセスできるのは誰ですか?彼らは内部または外部の利害関係者、人間または人間以外のアクターですか? ID の認証と承認はどのように実施されますか?
- リソースへのアクセスが許可されているエンドポイントはどれですか?それらは会社または個人によって所有されていますか?デバイスの管理とコンプライアンスのレビューはどのように行われますか?
- あらゆる種類のリソースにアクセスする ID の正常なパスと異常なパスは何ですか?
2. 評価: アクセス制御の評価と施行へのインプットとしての継続的なリスク評価
通常、情報資産のリスク評価は、定期的に、または主要な変更時に実行されます。これにより、組織は潜在的なリスクを特定し、既存のプロセスと管理がリスクを許容レベルまで下げるのに十分かどうかを評価できます。攻撃がクラウドの速度で発生する、より動的なデジタル世界では、ゼロ トラスト アーキテクチャは継続的なリスク評価を推奨します。ユーザー、場所、デバイスのコンプライアンス、データの機密性、およびアプリケーションの種類に関するシグナルを分析することにより、各要求を傍受して明示的に検証する必要があります。さらに、豊富なインテリジェンスと分析を活用して異常をリアルタイムで検出し、対応できるため、リクエスト レベルでの効果的なリスク管理が可能になります。
さらに、ゼロ トラスト アーキテクチャに含まれるセキュリティ制御により、システムまたは組織レベルでの定期的なリスク評価時に考慮される多層防御が可能になります。 ID が防御の新たな最前線であるため、強力な多要素認証は、アクターが主張する人物であるかどうかを判断するのに役立ち、不正アクセスの可能性を減らします。次に、デバイス コンプライアンス チェックは、アクターが侵害されたエンドポイントまたは古いエンドポイントを使用して組織のリソースにアクセスする可能性を減らすのに役立ちます。侵害が発生した場合、最小特権アクセスの原則に基づくネットワークのマイクロセグメンテーションにより、悪意のあるアクターの水平移動が最小限に抑えられ、攻撃対象領域が狭まり、被害が封じ込められます。転送中および保管中のデータを暗号化すると、復号化キーがなければデータを読み取ったり使用したりできなくなり、データ侵害の影響がさらに軽減されます。
3. 対応: リクエストのライフサイクル全体でリスクを軽減するためのリアルタイムの対応策
ゼロ トラスト アーキテクチャは、リスク対応戦略の 4 つの一般的なカテゴリ (許容、運用、監視、改善) にも対応できます。設計上、脅威保護からのテレメトリ、状態情報、およびリスク評価をすべてゼロ トラスト ポリシー エンジンにフィードして、脅威への自動応答を即座に有効にすることをお勧めします。さまざまなソースからのすべてのリスク シグナルを収集して評価すると、ゼロ トラスト ポリシーがリアルタイムで適用され、アクセス要求を許可、拒否、制限、またはさらに認証する必要があります。このようなアプローチは、リクエストのライフサイクル全体でリアルタイムに検出されたリスクに対して優れた応答性を提供し、組織がタイムリーにリスクに対処できるようにします。
4. 監視と報告: リスクの監視と報告を可能にするあらゆるレベルでの可視性
リスクの監視と報告も、リスクのガバナンスと保証を確保するための重要な要素です。組織では、リスクの監視と報告をシステム レベルで行うのが一般的です。ゼロ トラスト アーキテクチャを使用すると、組織はあらゆるレベルでリスクを可視化できるという柔軟性からメリットを得ることができます。詳細なレベルでは、単一ユーザー ID またはサインインのリスクが評価され、ログに記録され、報告されます。 IT とセキュリティ ツールが統合されているため、大量のデータ アクセスや転送、マルウェアの検出など、その他の潜在的な侵害の兆候を関連付けることができるため、リスク管理チームの最前線で調査に必要なすべての詳細を取得できます。豊富な脅威と脆弱性のデータをさらに処理して、組織のリスク状況を集約したビューを提供し、上級管理職や監査人へのリスク報告をより正確かつ手間のかからないようにすることができます。リスクの監視と報告から生成された洞察により、リスク管理の戦略とポリシーを継続的に見直して改善し、関連性と効果を維持することができます。
もっと詳しく知る
Microsoft ゼロ トラスト フレームワークの詳細をご覧ください。
組織は、無料のMicrosoft ゼロ トラスト成熟度評価クイズを利用して、ゼロ トラストの成熟度の現在の状態と、次のステップに関する推奨事項を理解することができます。 Microsoft が組織のゼロ トラスト ジャーニーを支援する方法の詳細については、 Zero Trust Essentials eBookを参照してください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments