2021年1月8日

デフォルトでビジネスのセキュリティを確保するゼロトラスト

多くの企業は、ハイブリッドITに移行する中で従来のIDおよびアクセス管理では対応できないことに気付きます。

デジタルトランスフォーメーションが急激に進む中、多くの企業はモバイル、スマートデバイス、機械学習、さらにはよりアジャイルな新しいアプリケーションの開発、展開、管理手法を取り入れていますが、かつてこれほどのテクノロジーの変化に直面したことはありません。

ただし、トランスフォーメーションとは、新しいモバイルアプリケーションやインテリジェントな機能を導入することだけを意味するのではなく、変化は企業の中核にまで及び、新たなクラウドプラットフォームやマイクロサービスアーキテクチャーとより戦略的なレガシーシステムが連携しています。これについて、S&P Global Market Intelligence社傘下の451 Research社で情報セキュリティ調査責任者を務めるScott Crawford氏は、「これによって企業全体のシステムの管理、特にセキュリティ管理とアクセス管理の点で多くの課題が生じている」と述べています。では組織は、システムと人員が適切なシステムとデータにしかアクセスできないようにするにはどうすればいいのでしょうか。

これに対する簡単な答えはなく、さまざまなクラウドプラットフォーム、クラウドサービス、マイクロサービス、ソフトウェアコンポーネント全体でコンピューティングの相互接続が進んで動的な性質が高まりつつあることにより、企業があらゆるタイミングで任意のリソースに接続するユーザーやシステムを信頼できるかどうかを判断するプロセスが著しく複雑化しています。アクションを実行しようとしているユーザーをどのように信頼すればいいのでしょうか。また自動化が進む中、クラウドシステムとオンプレミスのレガシーシステム間で接続を確立するサーバー、ワークロード、またはソフトウェアコンポーネントをどのように信頼すればいいのでしょうか。

今日ではゼロトラストを導入する企業が増えていますが、ID管理とアクセス管理の哲学的なアプローチであるゼロトラストでは、ユーザーやソフトウェアのアクションはデフォルトでは信頼されません。つまり、すべてを認証するのです。ゼロトラストでは、すべてのユーザー、デバイス、およびアプリケーションに自らの身元や意図、そして求めているリソースにアクセスできる権限があることを示す必要があります。

多くの企業は、ゼロトラストを実現するツールやサービスに投資しており、MarketsandMarkets社によると、ゼロトラスト市場は2019年の約160億ドルから年間20%のペースで拡大し、2024年までに約390億ドルの規模になると見られています。

 

従来のID管理では対応できない

今日のマルチクラウドおよびマイクロサービス環境では、1回の認証で永久に信頼する従来の方法は使用できません。新しいワークロードやソフトウェアサービスでは、何らかのタスクを実行するためにあらゆるタイミングで任意のリソースが要求される可能性があり、これについてHewlett Packard EnterpriseのフェローであるColin I'Ansonは、次のように述べています。「ゼロトラスト以外の環境では、ユーザーやデバイスが環境内に入ると、リソース間の接続が信頼されていましたが、現在ではゼロトラストを導入しており、そのようなことは一切ありません。私たちはリアルタイムで、そして今までよりはるかにきめ細かいレベルで認証を行ってアクセス権を得る必要があり、ワークロードまた機能エンティティはすべて身元を証明しなければなりません」。

企業がゼロトラストを実現するには、ユーザー、ワークロード、およびデータを認証し、絶えずアクセスの異常を監視する必要があります。

とはいえ、動的なアーキテクチャーやハイブリッドアーキテクチャーを使用している今日の企業ではそれは容易ではなく、ユーザーとシステム間のゼロトラストを実現するには、ゼロトラスト認証のプロセスを可能な限り標準化および自動化することが重要です。これについては特に、クラウドネイティブ環境に適しています。

ここでHPEが最近ゼロトラスト企業のScytale社を買収したことについて考えてみましょう。Scytale社は、複雑なハイブリッド環境のアクセス制御を統合するための一連の取り組みを開始しました。最初のイニシアチブであるSPIFFE (Secure Production Identity Framework For Everyone) では、特にワークロードとシステムのアクション間の信頼を簡単に確立するためのAPIを定義する、一連の仕様が定められますが、手動でのキーの生成や配布のプロセスとは違ってAPIをベースとしているため、SPIFFEの認証は完全に自動化できます。これについて、Scytale社の元CEOであり、現在はHPEでシニアディレクターを務めるSunil Jamesは、「SPIFFEは、企業がクラウドやコンテナなどのますます動的になるコンピューティングプラットフォーム上で実行されるワークロードで (KerberosやOAuthといった) 既存のオンプレミスサービスの認証プロトコルを活用するための基盤を整備するものである」と述べています。

Scytale社の2つ目の取り組みは、SPIFFEの最初のソフトウェア実装であるSPIREです。SPIREのコンポーネントは、コールプロバイダー、ミドルウェアレイヤー、信頼済みのプラットフォームモジュールやハードウェアセキュリティモジュールなどのハードウェア信頼メカニズムと統合することが可能です。またSPIREは、Azure、Kubernetes、データセンターで実行されているアプリケーションなど、あらゆる環境のワークロードで使用でき、I'Ansonは、「これにより、ユーザーやワークロードの特定のアクションまでを対象とした、求められるさらにきめ細かいレベルの認証が可能になる」と述べています。

 

ゼロトラストで実際のビジネスの問題を解決

実際の差し迫ったビジネスの課題が解決されなければ、一般的に言われているゼロトラストのメリットはあまり大きくはないでしょう。支持者が言うには、ゼロトラストはセキュリティの向上に役立つだけでなく、より重要なポイントとして、コスト効率の高い方法でセキュリティを強化するうえ、技術環境で求められるレベルのアジリティと柔軟性を実現することが可能です。

ゼロトラストは、ユーザーが何を試みているのかを把握し、アクションのコンテキストに基づいて適切なセキュリティポリシーを導入しようとするセキュリティシステムであるため、ユーザーエクスペリエンスも向上させることができます。そしてこれについてJamesは、「ゼロトラストのフレームワークは、企業がますます動的になるエンタープライズIT環境のセキュリティを確保すると同時に、インフラストラクチャ、セキュリティ、ネットワーキング、およびソフトウェアエンジニアのユーザーエクスペリエンスを向上させるのに役立つ」と述べています。

ゼロトラストの属性を体系化して自動化できれば、最新のクラウドアーキテクチャーやマイクロサービスアーキテクチャーに合わせてゼロトラストをすぐに拡張することが可能になります。また、新しいすべてがクラウドの環境でゼロトラストアーキテクチャーをはるかに簡単に展開できるようになりますが、そのようなメリットは不可欠ではありません。そして確立された環境でも、ゼロトラストで成果を得ることができます。

 

ゼロトラストの効果的な実装

HPE Pointnext Servicesのワールドワイドセキュリティ・リスクマネジメントプラクティス担当シニアアドバイザーであるSimon Leechは、次のように述べています。「お客様の間では、ゼロトラストのメリットと最善の実装方法についての議論が数多く交わされていますが、こうした議論は、テクノロジー部門よりビジネス部門が主導する必要があります。ゼロトラストとは、何らかのセキュリティまたはネットワークテクノロジーを実装することを意味するのではなく、セキュリティアーキテクチャーの構築方法に対するまったく新しいアプローチです」。

そしてLeechは、「セキュリティアーキテクチャーに対する新しいアプローチを取るには、運用の現状とそれが将来どのような状態になるのかをしっかりと把握したうえで、ビジネスプランを策定するかビジネスケースを作成する必要がある」とアドバイスしています。

Jamesは、組織の現状を評価することが最初の一歩であると述べたうえで、「最初に運用の現状を基準して目標を確認した後、それを達成できるようにするためのビジネスケースを作成する必要がある」と語っています。

最初に作成するビジネスケースは、セキュリティポリシーや規制要件を中心としたものになると思われ、Crawford氏は、「こうしたビジネスケースを検討するときには、VPNで得たものをはじめとする、ユーザー名やパスワード、または基本的なネットワークセグメンテーションを介したアクセスの観点から考えるのではなく、必ずゼロトラストがアクセスを微調整するのに必要なツールや機能を提供するものであるという事実を活かすべきである」と述べています。

きめ細かいユーザーアクセスと動的なワークロードの観点からIDについて考えると、ID管理が複雑になるように思われるかもしれませんが、Crawford氏は、長い目で見るとそこに労力を費やす価値があると述べ、次のように説明しています。「アクセスの範囲をどの程度まで広げたいのか、特定の対象に関してどの程度範囲を狭める必要があるのか、どのような種類の資産に誰がアクセスできるのかという点で規制要件などについて何を検討する必要があるのかなど、ID管理とアクセス管理についてこれだけ掘り下げれば、セキュリティを強化してすべてのユーザーのエクスペリエンスを向上させることができます」。

I'Ansonは、「ゼロトラストを最大限に活用するには、いくつかの作業を事前に行う必要がある」と付け加えていますが、幸いなことに、既存のID管理に対する投資とそれが成熟していることがトランスフォーメーションを進めるうえでの助けとなります。I'Ansonは、これについて次のように説明しています。「既存のID管理プログラムが成熟しているほど、ゼロトラストへの移行が容易になります。既存のLDAP実装によってロールとIDの最初の基盤が固められるため、それらを開始点にすることができます」。

その次のステップでは、成果が得られる実装でそれらのビジネスケースを明確化するのですが、これについてI'Ansonは、次のように述べています。「重要なのは、ゼロトラストがスイッチを入れるだけですぐに実現できるものではなく、段階的に導入していくものであるということです。ゼロトラストは、事業部門や特定のドメインのビジネスケースを作成し、それに沿って導入していくのです」。

Jamesはこれに同意し、次のように述べています。「ゼロトラストを実装するときには、すぐに成果を得られる部分を特定し、それに関連するビジネスケースを作成してから、それらのユースケースで価値を実現できる柔軟なアーキテクチャーを設計して構築します。そうすれば、コンポーネントやテクノロジーを場当たり的につなぎ合わせるのではなく、ベースにすることができる強力な基盤が築かれます」。

そのためゼロトラストのアプローチで標準化するのが重要であり、Jamesは、「2年で標準化すれば、その多くがおそらく連携することなく価値をもたらさない、5つの異なるゼロトラストのアプローチが組織全体に広がることはない」と述べています。

最後にCrawford氏は、初期認証に関して使用可能な認証方法を活用するよう組織にアドバイスし、「一般的なコンシューマー向けのエンドポイントテクノロジーの多くにパッケージ化されている生体認証など、つい最近まで非常に高度なものだったアクセス制御の手法が利用できるようになりつつあるため、そうした認証手法を活用すべきである」と述べています。

多くの企業は、デジタルトランスフォーメーションを進める中で、成功を収めるためにクラウドコンピューティング、機械学習、コンテナ、マイクロサービス、モビリティなどの多種多様なテクノロジーを取り入れていますが、デジタルトランスフォーメーションを成功させるには、構築するコンピューティング環境と同じようにアジャイル、柔軟、かつスマートなID管理と認証のアプローチが必要であり、そうしたアプローチになり得るのがゼロトラストなのです。

 

ゼロトラスト: リーダーのためのアドバイス

  • ゼロトラストを実現するには、きめ細かいレベルのID管理とアクセス管理を実装して維持する必要があります。
  • セキュリティに関する意思決定は非常に重要であり、リクエスターのIDとアクセス権を確認せずに行うことはできません。
  • 組織は、ゼロトラストのテクノロジーを実装する前にそのビジネスケースを作成し、事業部門全体の同意を得なければなりません。

この記事/コンテンツは、記載されている個人の著者が執筆したものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。

enterprise.nxt
ニュースレターのご登録

enterprise.nxtから最新のニュースをメールで配信します。