ゼロトラスト ゼロトラストとは
ゼロトラストは、今日の組織におけるセキュリティ要件の変化に適切に対応できるように設計された、新しいサイバーセキュリティのモデルです。ゼロトラストフレームワークでは、セキュリティポスチャを強化し、ネットワーク全体でのラテラルムーブメントを制限し、データ侵害を防ぐことができます。
- ゼロトラストの説明
- ゼロトラストの仕組み
- ゼロトラストと境界ベースのセキュリティの違い
- ゼロトラストの基本原理
- ゼロトラストのメリットとは
- ゼロトラストを導入する方法
- ゼロトラストとSASEの違い
- HPEはどのようにゼロトラストアーキテクチャーの実現を支援するのか
ゼロトラストの説明
今日では、サイバー攻撃が複雑化して攻撃ベクトルが広がり、絶えず脅威が存在することから、非常に機敏な企業でさえも機能停止に陥ってしまうことが少なくありませんが、ゼロトラストセキュリティを活用すれば、セキュリティのアプローチが簡素化されて環境を管理しやすくなります。
ゼロトラストセキュリティモデルは基本的に、(プライベートネットワーク、ファイアウォール、VPN/VPCなどの) セキュアなネットワークペリメターの完全性ではなく、クリティカルなデータを管理している個々のソフトウェアシステムの完全性を信頼します。
お客様とパートナー様が非常にクリティカルなデータシステムのための堅牢でアジャイルなゼロトラストセキュリティソリューションを提供できるようにするには、ソフトウェアを実行するハードウェアから、ユーザーとデバイスを必要なアプリケーションやデータにつなげるソフトウェアに至るまで、お客様とパートナー様が使用するすべてのものに信頼を組み込む必要があるとHPEは考えました。
ゼロトラストの仕組み
今日の企業は、ユーザーやデバイスが遠隔地にあり、従来の境界防御ではすべての脅威を排除できなくなっており、セキュリティを強化するために、常に確認する厳格なセキュリティモデルを導入する必要があります。ネットワークにアクセスする前に、すべてのデバイスとユーザーを識別して認証し、必要最小限のアクセス権を付与したうえで、継続的に監視する必要があります。
ゼロトラストと境界ベースのセキュリティの違い
従来の境界を重視するセキュリティ手法とは異なり、最新のゼロトラストセキュリティアーキテクチャーは信頼を脆弱性ととらえます。ユーザーが感染している可能性があるため、接続方法や接続場所に関係なく、すべてのユーザーまたはデバイスがデフォルトでは信頼できないものとみなされます。ネットワーク全体をとおしてIDとデバイスの証明および認証が求められます。ネットワーク上のすべてのコンポーネントが単独で自身の信頼性を確立し、従来のポイントセキュリティ機能を含め、交信する別のコンポーネントに認証してもらう必要があります。
ゼロトラストの基本原理
- 暗黙の信頼はない: ユーザーID、場所、時刻、デバイスの状態、アクセスされているアプリケーションなど、利用可能なすべてのコンテキストデータに基づいて、常に認証と承認を行います。信頼を前提にすることはありません。
- 最小権限アクセス: ユーザーとデバイスがその役割に従って動作している間に限り、特定のタスクを実行するために必要な権限のみを付与します。これにより、ネットワーク内での不正アクセスや攻撃の横方向の移動のリスクが最小限に抑えられます。
- 違反を想定: 侵害がすでに発生している、またはいつでも発生する可能性があるという想定のもとにシステムを設計します。影響の検出、封じ込め、最小化に重点を置いたセキュリティ機能とします。
- マイクロセグメンテーション: ネットワークをより小さく分離されたゾーンに分割してアクセスを制限し、攻撃対象領域を減らします。1つのゾーンが侵害された場合でも、残りのゾーンはセキュリティが維持されます。
- 継続的な監視と検証: デバイスの動作、デバイスの状態、アクセスパターンを監視して異常を検出し、ポリシーをリアルタイムで適用します。
- デバイスおよびID中心のセキュリティセキュリティポリシーを、場所 (ネットワーク境界内など、ユーザーまたはデバイスが接続している場所) ではなく、IDとロールに結び付けます。クラウド環境とハイブリッド環境において、またリモートワーカーには不可欠です。
HPE Aruba NetworkingのSecurity-first, AI-powered networkingは、本質的にはすべての接続ポイントでゼロトラストの原則を有効化し、可視性、制御、適用を含む包括的な機能セットを提供して、分散型かつIoT主導のネットワークインフラストラクチャの要件に対応します。
ゼロトラストのメリットとは
モビリティ、IoT、在宅勤務の普及に伴い、ネットワークセキュリティの確保がますます困難になっています。ゼロトラストなら、可視性、制御、適用を強化し、分散型かつIoT主導のネットワークインフラストラクチャのセキュリティ要件に対応できます。
- 脆弱なIoTデバイスに関連するセキュリティリスクにさらされにくくなります。
- 従来の境界型セキュリティ制御では排除できない、高度な脅威のリスクを軽減できます。
- 攻撃者や感染したデバイスのラテラルムーブメントに伴う被害が軽減されます。
- 接続しているユーザーやデバイス、また接続場所を問わず、より包括的なセキュリティ対策を実行できます。
- マイクロセグメンテーションなどの最小権限アクセスをサポートするベストプラクティスを適用できます。
ゼロトラストを導入する方法
ゼロ トラストアーキテクチャーは、認証、認可、継続的なリスク管理に重点を置いています。導入の手順は次のとおりです。
1. ネットワークに接続されているすべてのデバイスを検出してプロファイリングすることで、ネットワークの死角をなくします。
2. 802.1Xベースの認証技術やIoTデバイス向けの新しいソリューションを使用して、アクセスを許可する前にアイデンティティを確認します。
3. エンドポイントの構成をコンプライアンス基準と比較し、必要に応じて修正を行います。
4. アイデンティティベースのポリシーに基づいてトラフィックを区分し、ITリソースへの最小権限アクセスを確立します。
5. ユーザーとデバイスのセキュリティ状態を継続的に監視し、セキュリティエコシステム内の他の要素と双方向通信を行います。侵害や攻撃が発生した場合にユーザーまたはデバイスのアクセス権を取り消すポリシーを確立します。
ゼロトラストとSASEの違い
ゼロトラストとSecure Access Service Edge (SASE、「サシー」と読む) の2つのアプローチは、従業員のリモート勤務や分散化が進み、組織の攻撃対象領域が広がる中で、セキュリティを強化できます。
SASEは、エッジでセキュアなアクセスを提供するために必要となる要素を定義し、SD-WAN、ルーティング、WAN最適化などの包括的なワイドエリアネットワーク (WAN) 機能に、SWG、CASB、ZTNAなどのクラウド提供型セキュリティサービスを組み合わせています。SASEソリューションは、機密データの特定に加え、リスクレベルと信頼レベルを継続的に監視してコンテンツを暗号化/復号化できなくてはなりません。このアプローチは、複数のリモート/ブランチオフィスがある組織や、従業員の分散化が進んでいる組織に特に役立ちます。
ゼロトラストは、暗黙の信頼という概念を排除し、代わりに継続的に監視されるアイデンティティベースの認証と認可に基づいて最小権限アクセスを適用することで、企業全体のセキュリティリスクを軽減することを目指すモデルであり、考え方です。これには、セキュアなアクセスだけでなく、企業を襲うサイバー脅威の監視、データガバナンスおよびコンプライアンスの要件、ネットワーク環境の保守まで含まれます。
ゼロトラストとSASEには、重複する基本原理があります。SASEソリューションを導入すれば、包括的なゼロトラストセキュリティアーキテクチャーの実現に一歩近づいたことになります。
HPEはどのようにゼロトラストアーキテクチャーの実現を支援するのか
Project Auroraは、エッジからクラウドまでカバーするHPEのゼロトラストセキュリティアーキテクチャーで、今日の極めて高度なマルウェア攻撃のいくつかからお客様を保護します。HPEのSilicon Root of Trustをベースに構築したProject Auroraは、対象が有効化またはリリースされて実行される前に対処し、ランタイム中は継続的にこれを繰り返します。
Project Auroraはポイントソリューションとは異なり、シリコンレベルから始まる新しい組み込みの統合セキュリティソリューションで、エッジからクラウドまでエンドツーエンドのセキュリティに対応します。設計時から組み込まれたセキュリティテクノロジーと、検証と認証の自動化を組み合わせ、シリコンという最下層の基盤から始まる多層防御を確立しています。
Project Auroraで、シリコンからワークロードまでセキュアな信頼の鎖全体にセキュリティを組み込むことで、組織は自身の分散ソフトウェアシステムに大きな信頼を寄せ、アジリティと柔軟性を向上させて、独自のソリューションをコスト効率良く市場に投入できるようになります。
Project Auroraは、HPE GreenLakeとその他のHPE製品全体にわたってさらにゼロトラストサービスを提供するための基盤を築きます。まずは、ハードウェア、ファームウェア、オペレーティングシステム、プラットフォーム、ワークロード (セキュリティベンダーのワークロードも含む) の完全性を自動的かつ継続的に検証できるよう、HPE GreenLake Lighthouseに組み込まれます。またこれは、貴重な企業データと知的財産の損失や不正な暗号化 (および破損) を最小限に抑えるのにも役立ちます。
将来は、HPE GreenLakeクラウドサービスにProject Auroraが組み込まれ、プラットフォームに依存せずにエッジからクラウドまで分散されたゼロトラストアーキテクチャーを定義、作成、展開できるようになります。