ゼロ トラスト アーキテクチャのしくみ
ゼロ トラスト アーキテクチャを理解するには、まず従来のセキュリティ アーキテクチャについて考えてみましょう。誰かが職場でサインインした後、その人は企業ネットワーク全体にアクセスすることができます。これは、組織の境界を保護するだけであって、物理的なオフィスの敷地に縛られています。このモデルでは、リモート ワークがサポートされず、また、組織をリスクにさらすことになります。誰かがパスワードを盗めば、すべてにアクセスできてしまうためです。
ゼロ トラスト アーキテクチャにより、組織の境界だけを保護するのではなく、すべての ID とデバイスを認証することで、ファイル、メール、ネットワークの一つひとつを保護できます。(そのため、"境界のないセキュリティ" とも呼ばれます。) ゼロ トラスト アーキテクチャは、単に 1 つのネットワークを保護するだけでなく、リモート アクセス、個人デバイス、サードパーティ製アプリの保護にも役立ちます。
ゼロ トラストの原則は次のとおりです。
-
明示的に確認する
誰かのアクセスを認証する前に、その人の ID、場所、デバイスだけでなく、リソースの分類方法や、レッド フラグとなる可能性のある異常がないかなど、あらゆるデータ ポイントを検討します。
-
最小特権アクセスを使用する
会社のすべてのリソースに無制限にアクセスできるようにするのではなく、情報量やユーザーがアクセスできる時間を制限します。
-
侵害があるものと考える
ネットワークをセグメント化することで、不正アクセスされても被害を抑えることができます。エンドツーエンドの暗号化が必要です。
ゼロ トラスト セキュリティを使用することによる利点
ゼロ トラスト アーキテクチャを導入した企業には、セキュリティの強化、リモートやハイブリッド作業のサポート、リスクの低減がもたらされ、退屈なタスクではなく、優先度の高い業務に集中できる時間の増加などの利点があります。
-
リモートおよびハイブリッド作業のサポート
いつでも、どこでも、どんなデバイスでも、安全に仕事ができるようにします。
-
リスクを最小限に抑える
従来のセキュリティよりも、攻撃の防止、脅威の早期発見、早期対策により、被害を最小限に抑えることができます。
-
クラウドへの移行
オンプレミスからクラウドへの移行をスムーズに行い、その過程で脆弱性を低減することができます。
-
時間を節約
誤検知の警告、余分なワークフロー手順、冗長なセキュリティ ツールを排除することで、セキュリティ チームはパスワードのリセットやメンテナンスではなく、インシデント対応 に集中することができます。
-
従業員エクスペリエンスの向上
複数のパスワードの代わりにシングル サインオン (SSO) や生体認証を使用することで、リソースへのアクセスを簡素化することができます。Bring-Your-Own-Device (BYOD) モデルをサポートすることで、より柔軟で自由な環境を提供できます。
-
ゼロ トラストの機能とユース ケース
-
ゼロ トラスト アーキテクチャの主な特徴は以下のとおりです。
-
エンドツーエンドのガバナンス
サイロ化されたシステムは、リスクをもたらします。代わって、ゼロ トラストでは、包括的な暗号化と強力な ID 管理によって、組織のすべてのデジタル資産へのアクセスを認証します。
-
可視性
シャドウ IT システム、およびネットワークにアクセスしようとするすべてのデバイスを検出します。ユーザーやデバイスがコンプライアンスに従っているかどうかを確認し、そうでない場合はアクセスを制限します。
-
分析
データを自動的に分析し、異常な行動に関するアラートをリアルタイムに受け取ることで、脅威の検出と対応を迅速に行うことができます。
-
自動化
AI を利用して攻撃をブロックし、誤った警告を減らし、対応すべきアラートに優先順位を付けます。
ゼロ トラスト モデルの導入と活用方法
ここでは、組織の ID、デバイス、ネットワーク、アプリ、データ、インフラストラクチャにゼロ トラストをデプロイし、使用する方法を紹介します。
-
1. 強力な本人確認の実現
組織で使用するすべてのアプリ、サービス、リソースへのアクセスを、最も機密性の高いものから認証していきます。管理者がリスクを評価し、ID のログイン失敗が多いなどの警告サインが出た場合にリアルタイムで対応できるようなツールを提供します。
-
2. デバイスやネットワークへのアクセス管理
個人や法人を問わず、すべてのエンドポイントが組織のセキュリティ要件の コンプライアンス に準拠していることを確認します。ネットワークを暗号化し、リモートやオンサイトも含め、すべての接続が安全であることを確認します。ネットワークをセグメント化し、未認証のアクセスを制限します。
-
3. アプリの可視性を向上させる
シャドウ IT とは、従業員が使用する未認証のアプリケーションやシステムのことで、脅威をもたらす恐れがあります。ユーザーがインストールしたアプリを調査して、コンプライアンスに準拠していることを確認し、アクセス許可を設定し、警告の兆候がないかどうかを監視します。
-
4. データのアクセス許可を設定する
文書からメールまで、組織のデータに分類レベルを割り当てます。機密データを暗号化し、最小限の権限でアクセスできるようにします。
-
5. インフラストラクチャを監視する
サーバーや仮想マシンなど、あらゆるインフラストラクチャを評価、更新、設定し、不要なアクセスを制限します。メトリックを追跡することで、不審な行動を簡単に特定することができます。
ゼロ トラストのソリューション
ゼロ トラストのソリューション は、誰でも使えるツールから、企業向けの複雑で大規模なアプローチまでさまざまです。その例をいくつかご紹介します。
個人ユーザー は、 多要素認証 (MFA) をオンにすると、アプリや Web サイトにアクセスする前にワンタイム コードを取得することができます。また、指紋や顔などの生体認証によるサインインも開始することができます。
パスワードは紛失しやすいため、学校 と コミュニティ では、 パスワードレスに移行できます。また、エンドポイント セキュリティを向上させ、リモート ワークや学校のサポートのほか、デバイスの紛失や盗難に備えたセグメント アクセスも実現できます。
組織 は、すべてのアクセス ポイントを特定し、より安全なアクセスのためのポリシーを導入することで、ゼロ トラスト アーキテクチャを採用できます。ゼロ トラストは長期的なアプローチであるため、組織は新たな脅威を検知するための継続的な監視に取り組む必要があります。
ゼロ トラストが企業に果たす役割
ゼロ トラストは包括的なセキュリティ モデルであり、単一の製品やステップではありません。企業は、今日の課題やサイバー脅威に対応するために、セキュリティのアプローチ全体を見直す必要があります。ゼロ トラストはセキュリティのロードマップを提供します。これを導入することで、組織の安全性を高めるだけでなく、安全にスケーリングし、サイバー脅威の次の進化に備えることができるようになります。
-
ゼロ トラスト アーキテクチャの導入に関心のある企業は、次のようなソリューションを探す必要があります。
- アクセス ポイントごとに認証し、すべての ID を確認し、アクセスを制限する。
- メールや文書など、データをエンドツーエンドで暗号化する。
- 脅威を監視および検知するための可視化とリアルタイム分析を提供する。
- 脅威への対応を自動化し、時間を短縮する。
Microsoft Security についてさらに学ぶ
よく寄せられる質問
-
ゼロ トラストは広く受け入れられており、10 年以上にわたってサイバーセキュリティの権威から賞賛されています。大企業や業界リーダーがゼロ トラストを利用しており、リモートおよびハイブリッド作業を採用する組織が増えるにつれて、採用が拡大しています。
-
-
ゼロ トラスト ネットワーク セキュリティ とは、ネットワークにアクセスできたからといって、その ID を信用しないことを意味します。その代わりに、ゼロ トラスト ネットワーク アクセスを実装することにより、ネットワークにアクセスしようとするすべてのデバイス、アプリ、ユーザーを継続的に認証し、ネットワーク上のすべてを暗号化し、あらゆる攻撃を封じ込めるためにネットワークをセグメント化し、ネットワークアクセスを制限するポリシーを確立し、リアルタイムに脅威を特定します。
-
ゼロ トラスト の主な概念は、ユーザーとデバイスの認証を (一度だけでなく) 継続的に行い、すべてを暗号化し、必要最小限のアクセスを提供し、アクセス期間を制限し、セグメント化を使ってあらゆる違反のダメージを制限することです。
-
クラウドにおけるゼロ トラストとは、ゼロ トラストの原則と戦略を組織の クラウド セキュリティ に適用し、クラウド資源が安全でコンプライアンスに適合し、組織がより可視化されるようにすることを意味します。クラウドのゼロ トラストは、クラウドに保存されているものを暗号化し、アクセスを管理し、クラウド インフラストラクチャへの侵入を特定し、修復を迅速化します。
Microsoft をフォローする