本ブログ記事は、2021年6月15日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
企業ネットワークの初期の頃は、ネットワーク上のユーザーやデバイスを信頼する必要があるかどうかはあまり考えられていませんでした。少なくとも、最初のログイン以外にはそうでした。出勤した従業員が自分のデスクトップ PC に向かい、単純なユーザー名とパスワードを入力して自分を認証すると、基本的には信頼され、その日は企業のネットワークとソフトウェアにフルアクセスできました。これにより、確かに、作業者が必要なものにアクセスすることは簡単になりました。
しかし残念ながら、外部の攻撃者や他の悪意を持つ人々が企業システムを侵害してデータを盗むことも非常に簡単になりました。
20年ほど前は、ID やアクセス管理ツールは存在しないか初歩的なものでした。さらに企業ネットワークはデジタルアイランドであり、そこでは当時のアプリケーションのほとんどは個々のエンドポイント上で動作するか、オンプレミスサーバーにより提供されていました。これは、ネットワークの内部にあるものはすべて信頼できるはずであり、ネットワークの外部にあるものは一般に信頼できないという大前提の上に企業セキュリティが構築されていたことを意味します。
このアプローチは、e コマースへの注目と Web の活用が指数関数的に高まり、ネットワーク境界が消滅し始めるまで、ある程度は機能していました。2000 年代初めまでに、認証に対するこのアプローチは荷が重くなり過ぎました。そこで、企業は特定のトランザクションを実施するために、ネットワーク境界におけるより厳格なファイアウォールルールの設定からネットワーク境界のすぐ外側でのいわゆる「非武装地帯」のインストールまで、ネットワークを保護するための戦略とテクノロジーを追加で採用し始めました。
当時の ID やアクセス管理ツールも成熟し始めましたが、歴史を振り返ると、結局はほとんど手に負えないことが判明し、新しい戦略が求められました。
ゼロトラストの進化
2003 年、国際標準化グループの Jericho Forum は、今日の ゼロトラスト というセキュリティ思想の基盤を設定するセキュリティ活動に取り組み始めました。Jericho Forum は、当時の緊急の課題であった、Web、SaaS(Software-as-a-Service)アプリケーション、スタッフのモビリティの増加などに取り組み始めました。これらはすべて、企業ネットワークの 脱境界化を急激に加速していました。
Jericho Forum によって提案された行動規範は進歩し、ゼロトラストと呼ばれるようになりました。これはデフォルトで、ネットワークは常に非友好的であり、どのデバイスやユーザーも本質的に信頼できず、階層型に組み合わせたプロセスとテクノロジーが進化することによって、ユーザーとデバイスを入念に検査し、それらが主張するとおりのものであることを保証できることを想定しています。2009 年に Forrester Research のアナリストが「ゼロトラスト」という用語を作りました。
それ以来、ゼロトラストプロセスの適用を支援するテクノロジーが大幅に向上しています。その中には、ネットワークトラフィック、デバイス、およびユーザーの行動を継続的に監視して、内部か外部かを問わず、危険な行動およびマルウェアや悪意のあるアクティビティの兆候をチェックする機能が含まれています。今日、捕捉、保管、および解析できるデバイスとユーザーのアクティビティに関する膨大なデータは、企業のゼロトラストの取り組みに強力な新しい機能をもたらしています。
長年にわたる人工知能(AI)の進化を考えてください。今日では、AI により、ユーザーとデバイスのすべての行動データを、人間の手作業では想像できない速さで自動的に解析できます。たとえば AI は、ユーザーの生体認証、ユーザーの場所、およびユーザーのネットワークとアプリケーションに対する操作(過去の動作およびアクションとの比較)を評価することができます。さらに、ユーザーの典型的な動作から逸脱していることがあれば、それを認識できます。
AI は、まったく新しいマルウェアを、それが試みているアクションに基づいて見つけることもできます。また、何か疑わしい動作を検知した場合、その状況が改善されるまで、または疑わしいユーザーが認証に成功するまで、そのユーザーのアクセスを制限できます。
AI とゼロトラスト
AI によってセキュリティチームは非常に長い時間がかかる手作業から解放される可能性があります。そして、セキュリティアナリストと IT チームは、より高度なタスクに集中できるようになります。ゼロトラストを展開するか、または適切なテクノロジーを利用したゼロトラスト実装を展開する場合、企業セキュリティチームは、これまでより高い信頼度で、これまでより多くのデバイスのセキュリティを保護および監視できます。
ゼロトラストは、仕事場がオフィスだけに留まらないことが当たり前になってきた今日の従業員を、企業が管理できるおそらく唯一の方法です。なぜなら、セキュリティが本当に適切であるためには、企業はそのユーザーとデバイスをそれらの所在と関係なく信頼する必要があるからです。
ゼロトラストがそのような高度なセキュリティ機能を企業とセキュリティチームに提供できるのは素晴らしいことですが、それはエンドユーザーにとって何を意味するのでしょうか。ゼロトラストの取り組みが企業で成功するには、ワークフロー、速度、および生産性に境界を追加するのではなく、ユーザーの日常作業のエクスペリエンスを高める必要があります。次の記事では、ゼロタッチ ゼロトラストの概念を使用して、それに取り組みます。
詳細な洞察については、BlackBerry レポート「 The Inevitable Ascent of Zero Trust 」を参照してください。
