ゼロトラストネットワークアクセスを実現する 5 つのステップ:最初のユースケースの作成
原文のブログはこちらからご覧いただけます。
概念としてのゼロトラストは非常に長い間議論されてきましたが、米国における最近のいくつかの動向(2021 年の国家のサイバーセキュリティ向上に関する大統領令など)がゼロトラスト導入に弾みをつけています。
Gartner 社によると、ゼロトラストは今年、マーケティングの誇大宣伝から現実的な計画へと移行しつつあります。Gartner 社はさらに、ZTNA (zero trust network access)およびネットワークマイクロセグメンテーションの2つが、あらゆる規模の組織にとってゼロトラストの取り組みを始めるのに適したプロジェクトであることを示唆しました。
ゼロトラスト実装のステップ
このブログ連載では、大企業、中堅企業、SMB (中小企業)、および非営利組織が、5 つのステップを通じてゼロトラストの取り組みを自信をもって開始し、最初の ZTNA プロジェクトで以下の活動を行う方法について説明します。
1. 実践的な ZTNA のユースケースを特定します。組織のニーズにぴったりと合うユースケースの特定から始めることが最適です。パート 1では、成功への正しい道を進むためのゼロトラストプロジェクトを選択することからスタートを切る方法について詳しく説明します。
2. ZTNA の初期ロールアウトで採用するユーザーペルソナを決定します。変革を成功させるには、前提条件として、まずエンドユーザーとビジネス要件について深く理解する必要があります。一度に一つずつのユーザーペルソナを中心とした段階的なロールアウトの実施は、円滑なロールアウトの実現に大きく貢献します。パート2 では、ゼロトラストアーキテクチャへの移行を管理するのに役立つ数種類のユーザーペルソナについて説明します。
3. ZTNA で保護する関連アプリケーションを特定します。ゼロトラスト体験の魅力を特徴付けるのは、完璧な統合とアイデンティティ管理によるアプリケーションへの安全なアクセスです。パート3では、ZTNA で保護できるさまざまな種類のアプリケーションについて説明します。また、優れたユーザーエクスペリエンスを維持しながら攻撃対象領域を段階的に減らすサポートアーキテクチャについて説明します。
4. ユーザーアプリケーションのマイクロセグメンテーションのためのアクセス制御リストポリシーを定義します。ゼロトラスト変革の最終目標は、アイデンティティ認識型のセグメント化されたアクセス制御を行うことです。このようなアクセス制御は、継続的な認証と承認を通じ、組織のリスク体制に基づいた動的な変更が可能です。パート 4では、サイバーレジリエンスを大幅に向上させる ACL (アクセス制御リスト)ポリシーの実装について説明します。
5. 継続的に導入をサポートします。上記の 4 つのステップにより、企業は全ユーザーに対する ZTNA の全社的なロールアウトの準備ができます。このブログ連載の最終回では、初期導入した後の ZTNA の維持とサポートに役立つ組織の検討事項について説明します。
ゼロトラストネットワークアクセスのユースケース例
上述したように、企業のゼロトラストネットワークアクセスの取り組みにおける最初のステップでは、実践的なユースケースを特定する必要があります。ここでは、ZTNA がメリットをもたらし得る実際のシナリオ4例を示します。
ユースケース #1:仮想プライベートネットワークの置き換え
ZTNA ソリューションは、欠点を露呈することの多いレガシー VPN (仮想プライベートネットワーク)を置き換えるのに理想的な選択肢です。デジタルトランスフォーメーション、クラウドトランスフォーメーション、さらにリモートワーク構造やハイブリッドワーク構造の採用はすべて、VPN は時代遅れであるという明確なメッセージを打ち出しています。それを裏付ける証拠として、FBI の勧告によると、ランサムウェア攻撃は保護されていない VPN サーバーを狙っていることが多く、その発生頻度は 2022 年 6 月以降増加の一途をたどっています。しかし、ゼロトラストの基本的な考え方に従いZTNA ソリューションを導入している組織は、そのような攻撃を大幅に軽減できます。
ユースケース #2:ネットワーク保護
ZTNA ソリューションは、内部ネットワークアーキテクチャの強化にも役立ちます。攻撃対象領域を減らすことにより、境界のないネットワークセキュリティと保護を実現するために、ゼロトラスト対策を採用する企業が増えています。デフォルトまたはワンタイム認証によってエンティティを信頼するのではなく、ユーザーは現在のセキュリティ体制の確認を通じて継続的に精査されます。ネットワーク上のいかなるデバイスも自動的に「信頼できる」と見なされることはありません。デバイスが社員に属するか、請負業者や代理店などその他の社内外のユーザーに属するかに関わらず、またこれらのユーザーがアクセスするあらゆるネットワーク、アプリケーション、およびデバイスも同様です。
ユースケース #3:脅威検知
IDS/IPS (侵入検知システム/侵入防止システム)ルール、宛先レピュテーション、コンテンツフィルタリング、および機械学習モデルを活用した組み込みの脅威予防を含む ZTNA ソリューションは、多くのゼロデイ攻撃を阻止できます。ZTNA が対処する一般的なサイバー脅威活動には、ランサムウェア、ソーシャルエンジニアリング、C2 (コマンドアンドコントロール)ビーコン、DDoS (分散型サービス妨害)、フィッシング、悪意あるドメインの検知などがあります。
ユースケース #4:ネットワークの可視化
ZTNA ソリューションは、セキュリティとネットワークの運用イベントに対する洞察を提供し、インテリジェンスを分類して、シャドー IT を排除します。また、最新のコラボレーションエコシステムの実現要因にもなります。SaaS (Software-as-a-Service)アプリケーションへの条件付きアクセスと組み合わせた場合は、データ、アプリケーション、およびユーザーの安全を確保しながら、デジタルビジネスの変革を促進します。
今後の展開
近日公開されるこのブログ連載のパート 2では、既存のネットワークアーキテクチャへの影響を最小限に抑えるためのユーザーペルソナの採用を皮切りに、組織で ZTNA ソリューションをロールアウトする場合の実践的なヒントについて説明します。