原文のブログはこちらからご覧いただけます。
ゼロトラストの実現に向けた取り組みにおいて、ユーザーペルソナの特定は困難ながら極めて重要な作業です。米国では、国家のサイバーセキュリティ向上に関する 2021 年 5 月 12 日の大統領令をはじめ、最近の動向がゼロトラストの導入に弾みをつけています。
Gartner 社によると、ゼロトラストは 2023 年内にマーケティング上の誇大広告の域を出て、現実のものとなる見込みです。また、同社は最近のレポートで、あらゆる規模の組織がゼロトラストの実現を目指す際に考慮すべき主な要素として、ZTNA(ゼロトラストネットワークアクセス)とネットワークのマイクロセグメンテーションの 2 つを挙げています。
この BlackBerry® ブログのシリーズパート1では、組織にとって実用的な ZTNA のユースケースを特定する方法を解説しました。今回のパート2では、大企業、中堅企業、中小企業、非営利組織が自信を持ってゼロトラストの実現に踏み切るために、ユーザーペルソナをどのように活用できるかをご紹介します。
ZTNA プロジェクトのメリットを維持する方法として特に効果的なのが、ゼロトラストによるビジネストランスフォーメーションに対して人間中心のアプローチを採ることです。そのため、まず初めに各種のユーザーペルソナを特定しておけば、ゼロトラストシステムへの移行のペースを調整し、既存のネットワークアーキテクチャに生じる混乱を最小限に抑えることが容易になります。
サードパーティによるアクセスは、間違いなくデータ侵害の大きな原因の 1 つです。特に、ZTNA の登場によって急速に廃れつつある技術である従来の VPN(仮想プライベートネットワーク)ソリューションは、しばしばその一因となっています。これは、VPN では請負業者やサプライヤーなどのサードパーティのアクセスを十分に制限できないことが多いためです。最小権限アクセス、セグメント化されたアクセス制御、認証と認可を伴うアクセス制御を採用すれば、攻撃対象領域が大幅に削減されるだけでなく、請負業者やサプライヤーが安全なリモートアクセスにより早く順応できるようにもなります。
2023 Black Kite Third-Party Breach Report によると、不正なネットワークアクセスはサードパーティ攻撃の根本原因として最も一般的で、分析対象となったサードパーティ侵害の 40% を引き起こしていました。こうした特定のユースケースに対して境界を定義すれば、ZTNA プロジェクトチームが対象を他のユーザーペルソナに広げる前に、ロールアウトの調整をきめ細かに行えるようになります。
企業のリソースやデータに対する外出先からのアクセスは、現代のモバイルワーカーの大きな力となっています。しかし、VPN や VDI(仮想デスクトップインフラストラクチャ)を介したオフサイトからのリモートアクセスでは、増大するマルウェアの脅威やさまざまなサイバーリスクから、コンピューター、企業ネットワーク、その他のエンドポイントを効果的に保護できない場合があります。エンドポイント保護および XDR(Extended Detection and Response)ソリューションと密に連携する最新の ZTNA ソリューションであれば、こうした防御を強化できます。
さらに、管理対象/管理対象外の健全なデバイスからパブリック、プライベート、および SaaS(Software-as-a-Service)アプリケーションへの安全なリモートアクセスが実現できれば、ユーザーエクスペリエンスが大幅に向上します。ゼロトラストセキュリティの核心は、リモート勤務するハイブリッドワーカーのワークフローに遅延や複雑性をもたらすことなく、継続的なセキュリティを実現することにあります。
分散型の労働環境では、WFH(在宅勤務)や BYOD(個人所有デバイスの持ち込み)の業務モデルをサポートするために、企業全体にわたる接続性が常に必要です。ZTNA ソリューションは、場所に縛られない働き方(在宅勤務者が高速ネットワークを介して SaaS アプリに接続するなど)を実現しながら、帯域幅の問題を排除し、エンドユーザーエクスペリエンスを維持します。
リソースへのプライベートアクセスは、きめ細かな制御とコンテキストに基づいて確立することもできます。これにより、健全なデバイスのみがネットワークインフラと通信していることが保証されます。デジタルトランスフォーメーション、ハイブリッドな展開モデル、そして場所に縛られない働き方と BYOD ポリシーの組み合わせは、NetOps(ネットワーク運用)、SecOps(セキュリティ運用)、ITOps(IT 運用)の統合に貢献し、ひいてはセキュリティを損なうことなく生産性を向上させます。
ゼロトラストネットワークアクセスが持つ最大のメリットの 1 つは、生産性を高めるためにネットワークを統合することなく、変革を伴うイベントのスピードと俊敏性を向上できるという点です。さらに、すべての主要なオペレーティングシステム(Windows®、macOS®、iOS®、Android™)や管理対象外の BYOD デバイスを包括的にサポートするようなコスト効率の良い ZTNA ソリューションは、新たなハードウェアの購入費用を数百万ドル単位で削減できます。このことは、新規事業や買収事業との調整を図り、すべての関係パートナーとの間で統一的、安定的、かつ安全なエクスペリエンスを確立する必要のある組織にとって、極めて重要な考慮事項です。
VPN はネットワークの脆弱性を生み出しやすいため、VPN ベースの一時アクセスの必要性はできる限り排除するのが賢明です。ゼロトラストモデルでは、新たな Active Directory のユーザープロファイルを作成せずに一時アクセスを許可し、限られた時間だけ最小限のアクセス権を付与することでこれを実現します。ZTNA のプレイブックで「一時的なユーザーペルソナ」を定義することで、ゼロトラストアーキテクチャの進化を促進し、サイバーレジリエンスを強化できます。
このブログシリーズの次回作となるパート3では、ZTNA の適用対象となり得る各種のアプリケーションや、優れたユーザーエクスペリエンスを維持しながら攻撃対象領域を徐々に削減するサポートアーキテクチャについて解説します。
.png)
