Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読するゼロトラストへの道のりを描く
デジタル トランスフォーメーションはいわば旅のようなものであり、冒険と同様に少しの準備が成功への鍵となります。どんな冒険においても、目的地とそこまでの最適なルートを決定し、その道中に必要となる装備、サービス、物資を事前に準備することが重要です。
ITトランスフォーメーションの道のりは、通常、アプリケーションをデータ センターからクラウドに移行する「アプリケーション トランスフォーメーション」から始まります。そして、ハブ&スポークのネットワーク アーキテクチャーから直接接続のアプローチに移行して、広範囲に分散したアプリケーションへユーザーがアクセスできるようにする「ネットワーク トランスフォーメーション」、城と堀のセキュリティ アプローチからゼロトラスト アーキテクチャーへ移行する「セキュリティ トランスフォーメーション」が続きます。これが一般的な順番になりますが、唯一の方法というわけではありません。ゼロトラストは、最も得意なエリアや準備が整っている所から始めることができます。アプリ トランスフォーメーションの前にセキュリティ トランスフォーメーションを始めることが組織にとって意義があるのであれば、それが最善の方法と言えるでしょう。
自分の装備を見直す
ファイアウォール、VPN、セキュリティ アプライアンスの中央集中型スタックを活用した城と堀のセキュリティ アーキテクチャーは、アプリケーションがデータ センター内に存在し、ユーザーがオフィスで働く時代には十分に役割を果たしていました。しかし、場所を問わない働き方が急速に普及し、アプリケーションがデータ センターからパブリック クラウドやSaaS、インターネットに移行しつつある今、これまでのファイアウォールやVPN、そしてセキュリティ ハードウェア スタックでは、現代の分散化したビジネス ニーズに対応できなくなってきています。
アプリケーションにアクセスするには、VPNやファイアウォールでユーザーをネットワークに接続し、本質的にネットワークをすべてのリモート ユーザー、デバイス、場所に拡張する必要があります。これは、組織のユーザー、デバイス、ワークロードが攻撃者に侵害されるリスクが高まることを意味します。攻撃者は水平移動で価値の高い資産にたどり着き、機密データを抽出し、組織はより大きなリスクを負うことになります。さまざまな場所に分散したユーザー、データ、アプリケーションを保護するには、新しいアプローチが必要となるのです。
最適なルートを探索する
セキュリティ トランスフォーメーションを実現する場合、革新的なリーダーはゼロトラストに焦点をあてます。ファイアウォールと「暗黙の信頼」に依拠し、いったん信頼が確立されると幅広いアクセスを提供する境界線ベースのセキュリティ アプローチとは異なり、ゼロトラストは、最小特権アクセスの原則とすべてのユーザー、デバイス、ワークロードは本質的に信頼されるべきではないという考え方に基づいたセキュリティへの総合的なアプローチです。すべてが敵対的であるという仮定から始まるゼロトラストは、アイデンティティーとコンテキストが検証され、ポリシーが施行された後にのみアクセス権を付与します。
ファイアウォールをクラウドに移行するだけでは、真のゼロトラストを実現することはできません。真のゼロトラストには、クラウドで生まれ、クラウドを通じてネイティブに提供され、ユーザー、デバイス、ワークロードをネットワークに接続することなくアプリケーションに安全に接続する新しいアーキテクチャーが不可欠です。先進的な企業はZscaler Zero Trust Exchangeを利用して、真のゼロトラストへの道を歩んでいます。
ゼロトラストへの旅に出る:出発前に考慮すべき7つの重要な要素
これはゼロトラストへの旅に限ったことではありませんが、最終的な目的地を念頭に置きながら、そこまでの経路を明確に定義するさまざまな行程に分けることが重要です。Zero Trust Exchange独自のアプローチが、7つの要素を駆使してリスクを動的かつ継続的に評価し、あらゆる場所やネットワークを介した通信を安全に仲介します。
これらの7つの要素を使用することで、攻撃対象領域の排除、脅威のラテラル ムーブメントの防止、侵害やデータ流出からのビジネスの保護が可能になり、真のゼロトラストを実装できます。
7つの要素は、以下の3つのセクションにグループ分けすることができます。
- アイデンティティーとコンテキストの検証
- コンテンツとアクセスの制御
- ポリシーの施行
その詳細を解説します。
アイデンティティーとコンテキストの検証
新しい冒険は、接続がリクエストされたときに始まります。ゼロトラスト アーキテクチャーは接続を終了して、アイデンティティーとコンテキストを検証します。そして、接続のリクエスト元が誰か、何か、どこからかを調べます。
1. 接続元の確認 – 最初の要素は、ユーザー/デバイス、IoT/OTデバイス、ワークロードのアイデンティティーを検証します。これは、企業のアイデンティティー アクセス管理(IAM)プロバイダーの一部として、サードパーティーのアイデンティティー プロバイダー(IdP)と統合することで可能になります。
2. アクセスをリクエストしているコンテキストの検証 – 次に、接続のリクエスト元の役割、職務、リクエストの時間、場所、デバイスの種類、状況などの属性を確認し、コンテキストを検証します。
3. 接続先の確認 – Zero Trust Exchangeが、ゼロトラストの基礎であるエンティティーとリソース間のセグメンテーション ルールに基づいて、アイデンティティーの所有者に適切な権限があること、アプリケーションまたはリソースへのアクセスに必要なコンテキストを満たしていることを確認します。
コンテンツとアクセスの制御
アイデンティティーとコンテキストの検証が完了すると、ゼロトラスト アーキテクチャーは、接続リクエストに関連するリスクを評価し、サイバー脅威や機密データの流出から保護するためにトラフィックを検査します。
4. リスクの評価 - Zero Trust ExchangeがAIを活用して、動的にリスク スコアを計算します。デバイス態勢、脅威、宛先、挙動、ポリシーを含めた要因は、接続の有効期間を通じて継続的に評価され、リスク スコアを最新の状態に保ちます。
5. 侵害の防止 – 悪意のあるコンテンツを特定、ブロックし、侵害を防止するために、Zero Trust Exchangeがトラフィックをインラインで復号化し、エンティティーからリソースへのトラフィックを大規模かつ詳細に検査します。
6. データ流出の防止 – 機密データを特定するためにアウトバウンド トラフィックを復号化して検査し、インライン制御や制御環境内でのアクセス分離でデータの流出を防止します。
ポリシーの施行
目的地に到着する前に、最後の要素となるポリシーの施行を実施して、リクエストされた社内外のアプリケーションへの接続を確立します。
7. ポリシーの施行 - この要素は前の要素からのアウトプットを使用して、リクエストされた接続に対してどのような対策を講じるかを決定します。リクエストを許可するかどうかを決めることが最終目標ではありません。Zero Trust Exchangeは、場所や施行ポイントに関係なく、常にセッション単位で均一にポリシーを施行し、最終的に条件付き許可または条件付きブロックを決定するきめ細かい制御を提供します。
許可の決定が確定すると、Zero Trust ExchangeがインターネットやSaaSアプリ、または内部アプリケーションへの安全な接続を確立します。
安全に目的地に到着する
旧式の不十分な装備でゼロトラストの旅を無理に進めようとすると、思わぬリスクが生じてしまう可能性もあります。真のゼロトラストを実現するソリューションを見つけることは、一見困難なように思えるかもしれません。しかし、上記の7つの要素を道しるべに、組織が最善と考える場所から始めることで成功への道が開けます。Zscaler Zero Trust Exchangeのような真のクラウド ネイティブなゼロトラスト プラットフォームだけが、これらの要素を独自に適用して、攻撃対象領域の排除、脅威のラテラル ムーブメントの防止、サイバー脅威やデータ流出からのビジネスの保護を実現します。そして、場所やネットワークを問わず、ユーザー、デバイス、ワークロードをアプリケーションに安全に接続します。
各要素の技術、要件、アーキテクチャーに関する考慮事項などの詳細は、無料のeBook「ゼロトラスト アーキテクチャーを成功させる7つの要素」でご確認いただけます。また、ゼロトラストの7つの要素を紹介するWebページもあわせてご覧ください。