効果の高いゼロトラスト アーキテクチャーの7つの要素

ゼロトラストはセキュリティが新たな進化を遂げた概念であり、ハブ＆スポーク ネットワークの保護のために「城と堀」のセキュリティ モデルに依存する必要性を解消するものです。真のゼロトラスト アーキテクチャーは、ユーザー、ワークロード、デバイスを、アクセスが認証されたアプリに対してのみ、いかなるネットワークや場所からでも接続できます。そしてその際、通信開始者や接続先のアプリを、発見、悪用される可能性があるルーティング可能なネットワークには配置しません。

ユーザーやデバイス、IoT/OTデバイス、ワークロードから接続のリクエストが開始されると、基盤となるネットワークに関係なく、ゼロトラスト アーキテクチャーは最初に接続を終了させます。そして、「誰が、何を、どこで」リクエストしたかを理解することでアイデンティティーとコンテキストを検証します。

1. 接続元を確認します。最初の要素は、企業のアイデンティティーおよびアクセス管理(IAM)プロバイダーの一部として、サードパーティーのアイデンティティー プロバイダー(IdP)との統合を通じてユーザー、デバイス、IoT/OTデバイス、ワークロードのアイデンティティーを検証します。

2. 属性を確認します。この要素は役職や職責、リクエストの時間、場所、リクエストの状況などの属性を調べながら、接続リクエスト元の特性を検証します。このプロファイル データは、IdPやサードパーティー統合など複数のソースから収集されます。

3. 接続先を確認します。この要素は検証されたアイデンティティーの所有者がセグメンテーション ルールに基づいて、リクエストされたアプリケーションまたはリソースにアクセスするための権限があること、必要なコンテキストを満たしていることを確認します。このエンティティーとリソース間のセグメンテーションがゼロトラストの基礎となります。

リクエスト元となるエンティティーのアイデンティティーとコンテキストが検証され、セグメンテーション ルールが適用されると、ゼロトラスト アーキテクチャーは接続リクエストに関連するリスクを評価します。同時に、トラフィックも検査し、サイバー脅威や機密データの有無を確認します。

4. コンテキストを使用してリスクを評価します。この要素では、デバイス ポスチャー、脅威、宛先、振る舞い、ポリシーなどの要素に基づき、AIを活用してユーザー、デバイス、IoT/OTデバイス、ワークロードのリスク スコアを動的に計算します。

5. 侵入を防止します。この要素はエンティティーとリソース間のトラフィックの復号と詳細なコンテンツ検査を実施して、悪意のあるコンテンツを特定してブロックします。

6. 情報漏洩を防止します。この要素もエンティティーとリソース間のトラフィックの復号と詳細なコンテンツ検査を実施して機密データを特定し、インライン制御や制御された環境内でのアクセス分離で情報漏洩を阻止します。

アイデンティティーとコンテキストを検証し、リスクを制御した後、ポリシーを施行してから最終的に社内外のアプリケーションへの接続を確立します。

7. ポリシーを施行します。この要素は前の要素からのアウトプットを使用して、リクエストされた接続に実行するアクションを決定します。このアクションにはさまざまな種類がありますが、最終的には条件付きの許可または条件付きのブロックいずれかとなります。

「許可」の決定が下されたら、インターネットやSaaSアプリ、または内部アプリケーションへの安全な接続が確立されます。内部アプリケーションの場合、暗号化されたアウトバウンド専用トンネルで接続が確立されるため、攻撃対象領域が排除されます。