ゼロ・トラストセキュリティ:エンドポイントに備える方法
2023/2/8 - 読み終える時間: 3 分
Zero Trust Security: How To Get Your Endpoints Ready の翻訳版です。
ゼロ・トラストセキュリティ:エンドポイントに備える方法
2023年2月6日
著者: Dan Wolff / Director of Solutions and Product Marketing for BigFix
Log4Jの脆弱性を悪用した攻撃は、悪意のある行為者が組織を侵害する新しい方法を素早く見つけ出すことを物語っています。この傾向は数年前から強まっており、組織は従来の境界ベースのアプローチでは不可能なほど迅速に脅威を検知し、対応する必要があることが明らかです。このため、政府機関や民間企業は、ゼロ・トラスト・セキュリティへのパラダイムシフトを受け入れています。
ゼロ・トラストとは、「決して信用せず、常に検証する」という考え方で、あらゆるセクターで実践が進んでいます。2022年には、調査対象の組織の41%がゼロ・トラスト・セキュリティを導入していると回答しており、前年は35%でした。1 ゼロ・トラスト・アーキテクチャに移行する新しい指令は連邦政府機関に特有のものですが、民間企業もこのアプローチを自社のサイバーセキュリティ戦略に組み込むことを強く検討すべきです。ゼロトラスト・ポリシーは、HIPAAやGDPRなど他のさまざまな指令へのコンプライアンスを確保するだけでなく、全体的なセキュリティ強化にも役立ちます。
ゼロ・トラスト・アーキテクチャの中核概念
ゼロ・トラスト・セキュリティの大前提は、いかなるデバイス、ID、接続要求も暗黙のうちに信頼してはならないということです。Zero Trustアーキテクチャの実装方法はさまざまですが、2022年に米国国立標準技術研究所(NIST)が7つの基本的な考え方を示しています。
-
すべてを包含するリソース
ネットワークに接続するエンドポイントなどの従来のシステムだけでなく、動的なクラウドコンピューティングサービスなどのリソースも含めて、すべてのデータソースとコンピューティングサービスをZero Trustのリソースと見なします。
-
安全な通信
接続要求が境界の内側から来るからといって、それを信用することはできません。場所に関係なく、すべてのリクエストは同じ認証要件を満たす必要があります。
-
セッションベースのアクセス
リソースへのアクセスが許可される前に、毎回信頼を確立する必要があります。つまり、信頼は1つのセッションに対してのみ有効であることを意味します。
-
属性ベースのポリシー実施
行動、場所、環境などの属性に基づいてポリシーを設定する必要があり、これらの動的なポリシーはリソースへのアクセスを決定するために使用されます。
-
資産の完全性とセキュリティ状態の監視と測定
接続要求を評価する際には、まず資産のセキュリティ・ポスチャーを評価する必要があります。そのためには、エンドポイントやその他のシステムに対する堅牢な監視・報告システムが必要です。
-
動的な認証と承認
今日のダイナミックな環境では、信頼性の再評価とアクセス権の付与は継続的なプロセスです。
-
データ収集
デバイスの状態、ネットワークトラフィック、アクセス要求など、ネットワークと通信の状態に関するデータを収集し、その情報を使用してセキュリティ体制を継続的に改善する必要があります。
資産の状態の監視
NISTが提唱する「所有するすべての資産と関連する資産のポスチャーを測定する」という考え方に従うには、継続的な診断と監視(CDM)を行うシステムを導入する必要があります。このシステムにより、脆弱性があるエンドポイント、危険にさらされているエンドポイント、または企業によって管理されていないエンドポイントをプロアクティブに発見し、リソースへのアクセスを別扱いして脆弱性を迅速に軽減することができます。
適切なエンドポイント・ソリューションは、次のような機能を提供する必要があります。
- すべてのエンドポイントに可視性を提供
- 資産、ネットワークインフラ、通信の現状に関するデータの自動収集
- 設定とソフトウェア・コンポーネントのアップデートを適用
- 内部デバイスと外部デバイスを区別しながら、アクセスポリシーを即座に変更し、エンドポイントをクローズする
- 悪意のある攻撃者に悪用される前に脆弱性を閉鎖
- 業界特有の規制やポリシー要件の遵守を維持するためのデータ報告
Log4J の例を考えてみましょう。ゼロデイ脆弱性が報告されてから数日以内に、中国国家に支援された攻撃者やその他のハッカーが84万件以上の攻撃を開始したとメディアは報じています。BigFixは、Log4JというJavaのロギングライブラリを使用してサービスのメタデータを直接操作することで、24時間以内にこの攻撃を無効化する方法を提供し、影響を受けるアプリケーションにパッチを迅速に提供しました。これは、エンドポイントを可視化し、適切なエンドポイント・セキュリティ管理ソフトウェアで継続的に監視することで、より強固なゼロ・トラスト・アーキテクチャを実装できることを示す一例に過ぎません。
ゼロ・トラストの原則の導入
NISTは、ゼロ・トラストの考え方を「理想的な目標」と表現していますが、自社の戦略によっては、それぞれの考え方を完全に実行することはできません。ゼロトラストは、「オール・オア・ナッシング」のアプローチではありません。ほとんどの組織は、この原則を段階的に、また、いくつかの技術更新サイクルの中で実施しています。
とはいえ、デバイスを識別して管理する能力は、Zero Trustアーキテクチャの実装を成功させるために不可欠です。NISTの説明によると、単に資産をカタログ化するだけでは不十分で、デバイスの状態を観察し、構成を監視・管理し、アクセス要求を許可する前にリスク(脆弱性など)を特定するためのプロセスが必要です。これらのことをシームレスに、効果的に、理想的には1つのツールで行うことができるソリューションを導入することが、ゼロ・トラストの取り組みを開始する良いきっかけになります。
ゼロ・トラストを利用してセキュリティ・コンプライアンスを達成する方法についてもっと知りたいですか?
ビデオをご覧になり、電子ブックをダウンロードしてください。