ゼロ・トラスト・セキュリティ:エンドポイントを準備する方法
2023/6/16 - 読み終える時間: 2 分
Zero Trust Security: How to Get Your Endpoints Ready の翻訳版です。
ゼロ・トラスト・セキュリティ:エンドポイントを準備する方法
2023年6月15日
著者: Cyril Englert / Solution Architect
Log4Jの脆弱性を悪用した攻撃は、悪意ある行為者が組織を侵害する新しい方法を見つけるために迅速に行動することを物語っています。この傾向は数年前から強まっており、組織は従来の境界ベースのアプローチでは不可能なほど迅速に脅威を検知して対応する必要があります。そのため、政府も民間もゼロトラスト・セキュリティへのパラダイムシフトを受け入れています。
ゼロ・トラストとは、「決して信用せず、常に検証する」という考え方で、あらゆるセクターで実践が進行
2022年には、調査対象組織の41%がZero Trustセキュリティを導入していると回答し、前年の35%から増加しました *1。
Zero Trustアーキテクチャへの移行が新たに義務付けられたのは連邦政府機関に限られますが、民間企業もこのアプローチをサイバーセキュリティ戦略に組み込むことを検討する必要があります。ゼロ・トラスト・ポリシーは、HIPAAやGDPRなど他のさまざまな指令へのコンプライアンスを確保するだけでなく、全体的なセキュリティ強化にも役立ちます。
ゼロ・トラスト・アーキテクチャの基本的な考え方
ゼロトラスト・セキュリティの基本的な前提は、いかなるデバイス、ID、接続要求も暗黙のうちに信頼されるべきではないということです。Zero Trustアーキテクチャの実装方法は様々ですが、2022年に米国国立標準技術研究所(NIST)は7つの基本的なテネットを提示しています:
- すべてのリソースを網羅する: ネットワークに接続するエンドポイントのような従来のシステムだけでなく、動的なクラウドコンピューティングサービスのようなリソースも含めて、すべてのデータソースとコンピューティングサービスをZero Trustはリソースとみなします。
- 安全な通信: 接続要求が境界の内側から来るからといって、それを信用することはできません。場所に関係なく、すべてのリクエストは同じ認証要件を満たす必要があります。
- セッションベースのアクセス: リソースへのアクセスが許可される前に、毎回信頼を確立する必要があります。つまり、信頼は1つのセッションでのみ有効です。
- 属性に基づくポリシー実施: 行動、場所、環境などの属性に基づいてポリシーを設定する必要があり、これらのポリシーによってリソースへのアクセスを決定する。
- 資産の完全性とセキュリティ態勢の監視と測定: 接続要求を評価する場合、まず資産のセキュリティ姿勢を評価する必要があります。そのためには、エンドポイントやその他のシステムに対するモニタリングとレポートシステムが必要です。
- 動的な認証と認可: 今日の環境では、信頼の再評価とアクセス権の付与は継続的なプロセスです。
- データ収集: デバイスの状態、ネットワークトラフィック、アクセス要求など、ネットワークと通信の状態に関するデータを収集し、その情報を利用してセキュリティ態勢を継続的に改善する必要があります。
資産の状態を監視する
NISTが提唱する「所有するすべての資産と関連する資産の姿勢を測定する」という考え方に従うには、継続的な診断と監視(CDM)のためのシステムを導入する必要があります。このシステムにより、脆弱性を持つエンドポイント、侵害されているエンドポイント、企業によって管理されていないエンドポイントをプロアクティブに発見し、リソースへのアクセスを別扱いにしたり、脆弱性を迅速に緩和したりすることで、エンドポイントを保護できます。
適切なエンドポイントソリューションは、以下のような機能を提供する必要があります:
- すべてのエンドポイントを可視化する
- 資産、ネットワークインフラ、通信の現状に関するデータを自動的に収集します
- 設定やソフトウェアコンポーネントのアップデートの適用
- アクセスポリシーの変更とエンドポイントの閉鎖を即座に行い、内部デバイスと外部デバイスを区別する
- 攻撃時に悪意者が脆弱性を悪用する前に、脆弱性を塞ぎます
- 業界特有の規制やポリシー要件への準拠を維持するためのデータ報告
Log4Jの例を考えてみましょう。ゼロデイ脆弱性が報告されてから数日以内に、中国国家に支援された攻撃者やその他のハッカーが84万件以上の攻撃を開始したとメディアは報じています。BigFixは、Log4JというJavaのロギングライブラリを使用してサービスのメタデータを直接操作することで、24時間以内に悪用を無効にする方法を提供し、影響を受けるアプリのパッチを迅速に展開しました。
これは、エンドポイントを可視化し、適切なエンドポイントセキュリティ管理ソフトウェアで継続的に監視することで、より強固なゼロトラストアーキテクチャを実装できることを示す一例です。
ゼロ・トラスト・テネットの実装
NISTは、ゼロ・トラストの考え方を「理想的な目標」と表現していますが、自社の戦略によっては、それぞれの考え方を完全に実施することはできません。ゼロ・トラストは、「オール・オア・ナッシング」のアプローチではありません。ほとんどの組織は、この原則を段階的に、また数回の技術更新サイクルの中で実施しています。
とはいえ、ゼロ・トラスト・アーキテクチャの実装を成功させるには、デバイスを識別して管理する能力が不可欠です。NISTの説明によると、単に資産をカタログ化するだけでは不十分で、デバイスの状態を観察し、構成を監視・管理し、アクセス要求を許可する前に(脆弱性などの)リスクを特定するプロセスが必要です。これらのことをシームレスに、効果的に、理想的には1つのツールで行うことができるソリューションを導入することが、ゼロトラストの旅を始める良いきっかけになります。
2022年1月、バイデン政権は、重要な連邦政府機関を守るために大胆な変化と重要な投資を求める大統領令EO14028を発表しました。NISTは、ゼロ・トラスト・アーキテクチャへの道筋を規定した800.207文書を発表しました。
1 IBM, Cost of a Data Breach Report 2022
ゼロ・トラストへの準備はどの程度できていますか?こちら で 4分間の無料セルフアセスメントをご利用ください。
もっと詳しく知りたい方は、ビデオをご覧ください。