ゼロトラスト ゼロトラストとは
ゼロトラストは、今日の組織におけるセキュリティ要件の変化に適切に対応できるように設計された、新しいサイバーセキュリティのモデルです。ゼロトラストフレームワークでは、セキュリティポスチャを強化し、ネットワーク全体でのラテラルムーブメントを制限し、データ侵害を防ぐことができます。
- ゼロトラストの説明
- ゼロトラストの仕組み
- ゼロトラストと境界ベースのセキュリティの違い
- ゼロトラストの3つの主要概念
- ゼロトラストのメリット
- ゼロトラストを導入する方法
- ゼロトラストとSASEの違い
- HPEがゼロトラストアーキテクチャーの実現を支援
ゼロトラストの説明
ゼロトラストは、本質的に信頼できるデバイス、ユーザー、ネットワークセグメントは一切存在せず、すべてを潜在的脅威として扱う必要があると考えるセキュリティモデルです。
- セキュリティの脅威はネットワークの内側にも外側にも存在します。
- ネットワーク上のリソースにアクセスするすべてのデバイスとユーザーが、認証と認可を受ける必要があります。
- デフォルトでは、すべてのユーザー、デバイスを一切信頼しません。
ゼロトラストの仕組み
今日の企業は、ユーザーやデバイスが遠隔地にあり、従来の境界防御ではすべての脅威を排除できなくなっており、セキュリティを強化するために、常に確認する厳格なセキュリティモデルを導入する必要があります。ネットワークにアクセスする前に、すべてのデバイスとユーザーを識別して認証し、必要最小限のアクセス権を付与したうえで、継続的に監視する必要があります。
ゼロトラストと境界ベースのセキュリティの違い
従来の境界を重視するセキュリティ手法とは異なり、最新のゼロトラストセキュリティアーキテクチャーは信頼を脆弱性ととらえます。ユーザーが感染している可能性があるため、接続方法や接続場所に関係なく、すべてのユーザーまたはデバイスがデフォルトでは信頼できないものとみなされます。ネットワーク全体をとおしてIDとデバイスの証明および認証が求められます。ネットワーク上のすべてのコンポーネントが単独で自身の信頼性を確立し、従来のポイントセキュリティ機能を含め、交信する別のコンポーネントに認証してもらう必要があります。
ゼロトラストの3つの主要概念
- 包括的な可視性: アクティブ/パッシブ検出により、ネットワーク上のすべてのユーザーとデバイスが完全に可視化され、制御の実装に役立ちます。
- 最小権限アクセス: 定義済みのアクセス制御ポリシーにより、ユーザーまたはデバイスが職務を遂行したり機能を実行したりするうえで必要なリソースにのみアクセスが許可され、不要な他のリソースからは分離されます。
- 継続的な監視と適用: ユーザーとデバイスの継続的な監視と動的なポリシー適用により、脅威やマルウェアに関連するリスクが大幅に軽減されます。
HPE Aruba NetworkingのSecurity-first, AI-powered networkingは、本質的にはすべての接続ポイントでゼロトラストの原則を有効化し、可視性、制御、適用を含む包括的な機能セットを提供して、分散型かつIoT主導のネットワークインフラストラクチャの要件に対応します。
ゼロトラストのメリット
モビリティ、IoT、在宅勤務の普及に伴い、ネットワークセキュリティの確保がますます困難になっています。ゼロトラストなら、可視性、制御、適用を強化し、分散型かつIoT主導のネットワークインフラストラクチャのセキュリティ要件に対応できます。
- 脆弱なIoTデバイスに関連するセキュリティリスクにさらされにくくなります。
- 従来の境界型セキュリティ制御では排除できない、高度な脅威のリスクを軽減できます。
- 攻撃者や感染したデバイスのラテラルムーブメントに伴う被害が軽減されます。
- 接続しているユーザーやデバイス、また接続場所を問わず、より包括的なセキュリティ対策を実行できます。
- マイクロセグメンテーションなどの最小権限アクセスをサポートするベストプラクティスを適用できます。
ゼロトラストを導入する方法
ゼロ トラストアーキテクチャーは、認証、認可、継続的なリスク管理に重点を置いています。導入の手順は次のとおりです。
1. ネットワークに接続されているすべてのデバイスを検出してプロファイリングすることで、ネットワークの死角をなくします。
2. 802.1Xベースの認証技術やIoTデバイス向けの新しいソリューションを使用して、アクセスを許可する前にアイデンティティを確認します。
3. エンドポイントの構成をコンプライアンス基準と比較し、必要に応じて修正を行います。
4. アイデンティティベースのポリシーに基づいてトラフィックを区分し、ITリソースへの最小権限アクセスを確立します。
5. ユーザーとデバイスのセキュリティ状態を継続的に監視し、セキュリティエコシステム内の他の要素と双方向通信を行います。侵害や攻撃が発生した場合にユーザーまたはデバイスのアクセス権を取り消すポリシーを確立します。
ゼロトラストとSASEの違い
従業員のリモート勤務や分散化が進み、組織の攻撃対象領域が広がるなかでも、ゼロトラストとSecure Access Service Edge (SASE、「サシー」と読む) の2つのアプローチによってセキュリティを強化できます。
SASEは、エッジでセキュアなアクセスを提供するために必要となる要素を定義し、SD-WAN、ルーティング、WAN最適化などの包括的なワイドエリアネットワーク (WAN) 機能に、SWG、CASB、ZTNAなどのクラウド提供型セキュリティサービスを組み合わせています。SASEソリューションは、機密データの特定に加え、リスクレベルと信頼レベルを継続的に監視してコンテンツを暗号化/復号化できなくてはなりません。このアプローチは、複数のリモート/ブランチオフィス、IoT/エッジ環境がある組織や、従業員の分散化が進んでいる組織に特に役立ちます。
ゼロトラストは、暗黙の信頼という概念を排除し、代わりに継続的に監視されるアイデンティティベースの認証と認可に基づいて最小権限アクセスを適用することで、企業全体のセキュリティリスクを軽減することを目指すモデルであり、考え方です。これには、セキュアなアクセスだけでなく、企業を襲うサイバー脅威の監視、データガバナンスおよびコンプライアンスの要件、ネットワーク環境の保守まで含まれます。
ゼロトラストとSASEには、重複する基本原理があります。SASEソリューションを導入すれば、包括的なゼロトラストセキュリティアーキテクチャーの実現に一歩近づいたことになります。
HPEがゼロトラストアーキテクチャーの実現を支援
Project Auroraは、エッジからクラウドまでカバーするHPEのゼロトラストセキュリティアーキテクチャーであり、今日の極めて高度なマルウェア攻撃のいくつかからお客様を保護します。HPEのSilicon Root of Trustをベースに構築したProject Auroraは、対象が有効化またはリリースされて実行される前に対処し、ランタイム中は継続的にこれを繰り返します。
Project Auroraはポイントソリューションとは異なり、シリコンレベルから始まる新しい組み込みの統合セキュリティソリューションで、エッジからクラウドまでエンドツーエンドのセキュリティに対応します。設計時から組み込まれたセキュリティテクノロジーと、検証と認証の自動化を組み合わせ、シリコンという最下層の基盤から始まる多層防御を確立しています。
Project Auroraで、シリコンからワークロードまでセキュアな信頼の鎖全体にセキュリティを組み込むことで、組織は自身の分散ソフトウェアシステムに大きな信頼を寄せ、アジリティと柔軟性を向上させて、独自のソリューションをコスト効率良く市場に投入できるようになります。
Project Auroraは、HPE GreenLakeとその他のHPE製品全体にわたってさらにゼロトラストサービスを提供するための基盤を築きます。まずは、ハードウェア、ファームウェア、オペレーティングシステム、プラットフォーム、ワークロード (セキュリティベンダーのワークロードも含む) の完全性を自動的かつ継続的に検証できるよう、HPE GreenLake Lighthouseに組み込まれます。またこれは、貴重な企業データと知的財産の損失や不正な暗号化 (および破損) を最小限に抑えるのにも役立ちます。
将来は、HPE GreenLakeクラウドサービスにProject Auroraが組み込まれ、プラットフォームに依存せずにエッジからクラウドまで分散されたゼロトラストアーキテクチャーを定義、作成、展開できるようになります。
