ゼロトラストセキュリティにおける4つの信頼の範囲【日本語翻訳】
本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本初の代理店である株式会社電巧社が許諾を得て日本語に翻訳・掲載しています。
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。
記事下の最終更新日をご参考ください
境界線が不明瞭になり、マルチクラウドやハイブリッドクラウド環境が一般的になる中、企業はネットワーク内でも信頼は暗黙の了解ではありえないことに気付き始めています。
この認識は、世界中のCIOやCISOがゼロトラストの原則をサイバーセキュリティ戦略に採用し始めた主要な理由の一つです。
しかし、ゼロトラストをセキュリティフレームワークに実装する前に、信頼とそのさまざまな範囲についてより深く理解する必要があります。
なぜなら、信頼はこのモデルの中核にあるからです
4つの異なる信頼の範囲
従来のセキュリティモデルでは、信頼は主に静的要素として扱われています。
企業の敷地内にデバイスが存在する場合、他のサーバーに接続するためのアクセスが提供されます。
同様に、ユーザーがログインすると、ログアウトするまで企業のデータへのアクセスが提供されます。
しかし、ゼロトラストセキュリティモデルでは、信頼はもはや静的なものではないと述べています。
信頼は、次の要因に基づいて変更されるべきです:誰が何(リソース/データ)にアクセスしようとしているか、どの場所から、どのデバイスを使用して、何時にアクセスしようとしているか?
以下は、ゼロトラストセキュリティを展開する際に関与する4つの主要な信頼の範囲です。
1.ユーザーの信頼
ユーザーの信頼は、最も一般的な信頼の範囲であり、通常はパスワードや生体認証などのログインメカニズムによって確立されます。
最近では、企業は追加のセキュリティレイヤーとして多要素認証を導入しています。ユーザーの信頼の場合、アイデンティティが確立されたら認可が付与されます。
ただし、ユーザーの信頼のみを使用して認証やアクセスを行う場合、アイデンティティの盗難や内部の脅威は考慮すべきセキュリティの課題です。
この課題を克服するための単純で効果的な方法は、必要な情報へのアクセスまたはリソースへの制限付きアクセスを提供する最小権限の原則を採用することです。
2.場所の信頼
ユーザーがネットワークリソースにアクセスする場所も、重要な信頼の範囲です。ユーザーは企業の敷地内、企業ネットワーク内、またはカフェなどの公共の場所からアプリケーションにアクセスする可能性があります。
アクセス権を提供するリスクは、場所によって大きく異なります。場所の信頼は、以下のような細かい場所パラメータを使用して確立できます:
・ ネットワークプロファイル(例:オフィス、自宅、または公共のWi-Fi)
・ サイトや建物の区別
(例:本社、ビル1、ニューヨーク支店、米国アリゾナ、またはEUロンド
ン)
・ 国、州、または都市
・ GPSデータ
ユーザーの場所に基づいてアクセスを制限または許可するために、さまざまなパラメータの組み合わせが使用される可能性があります。
3.デバイスの信頼
今日、ほとんどのユーザーは、複数のデバイスを使いこなし、企業ネットワークと接続を維持するためにアクセスを要求します。
デバイスは企業のIT部門によって管理される企業のノートパソコン、仕事用または個人用の電話、タブレット、個人用のノートパソコンなどです。
各デバイスのリスク要因は、デバイスが使用しているオペレーティングシステム、インストールされているセキュリティソリューション、および最新のセキュリティパッチが適用されているかどうかに依存します。
また、デバイスの信頼も静的なものではありません。例えば、従業員が休暇中でセキュリティパッチを適用しそびれた場合、そのデバイスの信頼スコアは低くなります。
4.時間の信頼
リソースへのアクセスが行われる時刻に基づいてリスクを識別することもできます。
時間情報は、タイムゾーンまたは時刻などの信頼要因として使用されます。
実際には、時間情報は他の信頼要因(場所など)と関連付ける必要があります。例えば、企業の敷地内で作業する従業員は、作業時間内にのみアプリケーションにアクセスできるかもしれません。
ただし、異なるタイムゾーンの場所にいる場合、そのタイムゾーンでの作業時間に基づいてアクセスが許可されるべきです。
信頼の範囲を適用してゼロトラストセキュリティを実現する
ゼロトラストのジャーニーを始めるには、最初のステップは何を保護する必要があるかを決定することです。
2番目は、それぞれ保護対象のエンティティにアクセスを許可するための信頼パラメータを決定することです。
このブログで説明されている4つの信頼の範囲を組み合わせることで、細かい粒度でダイナミックな信頼フレームワークを作成し、リソースとデータへのアクセスを効果的に制御できます。
成功した展開のためには、企業は複数の信頼の範囲を対象とし、コンテキストに基づいて細かいポリシーを強制できる強力なポリシーエンジンを提供するソリューションに投資すべきです。
なぜなら、信頼はダイナミックかつ変動的であるためです。ColorTokens社の『Xshield』は、クリティカルなネットワークアセットの深い可視化とマイクロセグメンテーションを提供することで、データセンター、マルチクラウド、ハイブリッドクラウド環境全体にゼロトラストセキュリティを実装できるようにします。
■公式サイト(日本語)
https://de-denkosha.co.jp/product/cyber-sec/colortokens/
■公式サイト(英語)
https://colortokens.com/
翻訳元記事「The 4 Trust Dimensions in Zero Trust Security」
最終更新日:2021/3/16
著者:Natarajan Venkataraman
Natarajan Venkataraman氏は、ColorTokensの著名なエンジニアです。彼は組み込みシステム、ネットワーキング、セキュリティなどの分野で20年以上の経験を持っています。ネットワークアーキテクトとしての彼のキャリアは、Ericsson、Intel、Juniper Networksなどの主要企業で広がっています。彼は9つの特許を申請し、記事を執筆し、QoS、ネットワークデータプレーン、サイバーセキュリティに関するトピックについての講義を行っています。
#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #ゼロトラストセキュリティ #企業