ゼロ・トラスト・アーキテクチャとは何か?
Zero Trust Architecture(ZTA)は、組織のインフラとワークフローにZero Trustの原則を適用するサイバーセキュリティへのアプローチである。従来のサイバーセキュリティ・モデルでは、組織のネットワーク内のすべてが信頼できると想定されているのに対し、ZTAでは、ユーザーが組織のネットワーク内のリソースにアクセスする場合でも、リモートからアクセスする場合でも、アプリケーションやデータへのアクセスを許可する際に、デジタル・トランザクションのすべての段階で検証を行う必要がある。
ゼロ・トラスト・アーキテクチャの構成要素
ゼロ・トラスト・アーキテクチャーの6つの主要構成要素は以下の通りである:
1.ユーザー
ゼロ・トラストの最初の礎石は、ユーザーを信頼できるものとして識別できるようにするための、ユーザーの強力な認証である。これはセキュリティを最大化するために継続的である必要がある一方で、ユーザーがそれを許容するように控えめでなければならない。
2.インフラ
ゼロ・トラストの2つ目の礎石は、ネットワーク・アクセスである。クラウド・ワークロード、Wi-Fi、VPN経由でネットワークにアクセスするユーザー自身のデバイスの利用が増加しているため、ネットワーク・アクセスはもはや境界ベースではあり得ない。そのため、最初のアクセス以上の認証が必要となる。
3.装置
デバイスは、パッチが適用されていない古いソフトウェアの使用、暗号化、十分な強度のパスワード管理が実施されているかどうかなど、危険にさらされていないか常にチェックする必要がある。
4.アプリケーション
アプリケーション、コンピュート・コンテナ、仮想マシンへのアクセスは、よりきめ細かな制御が必要であり、多要素認証が重要な要素となる。
5.セキュリティ分析とAI
ゼロ・トラスト・アプローチでは、脅威をリアルタイムで認識することが重要です。これには、高度な人工知能ベースの脅威の識別と防止を活用することが含まれます。
6.オートメーション
ゼロ・トラストはよりきめ細かくプロアクティブであるため、自動化が必須である。自動化されたインテリジェンスベースのダイナミックなポリシー適応は、費用対効果の高いアプリケーションのために活用されなければならない。
ゼロ・トラスト・アーキテクチャの使用例
現実世界におけるZTAの例
- ある従業員が、業務用電子メールのチェックなど、企業リソースにアクセスするために認証したばかりのデバイスを、誤って公共の場に置き忘れてしまった。従来のセキュリティ・モデルでは、社内リソースが漏洩してしまう。ゼロ・トラストは、ユーザーが置き忘れたデバイスを暗黙のうちに信頼しないようにすることで、この抜け穴を塞ぐ。
- 従業員が自分のデバイスを職場に持ち込むが、そのデバイスは安全でなかったり、すでに危険にさらされていたりする。このような場合、Zero Trustを使用すれば、たとえそのデバイスが以前の訪問時に組織のネットワークへのアクセスを許可されていたとしても、被害を引き起こすことを防ぐことができる。
米国標準技術研究所によれば、ゼロ・トラスト・アーキテクチャの「いつでも、どこでも」アクセスを導入するには、原則を段階的に適用していく必要がある。移行期間中は、ゼロ・トラストと境界ベースのハイブリッド・モードが必要になる。組織は、業務に使用する予定のアプリケーション、サービス、ワークフローを特定し、コンポーネントがどのように相互作用するかをマッピングし、それぞれにゼロ・トラスト・アーキテクチャを適用する必要がある。
つまり、自分が誰であるか、アクセスが許可されているか、悪意を持って行動していないことを証明し、証明し続けるまで、誰も何かにアクセスしたり、アクセスし続けたりすることはできないのです。そのため、企業は、BlackBerry®Zero Trust Architecture powered byCylance®AI を選択し、従業員、データ、ネットワークを保護しています。
関連リソース
データ損失防止(DLP)
エンドポイントセキュリティ
エンドポイント・プロテクション・プラットフォーム(EPP)
エンドポイント検出と応答(EDR)
エクステンデッド・ディテクション&レスポンス(XDR)
アイデンティティとアクセス管理(IAM)
マネージド・ディテクション&レスポンス
マネージドXDR
MITRE ATT&CK フレームワーク
モバイル脅威防御(MTD)
ユーザーとエンティティの行動分析(UEBA)
ゼロ・トラスト・アーキテクチャ
ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
ゼロ・トラスト・セキュリティ
セキュリティ情報・イベント管理(SIEM)
セキュアアクセスサービスエッジ(SASE)