ゼロ・トラスト・アセスメント

ゼロ・トラスト・セキュリティは、サイバーセキュリティのフレームワークであり、ユーザーが組織のデジタル資産やネットワークにアクセスする前に、自分が誰であり、アクセスが許可されており、悪意を持って行動していないことを証明することを要求する。

組織がゼロ・トラスト・セキュリティの導入を検討する際には、単一のテクノロジー・プラットフォームやサービスでゼロ・トラストを完全に実現できるわけではないことを念頭に置くことが重要である。ゼロ・トラストのアクセス・コントロール体制を達成するために、組織は、その環境がどのように運用されているかを以下の側面から考え抜く必要がある。

以下は、適切な査定を行うための手順である。

インフォグラフィックをダウンロード
ゼロ・トラスト・アセスメント

1.信頼されたユーザと信頼されたデバイスの定義

これを始めるには、検出作業が重要である。ほとんどのマイクロ・セグメンテーションとゼロ・トラスト・テクノロジーには、IDの使用と特権の割り当て、使用中のアプリケーション・コンポーネント、システム間で送信されるトラフィック、デバイスの種類、環境内の行動傾向とパターンを見つけるための、何らかの形のスキャンと発見ツールが含まれている。 

セキュリティチームは、アイデンティティ・アクセス管理(IAM)チームや主要なIT運用機能の担当者と協力して、環境内のさまざまなグループとユーザー、および職務を遂行するために必要なアクセス・タイプを理解する必要がある。同じことを、特権ユーザが使用するすべてのタイプのユーザ・デバイス(主にラップトップとデスクトップ)についても行うべきである。 

2.アイデンティティ(ユーザー/デバイス)とネットワークの統合

ある程度の基本的な発見が行われた後、成熟したアクセス・コントロール(マイクロセグメンテーション)ポリシー・エンジンであれば、検出され明記されたアイデンティティ(ユーザー、グループ、デバイス、権限セット)と、システム全体の特定のサービスやアプリケーション・コンポーネントによって生成されたネットワーク・トラフィックとの関連付けを開始できるはずである。

ゼロ・トラスト戦略から最大限の利益を得るためには、計画とプロジェクト実施のこの段階で、ビジネスとアプリケーション中心のユースケースに注意深く対応する必要がある。 

セキュリティ・チームは、どのような種類の行動が、環境において実際に必要であり、また、必要であるのかを、単に許可されている、あるいは、明確に「拒否されていない」行動と比較して、評価する計画を立てるべきである。 

3.リモート・アクセスの位置づけを決める

ゼロ・トラストの計画と実施において非常に重要な要素は、多様な従業員にとってますます一般的になっているリモート・アクセスとリモート・ワークの取り決めである。リモート・アクセスにも重点を置くゼロ・トラスト・テクノロジーには、以下のような機能が含まれる場合がある:

エンドポイントプロテクション

ゼロ・トラスト・ツールに関連するリモート・アクセス・エージェントでは、マルウェア対策とエクスプロイト保護の監視が一般的になりつつある。 

エンドポイントの検出と応答

シグネチャ・ベースと悪意のある動作の両方についてエンドポイントを監視することで、信頼できるエンドポイントのセキュリティ態勢を大幅に向上させることができ、検出された脅威の自動検疫と排除によって、さらに大きな価値が生まれます。

データ損失防止

特定のデータ・パターンやタイプの監視と保護は、ゼロ・トラストやマイクロ・セグメンテーション・テクノロジーでは一般的な機能ではないが、アプリケーションやサービスのユースケースにきめ細かなポリシーを合わせる上で大きな価値をもたらす。

モバイル保護

モバイル・デバイスのサンドボックス化と保護もまた、企業のゼロ・トラスト技術にとって貴重な機能である。

4.ゼロ信頼のベストプラクティスを見直す

組織は、ゼロ・トラストのツールとコントロールを導入するために、以下の一般的なベスト・プラクティスを念頭に置くべきである: 

受動的なアプリケーションの発見から始め、通常はネットワークトラフィックの監視を実施する。 通常のトラフィックパターンとシステム間通信に精通した利害関係者と調整するために、数週間のディスカバリを行う。 

データがネットワーク上をどのように移動し、ユーザーやアプリが機密情報にどのようにアクセスするかに基づいて、ゼロ・トラスト・アーキテクチャ(ZTA)を設計する。これは、ネットワークをどのようにセグメント化し、保護とアクセス制御をどこに配置すべきかを決定するのに役立つ。 

システムとアプリケーションの分類に時間をかける。より高度なゼロ・トラスト・ツールは、アプリケーション・アーキテクチャの一部であったり、ビジネス・ユニットやグループに沿ったものであったり、特定のシステム・タイプを代表するものであったりする資産アイデンティティと統合する。 

可能であれば、社内クラウドとパブリッククラウドの両方の環境で動作する製品を探す。そのためには、ほとんどの場合、エージェントベースのソリューションが必要になる。 

ゼロ・トラスト・アーキテクチャーは、ネットワークとエンドポイントの両方について、認証と認可のコントロール、ネットワーク・アクセスと検査のコントロール、監視と実施のコントロールを含むべきである。

現在のところ、単一のテクノロジーで完全なゼロ・トラストの設計と実装を提供することはできない。

ほとんどの場合、ゼロ・トラストと既存のインフラストラクチャのハイブリッド・アプローチは、ある程度の期間共存する必要があり、ディレクトリ・サービスの統合によるアイデンティティとアクセス管理、エンドポイント・セキュリティとポリシー実施、ネットワーク監視とトラフィック検査など、両方を適切に実現できる共通のコンポーネントと制御カテゴリーに重点を置くことになる。

ゼロ・トラストのフレームワークが成熟し進化するにつれて、標準やプラットフォームの相互運用性も向上し、全体としてより合理的で効果的なアプローチが促進されるだろう。

BlackBerry 信頼ゼロのためのサイバーセキュリティ

ゼロ・トラスト・セキュリティは、すべてのセキュリティ・チームの目標であるべきだ。この方法論は、現代のハイブリッドワークの柔軟性と課題に対処する準備ができている。ゼロ・トラストの評価と実装には、専門家であるテクノロジー・パートナーが必要です。そのため企業は、BlackBerry®Zero Trust Architecture powered byCylance®AIを選び、従業員、データ、ネットワークを保護しています。
さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース