城を破壊した侵入
昨春、中規模病院のスケジュールシステムがランサムウェアに感染した際、医師たちは再び紙とペンに頼らざるを得なくなりました。攻撃者は特殊なマルウェアを悪用したわけではなく、使い古されたログイン認証情報を用いてネットワークを横断的に移動させ、最終的にコアシステムをロックしました。このようなインシデントは医療現場ではよく発生し、盗まれた認証情報はランサムウェア攻撃の原動力となり、リソースの限られたITチームを圧倒しています(ワイヤード).
標的となったのは病院だけではありませんでした。2021年XNUMX月にはランサムウェア攻撃により 植民地時代のパイプライン米国東海岸で消費される燃料のほぼ半分を供給する石油会社を操業停止に追い込んだ。攻撃者は、多要素認証が実装されていないVPNアカウントを侵害してアクセスしていた(Wikipedia)。この混乱により、燃料不足、パニック買い、連邦政府による緊急措置が引き起こされた。
2020年XNUMX月には、 SolarWinds サプライチェーンの侵害は、広く使用されているソフトウェアへの信頼を損ないました。国家レベルのグループによって仕組まれたとみられる悪意のあるアップデートが、正規のパッチを装って配布され、攻撃者は検知されるまでの数ヶ月間、米国政府機関にアクセスできました(CISA).
これらの事件から重要な教訓が得られる。攻撃者がデジタル境界を突破する必要はほとんどない。一度侵入すれば、 壁の後ろにあるものはすべて信頼できるものとして扱われるこれにより、侵害のエスカレーションが迅速かつ壊滅的なものになります。
旧モデルとその失敗理由
インターネットの歴史の大部分において、セキュリティの考え方は 城と堀 比喩的に言えば、ファイアウォール、侵入防止システム、ウイルス対策ソフトウェアといった高い壁を築けば、敵を寄せ付けないことができる。壁の内側では、信頼できるユーザーとマシンが自由に動き回っていた。
境界防御の台頭
1990年代から2000年代初頭にかけては、このモデルは理にかなっていました。企業システムのほとんどはオンプレミスのデータセンターに存在し、従業員はオフィスネットワーク内のデスクに座っていました。「エッジ」とは定義可能な境界であり、通常は組織が管理する一連のIPアドレス範囲で構成されていました。
ファイアウォール フィルタリングされたトラフィック。 VPN 出張スタッフ用に暗号化トンネルを作成しました。 ウイルス対策スイート 既知の脅威から守る。セキュリティ業界はこれらを難攻不落の防御策として売り出し、一時期は効果を発揮した。
しかし、亀裂が見え始めました。
- Code RedやSlammerのようなワーム 2000 年代初頭に企業ネットワーク全体に急速に広がり、侵入するとパッチが適用されていないマシンを悪用しました。
- ターゲットの2013年の侵害攻撃者がサードパーティの HVAC ベンダー経由で侵入し、POS システムに横移動したという事例は、「信頼できる」ゾーンがいかに脆弱であるかを示しました。
- エドワード・スノーデンの2013年の暴露 強調された内部者リスク: ユーザーが特権アクセス権を取得すると、境界防御ではデータの流出を阻止することがほとんどできなくなります。
脅威は外部から来るという暗黙の仮定はもはや真実ではなくなった。
VPNボトルネック
長らくセキュリティの定番とされてきた仮想プライベートネットワーク(VPN)は、明らかな弱点となりました。2020年、COVID-19のパンデミックにより全従業員が在宅勤務となり、VPNサーバーは過負荷状態に陥りました。従業員はすべてのトラフィックをVPNサーバーに集約したため、パフォーマンスのボトルネックが発生し、さらに悪いことに、単一障害点(SPOF)が発生しました。
攻撃者は気づいた。FBIによると、VPNの脆弱性は2020年から2021年にかけて最も悪用されたカテゴリーの一つとなり、攻撃者はそれを企業環境への足掛かりとして利用した(FBI).
かつては信頼できる架け橋であった VPN は、次第に負担になっていった。
ビジネスのためのサイバーセキュリティ
あなたのビジネスは、機密データを危険にさらし、業務を妨害し、評判を傷つける可能性のある、進化し続けるサイバー脅威に直面しています。 ビジネスソリューションのためのサイバーセキュリティ あらゆる規模の企業が抱える固有の課題に対応するようにカスタマイズされており、マルウェア、フィッシング、ランサムウェアなどに対する強力な保護を提供します。
小規模なスタートアップ企業から大企業まで、当社はチーム全体をあらゆるデバイスでシームレスに保護するマルチライセンスのサイバーセキュリティ パッケージを提供しています。リアルタイムの脅威監視、エンドポイント セキュリティ、安全なデータ暗号化などの高度な機能により、デジタル セキュリティのニーズに当社が対応している間、お客様はビジネスの成長に集中できます。
今すぐ無料見積もりを入手してください! 手頃な価格で拡張可能なソリューションでビジネスを保護します。今すぐお問い合わせください。 無料見積もり 企業の安全とコンプライアンスを維持するために設計されたマルチライセンスのサイバーセキュリティ パッケージです。今すぐ脅威が襲来する前にビジネスを保護しましょう。
シャドーITとSaaS
一方、各事業部門はSalesforce、Slack、Microsoft 365といったSaaSプラットフォームを、IT部門による中央監視なしに導入していました。機密データはサードパーティのサービスを通じて流通し、脆弱なパスワードや使い回しのパスワードでアクセスされることも少なくありませんでした。
この 「シャドーIT」 境界防御では対応できない方法で攻撃対象領域が拡大しました。ガートナーは2019年までに、シャドーITが大企業のIT支出の30~40%を占めると推定しました。これは、従来のセキュリティチームにとって盲点でした。
暗黙の信頼の文化
境界モデルにおける最も危険な欠陥は、おそらく文化的な問題だった。セキュリティチームは「内部」を安全だと考えていた。開発者は制御なしにテストシステムを立ち上げ、管理者アカウントは権限を蓄積し、ラテラルムーブメントはほとんど監視されていなかった。
Google Cloudのフィル・ヴェナブルズ氏は「境界は消えたわけではない。ただ、もはや多くのことを教えてくれないだけだ」と述べている。この認識がゼロトラストの基盤となった。ゼロトラストとは、 違反は避けられない そしてその影響を最小限に抑えることに重点を置いています。
ゼロトラストの定義
2010年代半ばまでに、境界セキュリティの欠陥は明らかになりました。課題は、実行可能な代替手段を見つけることでした。その代替手段は、 ゼロトラストアクセス制御の基礎全体を再考するモデルです。
ゼロトラストの真の意味
「ゼロトラスト」というフレーズは、しばしばスローガンのように単純化されすぎています。 決して信じず、常に検証してください。 しかし実際には、それは妄想ではなく、 継続的な保証システムへのすべてのリクエストは、人間のユーザー、デバイス、またはアプリケーションからのリクエストであっても、特に証明されない限り、信頼できないものとして扱われます。
このアプローチは、いくつかの基本原則に基づいています。
- 継続的な本人確認。 認証はログイン時に一度だけ行われるイベントではありません。場所、デバイスの状態、ユーザーの行動といった状況に応じて、セッション全体を通して繰り返し行われます。
- デバイスの整合性。 アクセスは、 who 接続中ですが 何 接続元。侵害されたデバイスやパッチが適用されていないデバイスは、認証情報が有効であってもアクセスを拒否される可能性があります。
- 最小権限アクセス。 権限は最小限に抑えられ、タスクに必要な権限のみが付与されます。これにより、アカウントが侵害された場合の影響範囲が大幅に縮小されます。
- マイクロセグメンテーション。 ネットワークは細分化されたゾーンに分割され、横方向の移動が制限されます。あるゾーンで発生した侵害が自動的に拡散することはありません。
- 継続的なモニタリング。 ログと分析は後付けではなく、中心的な役割を担っています。すべてのトランザクションが記録され、異常がないか評価されます。
本質的には、ゼロトラストは製品というよりは 懐疑主義の規律.
NISTブループリント
長年、ベンダーはこの用語を曖昧に使用していましたが、 米国国立標準技術研究所 (NIST) 特別刊行物 800-2072020年に発表された。この文書は、ゼロトラストを正式な連邦フレームワークに体系化した。アイデンティティ、デバイス、ネットワーク、アプリケーション、データはすべてポリシー適用ポイントであり、中央のポリシーエンジンがアクセスを決定する(NIST).
NISTのガイダンスではゼロトラストを次のように再定義しました。 建築 ツールセットではなく、各機関はこれを追加ソリューションとしてではなく、アクセス管理方法を段階的に再設計する形で導入するよう促されました。これが連邦政府の義務化と民間部門の導入の両方のテンプレートとなりました。
根強く残る誤解
この用語が広まるにつれ、混乱も広がりました。特に、以下の3つの誤解が根強く残っています。
- ゼロトラスト = 信頼なし。 この表現は誤解を招く。ゼロトラストは信頼をなくすのではなく、信頼を築くものだ。 条件付きと文脈的十分な証拠が存在する場合にアクセスが許可されます。
- ゼロトラストは製品です。 多くのベンダーが「ゼロトラスト・ソリューション」を売りにしていますが、実際には、これは単一のツールではなく、相互に連携した一連のプラクティスです。
- ゼロトラストはすべてを解決します。 リスクを軽減することはできますが、完全に排除することはできません。フィッシング、内部不正、サプライチェーン攻撃などは依然として脅威です。
「ゼロトラストは万能薬のように提示されることが多い」と、Luta SecurityのCEO、ケイティ・ムスーリス氏は2021年のインタビューで述べている。「実際には、単なる防御層のXNUMXつに過ぎません。より大規模で規律のあるセキュリティ文化の一部に組み込まれることで、最も効果を発揮します。」
どこに当てはまるか
ゼロトラストは、既存のシステムをすべて置き換えなければならない義務ではありません。既存のシステムと共存します。組織は通常、アイデンティティ管理(多要素認証、シングルサインオン、条件付きアクセスポリシーの導入)から始め、その後、ネットワークセグメンテーションや継続的な監視へと拡張していきます。
処理の順序は様々ですが、原則は同じです。暗黙の信頼は一切ありません。すべての取引は必ずその真偽を証明する必要があります。
文化の変化
おそらくテクノロジーよりも重要なのは、考え方です。従来のモデルは、外部と内部、安全と危険という二元的な線を引いていました。ゼロトラストは、この二元性を覆します。内部接続であっても、すべての接続を検証する必要があります。
ITリーダーにとって、これは次のような文化を必要とします。 アクセスは継続的に獲得されるものであり、永久に得られるものではないこれにより摩擦が生じる可能性はありますが(ユーザーが繰り返しの検証を嫌がる可能性)、これは回復力への転換を表しています。
なぜ根付いたのか
ゼロトラストの台頭は必然ではなかった。それが主流になったのは、 実用的なセキュリティニーズ and 戦略的物語企業はクラウド導入の安全性を確保する手段を求め、政府は重要なインフラの強化を必要としていました。ベンダーは、アイデンティティ、アクセス、監視製品の統一的な提供先を見出しました。
2020年代初頭には、ゼロトラストという言葉は技術文書だけでなく、役員会議室、監査報告書、さらには議会公聴会にも登場するようになり、このモデルは理論から政策へと移行しました。
エンタープライズ内部
ゼロトラストは、導入する製品ではありません。組織内のアクセス方法を再設計する、長く、不均一なプロセスです。多くの企業にとって、これはレガシーシステムに新たな制御を追加し、部門ごとに段階的に変更を導入することを意味します。その結果、業界ごとに異なるパッチワークのような状況が生まれますが、一定のパターンが見えてきています。
GoogleとBeyondCorp実験
おそらく、ゼロトラストの実践例として最もよく挙げられるのは GoogleのBeyondCorp2011年に開始された、 オペレーション・オーロラ グーグルやその他のシリコンバレーの企業を標的とした攻撃を受けて、同社は信頼できる社内ネットワークという概念を放棄した。代わりに、場所を問わず、すべての従業員とデバイスは、リソースにアクセスする前に、ID認識プロキシを介して認証する必要があった(グーグル).
BeyondCorpは、エンジニアがVPNに頼ることなく、信頼できないWi-Fiネットワークからでもオフィスにいるかのように作業できるようにしました。また、100,000万人以上の従業員を抱える企業がゼロトラスト原則に基づいてインフラを再構築できるのであれば、他社も同様にできるという前例も作りました。
マイクロソフトとエンタープライズの主流
マイクロソフトは異なるアプローチを採用しました。単一の取り組みではなく、ゼロトラストの原則を次のような製品に組み込みました。 Azure Active Directory and Microsoft Defender同社は、明示的に検証すること、最小限の権限を使用すること、侵害を想定することという 3 つの必須事項を中心にガイダンスを作成しました。
この言葉は、すでにマイクロソフトのクラウドエコシステムに移行している企業顧客の共感を呼んだ。マイクロソフトは2021年までに、企業顧客の96%がゼロトラストの基本的な構成要素である多要素認証を何らかの形で導入したと報告している(Microsoft).
連邦政府の推進
テクノロジー大手が先手を打った一方で、最も目立った指示を出したのは米国政府でした。コロニアル・パイプラインとソーラーウィンズの事件を受けて、ホワイトハウスは連邦政府機関に対しゼロトラストのロードマップを採用するよう命じました。行政管理予算局(OMB)は、2024年までに本人確認、すべてのトラフィックのデフォルト暗号化、そして機関全体にわたる一元的なアクセスポリシーの適用というマイルストーンを設定しました(OMB).
各省庁は進捗の不均衡に苦慮してきた。最新インフラを備えた省庁は迅速に対応した一方、数十年前のシステムに依存している省庁は遅れをとった。それでもなお、この義務化は、民間企業ではほとんど匹敵できない規模のサイバーセキュリティの近代化を迫った。
金融サービス:リスクと規制の融合
長年規制監督に慣れ親しんできた銀行や保険会社は、レジリエンス戦略の一環としてゼロトラストを採用しています。2022年には、金融取引業規制機構(FINRA)が、企業に対しID中心のセキュリティモデルの導入を推奨するガイダンスを発行しました。
ある大手保険会社は、サービスIDのインベントリを実施した結果、特権アカウントを30分のXNUMX以上削減したと報告しています。別の銀行は、データセンター全体にマイクロセグメンテーションを導入した結果、侵入検知にかかる平均時間が約XNUMX%短縮されたと述べています。これらの数値は自己申告によるものですが、ゼロトラストが金融機関のリスク削減重視の姿勢といかに一致しているかを浮き彫りにしています。
ビジネスのためのサイバーセキュリティ
あなたのビジネスは、機密データを危険にさらし、業務を妨害し、評判を傷つける可能性のある、進化し続けるサイバー脅威に直面しています。 ビジネスソリューションのためのサイバーセキュリティ あらゆる規模の企業が抱える固有の課題に対応するようにカスタマイズされており、マルウェア、フィッシング、ランサムウェアなどに対する強力な保護を提供します。
小規模なスタートアップ企業から大企業まで、当社はチーム全体をあらゆるデバイスでシームレスに保護するマルチライセンスのサイバーセキュリティ パッケージを提供しています。リアルタイムの脅威監視、エンドポイント セキュリティ、安全なデータ暗号化などの高度な機能により、デジタル セキュリティのニーズに当社が対応している間、お客様はビジネスの成長に集中できます。
今すぐ無料見積もりを入手してください! 手頃な価格で拡張可能なソリューションでビジネスを保護します。今すぐお問い合わせください。 無料見積もり 企業の安全とコンプライアンスを維持するために設計されたマルチライセンスのサイバーセキュリティ パッケージです。今すぐ脅威が襲来する前にビジネスを保護しましょう。
ヘルスケア:レガシーシステムとの闘い
病院は異なる課題に直面しています。電子医療記録(EHR)システムや接続型医療機器は、多くの場合、古いソフトウェアで稼働しており、セグメンテーションやIDの適用が困難です。同時に、病院業界はランサムウェアの格好の標的となっています。
一部の病院では、基幹システムが残っていても、患者と医師向けの新しいクラウドベースのポータルにゼロトラスト原則を導入しています。保健福祉省は、医療機関に対し、ゼロトラストを万能薬ではなく、侵害を封じ込める手段として扱うよう促しています。「古いデバイスをすべて撤去するのは現実的ではありません」とある当局者は指摘します。「しかし、それらのデバイスがネットワークの他の部分と通信する方法を制限することは可能です。」
業界をまたぐ共通点
出発点は異なりますが、ゼロ トラストを導入する企業は、多くの場合、同じ初期の優先事項に収束します。
- アイデンティティ第一。 強力な認証、シングル サインオン、条件付きアクセスを展開します。
- 可視性。 すべてのトランザクションを記録し、分析を一元化します。
- ネットワーク制御。 特に機密性の高いワークロードを中心に、マイクロセグメンテーションを段階的に導入します。
- 段階的な拡大。 モデルを IT システムから運用テクノロジー、IoT、サードパーティ アクセスに拡張します。
彼らを結びつけているのは、統一性ではなく、暗黙の信頼がまだ残っているところでそれを侵食するという意図です。
最も硬い層としての文化
テクノロジーは調達できますが、文化はそう簡単にはいきません。企業にとって最も大きなハードルは、従業員と開発者に、追加の検証作業に苦労する価値があると納得してもらうことだと報告されています。
Googleでは、エンジニアたちが当初BeyondCorpに抵抗し、アクセス速度の低下を訴えました。金融サービス企業では、開発者たちがテスト環境の速度低下につながるセグメンテーションルールに反発しました。これらの事例は、ゼロトラストが技術的なプロジェクトであると同時に、管理プロジェクトでもあるという一貫したテーマを浮き彫りにしています。
静かなベンチマーク
2020年代初頭までに、ゼロトラストの導入はサイバーセキュリティの成熟度のベンチマークとなりました。アナリストは、組織が「ゼロトラストを使用しているかどうか」ではなく、 旅のどの段階まで進んでいたかモデルは、意欲的なスライドから監査チェックリストへと移行しました。
2つの実装は同じではありませんが、共通しているのは 圧力下での段階的な導入規制、回復力、評判のいずれを理由としても、ゼロ トラストは企業が無視できないセキュリティ アーキテクチャになっています。
難しい部分
ゼロトラストは魅力的ですが、導入は容易ではありません。何十年にもわたる前提を再考し、根付いた慣行を刷新し、ゼロトラストという名称をマーケティングチャンスと捉えるベンダーとの交渉も必要です。その障壁は、大きく分けてテクノロジー、文化、そしてコストの3つに分類されます。
適合しないレガシーシステム
最も頑固な障壁の一つは、ゼロトラストの時代より数十年も前に作られたインフラです。病院では、生命に関わる医療機器をWindows XPで運用していることがよくあります。メーカーは、暗号化が標準化されるずっと前に設計された工場システムを運用しています。政府機関の中には、いまだにCOBOLでコーディングされたメインフレームに依存しているところもあります。
これらのシステムは改修が困難です。最新のIDチェックやきめ細かなセグメンテーションに対応できないことが多く、システムの入れ替えには数百万ドルもの費用がかかり、パッチ適用によって業務に支障が出る場合はリスクが伴います。
保健福祉省の2022年の報告書は、病院における時代遅れの技術が依然としてゼロトラスト導入の最大の障害となっていると警告した。報告書は「封じ込め戦略」、つまり古いシステムを最新の基準に適合させるのではなく、保護層で包むことを推奨した(HHS).
ユーザーの摩擦と反発
ゼロトラストでは、ユーザーはより頻繁に認証を行う必要があり、承認までの待ち時間が長くなることもあります。エンジニアは認証要求の繰り返しに不満を抱いています。リモートワーカーはログイン手順の増加を嫌がります。開発者は、セグメンテーションによってワークフローが遅くなると主張しています。
Googleでは、BeyondCorpに対する初期の抵抗があまりにも強かったため、セキュリティチームは社内にチャンピオンを育成する必要がありました。チャンピオンとは、不便さを差し引いてもセキュリティ対策に見合うだけの価値があると説明してくれる、尊敬されるエンジニアのことです。業界を問わず、同様の事例が見られます。成功は、導入前に社内の文化的な理解を得ることにかかっていることが多いのです。
ここでリーダーシップが重要になります。ゼロトラストを純粋に技術的なプロジェクトとして扱うCISOは、往々にして失敗します。一方、ゼロトラストをビジネスのレジリエンス(安全なクラウド導入、スムーズな監査、そして風評被害の防止)の一環として捉えるCISOは、より大きな成功を収めています。
ビジネスのためのサイバーセキュリティ
あなたのビジネスは、機密データを危険にさらし、業務を妨害し、評判を傷つける可能性のある、進化し続けるサイバー脅威に直面しています。 ビジネスソリューションのためのサイバーセキュリティ あらゆる規模の企業が抱える固有の課題に対応するようにカスタマイズされており、マルウェア、フィッシング、ランサムウェアなどに対する強力な保護を提供します。
小規模なスタートアップ企業から大企業まで、当社はチーム全体をあらゆるデバイスでシームレスに保護するマルチライセンスのサイバーセキュリティ パッケージを提供しています。リアルタイムの脅威監視、エンドポイント セキュリティ、安全なデータ暗号化などの高度な機能により、デジタル セキュリティのニーズに当社が対応している間、お客様はビジネスの成長に集中できます。
今すぐ無料見積もりを入手してください! 手頃な価格で拡張可能なソリューションでビジネスを保護します。今すぐお問い合わせください。 無料見積もり 企業の安全とコンプライアンスを維持するために設計されたマルチライセンスのサイバーセキュリティ パッケージです。今すぐ脅威が襲来する前にビジネスを保護しましょう。
変化のコスト
ゼロトラストの導入は安価ではありません。組織はすべてのデバイスとユーザーのインベントリを作成し、新しいIDシステムを導入し、ネットワークをセグメント化し、監視を一元化する必要があります。大企業の場合、その費用は数千万ドルに上ることもあります。
小規模企業はさらに厳しい選択に直面しています。大規模な導入を許容できる企業はごくわずかです。そのため、多要素認証とクラウドアクセスポリシーに重点を置き、社内ネットワークにはほとんど手を加えない「ゼロトラスト・ライト」を導入する企業が増えています。
アナリストたちは、この不均衡がセキュリティ格差を生み出す可能性があると警告している。裕福な企業は多層防御を構築する一方で、小規模な企業は攻撃者が何十年も悪用してきたのと同じ横方向への攻撃に対して脆弱なままである。
ベンダーの誇大宣伝と混乱
もう一つの障壁は、業界自体です。セキュリティベンダーは、あらゆる製品を「ゼロトラスト」と名付けようと躍起になっています。ファイアウォール、エンドポイントエージェント、クラウドゲートウェイなど、すべてがこの名称で販売されています。これにより混乱が生じ、経営幹部はゼロトラスト製品を既製品で購入できると勘違いしています。
ガートナーのアナリストは、ゼロトラストは「製品ではなく戦略である」と警告しています。このフレームワークでは、アイデンティティ、デバイス、ネットワーク、アプリケーションを横断したオーケストレーションが求められます。単一のベンダーでこれらすべてを提供できるわけではありません。しかし、マーケティングの喧騒によって、この現実はしばしば覆い隠されてしまいます。
2022年、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、組織が進捗状況をベンチマークできるよう、ゼロトラスト成熟度モデルを発表しました。その目標の一つは、ベンダーのメッセージングにとらわれず、一度限りの購入ではなく段階的な進歩を重視したロードマップを提供することでした(CISA).
成功の測定
組織がゼロトラストを採用したとしても、その効果を測定することは困難です。 しませんでした 実際に何が起こるかを定量化することは困難です。そのため、企業は代理指標に頼っています。
- 特権アカウントの削減。
- アクセス ポリシーの例外が少なくなります。
- 異常な動作をより早く検出します。
これらの指標は不完全ではあるものの、取締役会や規制当局に対して進捗状況を示すのに役立ちます。しかしながら、標準化された測定基準が欠如しているため、成熟度を過大評価する企業もあれば、進捗状況を過小評価する企業もあります。
疲労の変化
最後に、疲労の問題があります。セキュリティチームは、パッチ適用、コンプライアンス、インシデント対応などで既に手一杯です。そこに長期的なゼロトラスト変革が加わると、途方に暮れてしまうかもしれません。
組織によっては、まずアイデンティティ管理、次にセグメンテーション、そして最後に継続的な監視という段階的なアプローチを採用するところもあります。一方、大規模な導入を試みて行き詰まる組織もあります。業界のベテランは、ゼロトラストは「段階」として捉えるべきだと主張しています。 複数年プログラム すぐに解決するのではなく。
まとめ
ゼロトラストは、ファイアウォールやプロキシと同じくらい、政治的、予算、そして心理学的な側面が強く関わってきます。技術的なビジョンは明確かもしれませんが、その実行は、レガシーシステム、消極的なユーザー、限られた予算、そして便乗したベンダーとの衝突に悩まされることになります。
この現実は、このモデルを否定するものではありません。むしろ、この用語がなぜこれほど長く支持され続けているのかを示すものです。ゼロトラストはゴールではありません。セキュリティへの願望と運用上の制約との間の継続的な交渉なのです。
ゼロトラストの未来
ゼロトラストはもはや異端の概念ではありません。政府機関やグローバル企業にとって、デフォルトの青写真となっています。しかし、次に来るのは原則ではなく、大規模な実行です。組織がゼロトラストをITシステムだけでなく、 運用技術、クラウドネイティブスタック、AI駆動型の施行モデル自体も進化しています。
AIと機械学習:適応型執行に向けて
最も有望な開発の一つは、 機械学習 アクセス決定にAIが介入します。固定された属性に基づいて許可または拒否する静的なルールではなく、AI駆動型システムは行動をリアルタイムで分析します。
例えば、ユーザーが通常とは異なる時間帯に新しい場所からログインした場合、システムは認証を強化したり、アクティビティをレビュー対象としてフラグ付けしたりします。これらのモデルは、時間の経過とともに、各ユーザーとデバイスの「正常な」動作のベースラインを構築します。
マイクロソフトとグーグルは、行動シグナルを組み込んだ適応型認証機能をすでに展開している。マイクロソフトによると、リスクベースの条件付きアクセスポリシーを導入している組織では、攻撃者のログインが学習したパターンから逸脱することが多いため、フィッシング関連の侵害の成功率が低下したと報告されている(Microsoft).
課題は信頼性です。機械学習システムは誤検知を起こしやすく、誤報が多すぎるとアラート疲れを引き起こす可能性があります。企業は、少なくとも近い将来においては、自動化と人間による監視のバランスを取る必要があります。
ポリシー・アズ・コード:ガードレールの自動化
別の傾向は ポリシー・アズ・コードこれにより、アクセス ルールをプログラミング言語で記述し、システム全体に自動的に適用できるようになります。
組織は、数十のアプリケーションで権限を手動で構成する代わりに、「すべての管理者は MFA を使用する必要があり、資格情報は再利用できない」などのポリシーを一元的に定義し、自動化によって適用することができます。
このアプローチはDevSecOpsパイプラインで注目を集めています。開発者はアプリケーションコードにセキュリティポリシーを埋め込むことで、新しいデプロイメントが最初からゼロトラスト原則に準拠していることを保証できます。オープンソースプロジェクトであるOpen Policy Agent(OPA)は、この目的のための人気のフレームワークとなっています。
ポリシー・アズ・コードはスケーラビリティを約束します。しかし同時に、次のような疑問も生じます。誰がポリシーを書くのか?誰がそれを監査するのか?コードにバグが紛れ込むと、マシンの速度で誤ったルールが適用されてしまう可能性があります。大きな可能性を秘めているとはいえ、これはまだ発展途上の領域です。
ゼロトラストをIoTとOTに拡張
ゼロトラストはエンタープライズITの世界で生まれましたが、 運用技術 (OT) と インターネットのもの(IoT).
工場、電力網、病院には、頻繁な再認証を想定して設計されていないデバイスが溢れています。その多くは時代遅れのオペレーティングシステムで動作し、パッチ適用の仕組みも欠如しており、セキュリティではなく可用性を重視して構築されています。
しかし、これらの環境は今や主要な標的となっています。2021年のコロニアル・パイプライン攻撃は、IT侵害がいかに重要インフラに波及するかを浮き彫りにしました。これを受けて、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、パイプライン、公共事業、輸送ネットワークの運営者に対し、可能な限りゼロトラスト原則を採用するよう強く求めています(CISA).
既存のデバイスを「プロキシ」で包み込み、それらに代わってアクセスルールを適用する戦略や、脆弱な機器が機密性の高いシステムと自由に通信できないようにネットワークをセグメント化する戦略などが挙げられます。進捗状況は不均一ですが、方向性は明確です。重要なインフラには、境界を意識する考え方は受け入れられません。
クラウドネイティブゼロトラスト
クラウドの導入により、ゼロトラストはソフトウェア自体に深く浸透しました。Kubernetesのようなコンテナ化された環境では、マイクロサービスはAPIを介して常に相互に通信します。この文脈におけるゼロトラストとは、人間によるログインだけでなく、サービス間のあらゆる呼び出しを検証することを意味します。
サービスメッシュの例 イスティオ and リンカード マイクロサービス間で「相互 TLS」を有効にして、同じクラスター内であっても信頼が想定されるのではなく獲得されることを保証します。
このきめ細かな適用により、侵害されたワークロードの影響を軽減できます。しかし、運用チームは数千もの一時的な証明書を管理しなければならないため、複雑さも増します。アプリケーションを中断させることなくこのプロセスを自動化することが、イノベーションの重要な分野になりつつあります。
量子時代への準備
さらに先を見据えると、ゼロトラストは、次の現実と衝突する可能性がある。 量子コンピューティング今日の公開鍵暗号は、ほとんどの認証と暗号化の基盤となっています。十分な性能を持つ量子コンピュータは、これらのアルゴリズムを数時間で解読できる可能性があります。
量子攻撃の実用化はまだ何年も先ですが、政府や企業はすでに準備を進めています。米国国立標準技術研究所(NIST)は、 耐量子暗号アルゴリズム 脆弱なものを置き換える(NIST).
ゼロトラストにとって、これは将来を見据えたIDレイヤーと暗号化レイヤーの強化を意味します。最終的には、どのアルゴリズムが量子耐性を持つとみなされるかを考慮したポリシーを作成し、標準の進化に合わせて接続を自動的に移行する必要があるかもしれません。
未来ビジョンの限界
ゼロトラストはAI、コード、そして量子コンピュータ攻撃に対する防御を統合しますが、それでも限界は残ります。自動化は慎重に調整しなければ逆効果になる可能性があります。レガシーデバイスは容易に統合できないままです。そして、組織はゼロトラストという用語を導入する一方で、その根底にある困難な文化変革を伴わないままに「セキュリティ・シアター」に陥るリスクを負うことになります。
真の未来は華やかなものではないかもしれません。リスクの測定、ポリシーの書き換え、システムのアップグレード、そして人々の習慣を変えるための説得といった、地道な努力が続くでしょう。ゼロトラストはもはや流行語ではなく、車のシートベルトのように、もはや当たり前の前提となるかもしれません。
全体像
ゼロトラストは技術的なフレームワークとして始まりましたが、その影響はファイアウォールやログインだけにとどまりません。政府、企業、そして業界全体がゼロトラストを採用するにつれ、このモデルはサイバーセキュリティ戦略だけでなく、 統治、倫理、地政学の問題.
ビジネスのためのサイバーセキュリティ
あなたのビジネスは、機密データを危険にさらし、業務を妨害し、評判を傷つける可能性のある、進化し続けるサイバー脅威に直面しています。 ビジネスソリューションのためのサイバーセキュリティ あらゆる規模の企業が抱える固有の課題に対応するようにカスタマイズされており、マルウェア、フィッシング、ランサムウェアなどに対する強力な保護を提供します。
小規模なスタートアップ企業から大企業まで、当社はチーム全体をあらゆるデバイスでシームレスに保護するマルチライセンスのサイバーセキュリティ パッケージを提供しています。リアルタイムの脅威監視、エンドポイント セキュリティ、安全なデータ暗号化などの高度な機能により、デジタル セキュリティのニーズに当社が対応している間、お客様はビジネスの成長に集中できます。
今すぐ無料見積もりを入手してください! 手頃な価格で拡張可能なソリューションでビジネスを保護します。今すぐお問い合わせください。 無料見積もり 企業の安全とコンプライアンスを維持するために設計されたマルチライセンスのサイバーセキュリティ パッケージです。今すぐ脅威が襲来する前にビジネスを保護しましょう。
ガバナンスと説明責任
従来のセキュリティモデルでは、責任の所在が曖昧になることがよくありました。境界で障害が発生した場合、その原因がIT部門、コンプライアンス部門、あるいはユーザーの行動のいずれにあるかが明確ではありませんでした。ゼロトラストは、透明性を強制します。すべてのアクセスリクエストはログに記録され、すべての決定はポリシーに紐付けられ、すべての例外が可視化されます。
この可視性は説明責任を再構築します。取締役会や規制当局は、特権アカウント、ラテラルムーブメントの検出、ポリシー例外に関する指標の導入をますます期待しています。欧州では、規制当局はゼロトラスト原則を採用していない企業は、規制当局の監視対象としてより厳しい審査を受ける可能性があることを示唆しています。 一般データ保護規制(GDPR)個人データを保護するための「適切な技術的および組織的措置」を必要とする(欧州委員会).
組織にとって、ゼロトラストは単なる防御メカニズムではなく、コンプライアンスの手段でもあることを意味します。
検証の倫理
継続的な検証は倫理的な問題を提起します。すべての行動が記録されると、従業員のプライバシーが侵害されるのでしょうか?AI駆動型システムがユーザーの「リスク」をスコアリングする場合、そのスコアは地域、勤務パターン、デバイスの種類によって偏る可能性はあるのでしょうか?
プライバシー擁護者は、ゼロトラストが デフォルトの監視 慎重に制限されなければ、それは不可能だ。「検証は必要だが、職場でのあらゆる行動を可視化することは一線を越える可能性がある」と、監視技術監視プロジェクトのディレクター、アルバート・フォックス・カーン氏は2022年のインタビューで述べた。
組織にとっての課題は、 尊厳のある安全ゼロトラストがチェックされていない監視体制にならないようにするには、透明性の高いポリシー、最小限のデータ収集、独立した監査が必要になる場合があります。
信頼の地政学
ゼロトラストには地政学的な側面もあります。サイバー攻撃に国家主体が関与するケースが増えるにつれ、このモデルは企業だけでなく政府にも導入されつつあります。
米国、欧州連合(EU)、そして同盟国は、重要インフラ保護のベースラインとしてゼロトラストを掲げています。同時に、敵対国も自国のネットワークに同様のモデルを導入しようとしており、監視重視の政策と組み合わせるケースも少なくありません。
このように、ゼロトラストは グローバルサイバー規範 議論の余地はありますが、これを効果的に実施できる国は、攻撃だけでなく、違反行為による外交的・経済的影響に対しても、より強い耐性を持つことができるでしょう。
しかし、発展途上国では、導入コストがデジタルデバイドの拡大につながる可能性があります。裕福な国はゼロトラスト原則に基づいてインフラを保護する一方で、貧しい国は時代遅れの境界モデルに依存し続ける可能性があり、医療、銀行、公共事業を混乱させる攻撃に対してより脆弱になります。
流行語を超えて続く文化的変化
ゼロトラストが規制や地政学的な問題にまで浸透する中、その永続的な影響は文化的なものとなるかもしれません。このモデルは、組織におけるデジタルトラストの考え方を再構築します。それは、エッジにおける一度きりの握手ではなく、継続的に築き上げていくべき動的な関係性です。
この文化的変化は、テクノロジーの幅広いトレンドを反映しています。継続的デプロイメントが年間ソフトウェアリリースに取って代わったように、継続的な検証が静的ログインに取って代わっています。どちらも、システムが 常に変化し、常に露出し、常にテストされている.
リードに戻る
ランサムウェアが病院のスケジュール管理システムを停止させたとき、その障害は突飛なものではありませんでした。パスワードの使い回し、未確認のラテラルムーブメント、暗黙の信頼といった、よくある事例でした。
ゼロトラストは、その複雑さと議論の種はあるものの、ありふれた状況を改善しようとする試みです。あらゆる侵害を阻止できるわけではありません。内部者による不正使用を完全に排除することもできません。誤って適用されれば、新たなリスクを生み出す可能性さえあります。しかし、ゼロトラストは状況を一変させます。盗まれたパスワード1つで、ネットワーク全体のロックを解除できるようなことはもはやなくなるのです。
キッカー
境界線は依然として存在します。ただ、誰が内部に入るかはもはや定義されていません。今後数十年で適応していく組織は、より高い壁を築く組織ではなく、信頼を動的、状況的、そして条件付きとして扱う組織になるでしょう。
流行語を取り除いたゼロ トラストとは、単にその事実を認識することです。
城を破壊した侵入
昨春、中規模病院のスケジュールシステムがランサムウェアに感染した際、医師たちは再び紙とペンに頼らざるを得なくなりました。攻撃者は特殊なマルウェアを悪用したわけではなく、使い古されたログイン認証情報を用いてネットワークを横断的に移動させ、最終的にコアシステムをロックしました。このようなインシデントは医療現場ではよく発生し、盗まれた認証情報はランサムウェア攻撃の原動力となり、リソースの限られたITチームを圧倒しています(ワイヤード).
標的となったのは病院だけではありませんでした。2021年XNUMX月にはランサムウェア攻撃により 植民地時代のパイプライン米国東海岸で消費される燃料のほぼ半分を供給する石油会社を操業停止に追い込んだ。攻撃者は、多要素認証が実装されていないVPNアカウントを侵害してアクセスしていた(Wikipedia)。この混乱により、燃料不足、パニック買い、連邦政府による緊急措置が引き起こされた。
2020年XNUMX月には、 SolarWinds サプライチェーンの侵害は、広く使用されているソフトウェアへの信頼を損ないました。国家レベルのグループによって仕組まれたとみられる悪意のあるアップデートが、正規のパッチを装って配布され、攻撃者は検知されるまでの数ヶ月間、米国政府機関にアクセスできました(CISA).
これらの事件から重要な教訓が得られる。攻撃者がデジタル境界を突破する必要はほとんどない。一度侵入すれば、 壁の後ろにあるものはすべて信頼できるものとして扱われるこれにより、侵害のエスカレーションが迅速かつ壊滅的なものになります。
境界が崩壊した
数十年にわたり、組織は 城と堀 モデル: ファイアウォール、VPN、侵入システムなどの形で境界を強化し、内部のすべてが安全であると想定しました。
テクノロジーの進化に伴い、その枠組みは崩れていきました。
- クラウドへの移行。 機密性の高いワークロードは AWS、Azure、Google Cloud に移行されました。
- リモートおよびモバイル アクセス。 パンデミックにより仕事が企業の壁を越えて拡大し、VPN が限界に達しました。
- API と SaaS。 データは、多孔質の境界を越えて流れるようになりました。
「境界は消えたわけではない」と、Google Cloudの最高情報セキュリティ責任者であるフィル・ヴェナブルズ氏は2022年のインタビューで述べた。「ただ、もはや境界は意味をなさない。『内部』にいるからといって安全とは限らないのだ。」
旧モデルとその失敗理由
インターネットの歴史の大部分において、セキュリティに関する考え方は城と堀の比喩に支配されていました。ファイアウォール、侵入防止システム、ウイルス対策ソフトウェアといった高い壁を築けば、敵を寄せ付けないことができました。壁の内側では、信頼できるユーザーとマシンが自由に動き回っていました。
境界防御の台頭
1990年代から2000年代初頭にかけては、このモデルは理にかなっていました。企業システムのほとんどはオンプレミスのデータセンターに存在し、従業員はオフィスネットワーク内のデスクに座っていました。「エッジ」とは定義可能な境界であり、通常は組織が管理する一連のIPアドレス範囲で構成されていました。
ファイアウォール フィルタリングされたトラフィック。 VPN 出張スタッフ用に暗号化トンネルを作成しました。 ウイルス対策スイート 既知の脅威から守られた。しばらくの間、これらの防御は機能していた。
しかし、亀裂が見え始めました。
- Code RedやSlammerのようなワーム 2000 年代初頭に企業ネットワーク全体に急速に広がり、侵入するとパッチが適用されていないマシンを悪用しました。
- ターゲットの2013年の侵害攻撃者がサードパーティの HVAC ベンダー経由で侵入し、POS システムに横移動したという事例は、「信頼できる」ゾーンがいかに脆弱であるかを示しました。
- エドワード・スノーデンの2013年の暴露 強調された内部者リスク: ユーザーが特権アクセス権を取得すると、境界防御ではデータの流出を阻止することがほとんどできなくなります。
脅威は外部から来るという暗黙の仮定はもはや真実ではなくなった。
VPNボトルネック
安全なリモートワークの定番と長らく考えられていた仮想プライベートネットワーク(VPN)は、明らかな弱点となりました。2020年、COVID-19のパンデミックにより全従業員が在宅勤務となり、VPNサーバーは過負荷状態に陥りました。従業員はすべてのトラフィックをVPNサーバーに集約したため、パフォーマンスのボトルネックが発生し、さらに悪いことに、単一障害点(SPOF)が発生しました。
攻撃者は気づいた。FBIによると、VPNの脆弱性は2020年から2021年にかけて最も悪用されたカテゴリの一つであり、攻撃者が企業環境に直接侵入する手段となった(FBI).
かつては信頼できる架け橋であった VPN は、次第に負担になっていった。
ビジネスのためのサイバーセキュリティ
あなたのビジネスは、機密データを危険にさらし、業務を妨害し、評判を傷つける可能性のある、進化し続けるサイバー脅威に直面しています。 ビジネスソリューションのためのサイバーセキュリティ あらゆる規模の企業が抱える固有の課題に対応するようにカスタマイズされており、マルウェア、フィッシング、ランサムウェアなどに対する強力な保護を提供します。
小規模なスタートアップ企業から大企業まで、当社はチーム全体をあらゆるデバイスでシームレスに保護するマルチライセンスのサイバーセキュリティ パッケージを提供しています。リアルタイムの脅威監視、エンドポイント セキュリティ、安全なデータ暗号化などの高度な機能により、デジタル セキュリティのニーズに当社が対応している間、お客様はビジネスの成長に集中できます。
今すぐ無料見積もりを入手してください! 手頃な価格で拡張可能なソリューションでビジネスを保護します。今すぐお問い合わせください。 無料見積もり 企業の安全とコンプライアンスを維持するために設計されたマルチライセンスのサイバーセキュリティ パッケージです。今すぐ脅威が襲来する前にビジネスを保護しましょう。
シャドーITとSaaS
一方、各事業部門はSalesforce、Slack、Microsoft 365といったSaaSプラットフォームを、IT部門による中央監視なしに導入していました。機密データはサードパーティのサービスを通じて流通し、脆弱なパスワードや使い回しのパスワードでアクセスされることも少なくありませんでした。
この 「シャドーIT」 境界防御では対応できない方法で攻撃対象領域が拡大しました。ガートナーは2019年までに、シャドーITが大企業のIT支出の30~40%を占めると推定しました。これは、従来のセキュリティチームにとって盲点でした。
暗黙の信頼の文化
境界モデルにおける最も危険な欠陥は、おそらく文化的な問題だった。セキュリティチームは「内部」を安全だと考えていた。開発者は制御なしにテストシステムを立ち上げ、管理者アカウントは権限を蓄積し、ラテラルムーブメントはほとんど監視されていなかった。
ヴェナブルズ氏は「境界は消えたわけではない。ただ、もはや多くのことを教えてくれないだけだ」と述べている。この認識がゼロトラストの基盤となった。ゼロトラストとは、 違反は避けられない そしてその影響を最小限に抑えることに重点を置いています。
結論:信頼の再考
ゼロトラストは、セキュリティ業界の終わりのない略語の羅列に過ぎない、単なる流行語として片付けられてしまうこともある。しかし、その根強い力は、より深い何かを示唆している。アナリストのフレーズとして始まったこの概念は、連邦政府の義務となり、ベンダーのスローガンとなり、そしてますます組織の規範へと変貌を遂げている。その持続性は、目新しさではなく、必要性から生まれているのだ。
境界は崩壊した。クラウド、モバイルワーク、そして相互接続されたサプライチェーンが、内部と外部の境界を消滅させた。攻撃者はこれに気づき、VPNを悪用し、信頼されたソフトウェアアップデートを悪用し、盗んだパスワードを身代金要求のメモに書き込んだ。こうした失敗は目立ったものではなく、ごく普通のものだった。だからこそ、壊滅的な被害をもたらしたのだ。
ゼロトラストとは、こうした当たり前のことに対峙する試みです。完璧な防御や英雄的なインシデント対応に頼るのではなく、弱点を想定し、侵害を予測し、被害を最小限に抑えます。盗まれた認証情報がマスターキーになるべきではありません。パッチが適用されていないサーバーが企業全体を危険にさらすべきではありません。アクセスは暫定的で、状況に応じて、いつでも取り消し可能なものでなければなりません。
移行は安価でも簡単でもない。組織は、近代化できないレガシーシステム、度重なる検証に苛立つ従業員、そして「移行」という言葉の意味を失わせようと躍起になるベンダーといった問題に直面している。しかし、こうした摩擦にもかかわらず、このモデルはパイロットプログラムから取締役会レベルの戦略へと進化した。病院、銀行、連邦政府機関、そして巨大テクノロジー企業は、それぞれ異なる段階にあるものの、いずれも同じ方向へ進んでいる。
ゼロトラストの重要性は、侵害を完全に排除できることではありません。それは不可能です。内部不正、巧妙なサプライチェーンへの侵入、そして人為的ミスは依然として残ります。ゼロトラストがもたらすのは、障害の形態を変えることです。片隅で発生した侵害が、もはや制御不能に広がることはありません。侵入者の進路は鈍化し、可視性は向上し、攻撃者にとっての侵害コストは増大します。
文化的な側面も懸念されます。ゼロトラストは、デジタルトラストそのものに対する私たちの考え方を変革します。何十年もの間、信頼は静的な性質であり、一度与えられると永続するものでした。しかし今や、信頼は動的なものとなり、繰り返し獲得され、継続的に測定されるようになりました。この変化は、システムが絶えず更新され、ユーザーが常にモバイルであり、脅威が絶えず変化するという、テクノロジーのより広範な変化を反映しています。
今後数年間で、ゼロトラストは進化を遂げるでしょう。機械学習はより多くの意思決定を自動化し、ポリシー・アズ・コードによってインフラのより深い部分にまで拡張されます。耐量子暗号技術は、新たな脅威への備えとなります。しかし、その本質は変わりません。信頼は決して永続的な状態ではなく、現在の証拠に基づく一時的な決定に過ぎないのです。
境界は依然として存在しますが、もはや安全を定義するものではありません。その意味で、ゼロトラストとは技術的なフレームワークというより、現実を認識することです。これは妄想ではありません。謙虚さ、つまり、完璧なシステムなど存在せず、突破できない壁など存在せず、疑念を抱かざるを得ないアカウントなど存在しないことを認める謙虚さです。
この認識を迫った侵害は、多大なコストと混乱を招き、場合によっては危険を伴いました。しかし同時に、セキュリティを堀ではなく、あらゆるインタラクション、あらゆるリクエスト、あらゆるデータフローを導くガードレールとして捉えるという、新たな哲学への道を開きました。
ゼロトラストという言葉は、いつか消え去るかもしれない。しかし、それが体現する実践は消え去らない。それは、妥協が前提とされる世界において、レジリエンス(回復力)の静かな基盤となるだろう。そして、もしゼロトラストが成功すれば、その最大の成功の尺度は、その不可視性、つまり、通常の侵害がもはや異常な危機へとエスカレートしないという事実となるだろう。
