ゼロトラストを与えよ、しからずんば……RSAカンファレンス参加企業の様々なアプローチ

James Saturnioが、今年のRSAカンファレンス会場、サンフランシスコのモスコーニセンターからレポートします。天候は曇りときどき雨。ゼロトラストセキュリティに関する圧倒的な卓越風が吹いています。ゼロトラストは、過去10年間で徐々に広まってきましたが、今年はついにメインストリームになりました!このレポートでは、何が誇大な宣伝で、何が企業内にゼロトラストセキュリティフレームワークを実装するための現実的な手順かを選別したいと思います。これはひとつのアドバイスであり、各社で事情は異なるかもしれません。

 

 

ゼロトラストを理解するには、まず、いくつか誤解を解く必要があります。ゼロトラストとはセキュリティフレームワークです。戦略的プロセスであり、動的で拡張可能なアーキテクチャです。単一の製品でも、1つであらゆる企業に合うソリューションでもありません。基本となるのは、いまどきの高度な攻撃者が防御を回避してコネクテッドデバイスを侵害し、ユーザーと企業の重要なデータを盗むのを防ぐには、城と堀で囲んで防御するような従来の階層型セキュリティでは不十分であるという考え方です。簡単に言えば、今のモバイル中心でクラウドベースの世界では、インターネットとイントラネットの境がありません!

 

 

私のゼロトラストのためのアクションアイテムはこちらです。

  • ユーザーの認証と確認に使用する行動ベースの生体バイオメトリックID
  • 多要素認証
  • エンドポイントの状態チェックによるデバイス検証
  • 保存データと通信中データを暗号化し、デジタル署名を行うための強力な暗号
  • アクセスルールとコンプライアンスを適用する集中ポリシー適用エンジン
  • 脅威防御
  • トラフィックの可視化とリスクベースの分析
  • すべてのコンポーネントで共有する機械学習脅威情報
  • マイクロセグメンテーション
  • フィッシングのようなソーシャルエンジニアリングに騙されないユーザー教育

ゼロトラストセキュリティの実装に向けて、どう進めば良いのでしょう?まず、デバイスを脅威のない状態にします。ユーザー、デバイス、アプリは、最初は信頼せず、強固なIDの提示によって認証を受けて初めて接続が許可されます。いったん認証を受けたコンポーネントは、最小限の権限を与えられ、重要な企業データにアクセスする際は、マイクロセグメントされた細かい環境や背景の条件で必ず確認を受けます。マイクロセグメントは、ネットワークの細かい区分、ユーザーとグループ、デバイス、アプリとデータ、ユーザーの現在位置、時刻にまで広がります。

ゼロトラストに関する豆知識をご紹介しましょう。Gartnerは、ゼロトラストをCARTA(continuous adaptive risk and trust assessment)と呼んでいます。ForresterはZero Trust eXtended(ZTX)です。GoogleはBeyondCorpと名付けました。MicrosoftはConditional Accessと呼んでいましたが、これは以前Nectwork Access Control (NAC)とよばれていたものです。IntelはBeyond the Edgeと呼んでいました。MicrosoftもIntelも、今では「ゼロトラスト」という用語を採用しています。� ResearchはUniversal Access Control(UAC)と呼びます。Symantecは自社のWebゲートウェイを1つのCASBとSoftware Defined Perimeter(SDP)に集約し、Web分離技術を使用してすべてのWebトラフィックにサンドボックス化、難読化、クロークを実行します。

かつてのハニーポットセキュリティからの進化系でサイバーデセプションを実現するベンダもあります。これは、ルーターやスイッチ、銀行のATM、医療機器などを模倣する動的なデコイ(おとり)を仕掛けた地雷原を作り、ネットワーク上での攻撃者の横展開を妨げるものです。侵害されたデコイはネットワークの警告システムのアラートを起動し、ゼロデイ脅威対策としてセキュリティ運用センター(SOC)にリアルタイムの分析と脅威情報を提供します。蓋を開ければ、ゼロトラストセキュリティを実現する原則はどれも同じですが、フレームワークや実装方法は異なります。

最後に、増え続ける個人攻撃の脅威に対して皆さんが利用できるシンプルなサイバーデセプションをご紹介しましょう。お母さんの旧姓、お気に入りのペットの名前、子供のときに住んでいた通りの名前など、オンラインパスワードを忘れたときの身元確認に使用されるセキュリティ上の質問に正直に答えてはなりません。インターネットアカウントを1つでも侵害すれば、ハッカーは、このような回答から他のオンラインパスワードも推測してしまいます。もちろん、事実と異なる回答をした場合は覚えておいてください。同じ虚偽の回答をすべてに使っても良いでしょう。

 

 


「ゼロトラストについて語り尽くす」Vimeoで公開中のMobileIronの動画)。