ゼロトラストセキュリティとは?

ゼロトラストセキュリティとは、デフォルトで「誰も信用しない」というセキュリティモデルのことです。ゼロトラストモデルでは、企業ネットワークにアクセスしようとするすべてのユーザーは、多要素認証(MFA)などのメカニズムを通じて継続的に検証される必要があります。このエンタープライズセキュリティアーキテクチャでは、そのようなテクノロジーを利用することで、アクセスを厳密に制御し、データ漏洩を防いでいます。

その他のゼロトラストセキュリティ関連のトピックとしては、次のものがあります。 

ゼロトラストセキュリティの歴史

ゼロトラストセキュリティモデルは、少なくとも2000年代初めにまでさかのぼります。当時、同様のサイバーセキュリティコンセプトは、非境界化(de-perimeterization)と呼ばれていました。「ゼロトラストセキュリティ」という言葉を発明した人物は、Forrester社のアナリストであるJohn Kindervag氏です。ゼロトラストアプローチが注目されたのは2009年頃であり、Googleは、Auroraサイバー攻撃に対応するために、BeyondCorpゼロトラストアーキテクチャを構築しました。このサイバー攻撃は、従来のネットワークセキュリティアーキテクチャを回避するようなAPT(Advanced Persistent Threats)を含むものでした。

ゼロトラストアーキテクチャの概要

ゼロトラストアーキテクチャの中核となるロジックは、基本的に「信用するな 、 常に 検証せよ」というものです。複雑なサイバーセキュリティ脅威と、多数のアプリケーションやデバイスを装備したハイブリッドワーカーが混在する世界において、ゼロトラストセキュリティ(略称「ZTNA」)は、リクエストが企業のファイアウォール内から発信されたものであっても、それが信頼できるソースからのものであるとは決して仮定しないことにより、包括的な保護を提供することを目指しています。すべてのものが、保護されていないオープンネットワークから送られてきたものとして扱われ、ゼロトラストフレームワークの中においては、信頼そのものが負債として見なされます。

ゼロトラストセキュリティは、「境界のないセキュリティ」とも呼ばれます。この言葉は、ゼロトラストセキュリティが従来のセキュリティモデルとは正反対であることを示しています。従来のセキュリティモデルは、「信頼するが検証もせよ」の原則に従って、企業のネットワーク境界内に存在する既に認証済みのユーザーやエンドポイント、およびVPNで接続されているユーザーやエンドポイントは安全であると見なします。しかし、このような暗黙の信頼は、企業ネットワーク全体におけるチェックされない広範囲のラテラルムーブメントを可能にするため、インサイダー脅威により引き起こされるデータ損失のリスクを高めることになります。

これに対して、ゼロトラストアーキテクチャは、次のものに基づいて構築されいます。

明示的な検証と継続的な検証

ネットワークユーザーが常に適切な権限を持っていることを保証するためには、ユーザー認証、権利認証、および検証をリアルタイムでかつ継続に行う必要があります。この目的のためには、ユーザーのアイデンティティ、地理的位置、デバイスポスチャーなど、数多くのデータを活用できます。ユーザーIDを一度検証するだけでは、もはや十分ではありません。

最小権限アクセス

ゼロトラストセキュリティでは、最小権限の原則が適用されるため、IDを使うことでは、デフォルトでネットワークへの最低レベルのアクセス権しか得られません。その他のサイバーセキュリティ対策(ネットワークのマイクロセグメンテーションやアダプティブアクセスなど)と組み合わせることで、最小権限アクセスは、ゼロトラストセキュリティモデルの中でラテラルムーブメントを大幅に制限します。

ゼロトラストセキュリティが注目されている理由

ゼロトラストデータセキュリティが重要なのは、それが場所やデバイスを頻繁に行き来する動的なワークロードを抱えている複雑なIT環境において、高度な攻撃に対する防御を行うための最も信頼性の高いサイバーセキュリティフレームワークであるからです。マルチクラウドハイブリッドクラウドの導入がさらに一般的となり、企業や組織が使用するアプリケーションの範囲が拡大すると、ゼロトラストアーキテクチャは特に重要になります。

実際、一般的な企業や組織ではエンドポイントの数が増加しており、しかも従業員がBYODやパーソナルデバイスを使ってクラウドアプリケーションや企業データにアクセスしているため、従来のサイバーセキュリティ手法では悪意あるアクターによるアクセスを確実に防ぐことはできません。すでにVPN経由で社内ネットワークに接続している悪意あるインサイダーは、たとえその行動(膨大な量のデータのダウンロード、許可されていない場所からのアクセス、過去に利用したことがないログインへのアクセスなど)が異常であったとしても、それ以降は信頼されることになります。

一方、ゼロトラストモデルでは、ネットワーク上の各IDのリスクを常に評価しており、リアルタイムのアクティビティを注視します。このアプローチの中心にあるのは、「最小特権アクセス」という概念です。これは、各ユーザーには、目前のタスクを実行するのに必要なだけのアクセス権のみが与えられることを意味します。ゼロトラストフレームワークでは、特定のIDが信頼できるものであることを前提とせず、ネットワークを通じた移動を許可する前に、そのIDに自分自身を証明することを要求します。ゼロトラストセキュリティは、ソフトウェア定義型の境界としても考えることができます。それは、ユーザー、デバイス、場所を問わず、アプリケーションとデータを保護するために継続的にスケーリングを行い、進化していくものです。

ソリューションブリーフ

VPN接続は本当に安全でしょうか?

従来のVPNソリューションとゼロトラストセキュリティとの違いや、強力なVPNの代替手段がビジネスに役立つ理由をご紹介します。

ゼロトラストセキュリティがもたらすメリット

ゼロトラストモデルがもたらす主なメリットとしては、次のものが挙げられます。

  • セキュリティギャップを解消し、ネットワークにおけるラテラルムーブメントを制御することで、優れたリスク軽減を実現します
  • モバイルワーカーやリモートワーカー向けのサイバーセキュリティとサポートを向上させます
  • クラウドであれオンプレミスデータセンターであれ、アプリケーションとデータに対する強力な保護を実現します
  • ランサムウェア、マルウェア、フィッシング攻撃、高度な脅威に対する信頼性の高い防御を提供します

ゼロトラストアーキテクチャの仕組み

適切に導入された場合、ゼロトラストセキュリティモデルは、企業ネットワークへのすべてのリクエストに関連付けられている行動パターンとデータポイントに対して密接に調和するものとなります。ゼロトラストセキュリティソリューションは、下記の基準に基づいて、アクセスを許可または拒否できます。

  • ユーザーID
  • 地理的位置
  • 時間帯
  • オペレーティングシステムやファームウェアのバージョン
  • デバイスポスチャー
  • エンドポイントのハードウェアタイプ

効果的なゼロトラストセキュリティは高度に自動化されており、その保護機能はクラウド経由か、またはオンプレミス環境を通じて提供されます。IDプロバイダーとアクセス管理は、ゼロトラストフレームワークの重要な構成要素であり、下記のような各種のクリティカルな手段を提供します。

  • アダプティブ認証:ユーザーID、地理的位置、デバイスポスチャー評価の結果に基いて認証タイプと認証アクセスを提供します。
  • 多要素認証:正しいパスワードに加えて、追加的なデバイスやワンタイムコードのような第2の要素が必要となります。
  • シングルサインオン(SSO):クレデンシャルの共通セットにより、複数のアプリケーションへのアクセスが可能となり、きめ細かな管理や失効がいつでも実施できます。
  • ライフサイクル管理:従業員のオンボーディングやオフボーディングのようなワークフローを、IDディレクトリを評価して関連付けることにより合理化できます。

このような基本機能に加えて、特定のゼロトラストセキュリティツールは、次の機能を通じて高度な保護を提供します。

ネットワークのセグメント化とトラフィックの隔離

次世代ファイヤウォールやセキュアブラウザのようなサイバーセキュリティソリューションを利用することで、メインの企業ネットワークからトラフィックを分離できます。このセグメント化により、ラテラルムーブメントを抑制し、リスクを軽減し、侵害が発生しても被害を最小限に抑えることができます。安全でないユーザーはネットワークの比較的小規模なサブネットに閉じ込められるため、許可なくラテラルムーブメントを実行できなくなります。通常の環境において、マイクロセグメンテーションのセキュリティポリシーは、ユーザーグループや場所によるアクセス制限にも役立ちます。

VPNレス型のプロキシ

従来型のVPNは、ゼロトラスト原則に合致しません、なぜならそれは、1回のアクセスによりユーザーに企業ネットワークへの鍵を与えるからです。ゼロトラストモデルでは、このような「城と堀」型のセキュリティアプローチではなく、専用のVPNレスプロキシを使用します。このプロキシは、ユーザーのデバイスと、必要とするすべてのアプリケーション(WebアプリケーションやSaaSアプリケーションからクライアント-サーバー(TCPおよびUDP)ベースのアプリケーション、さらには認可されていないWebアプリケーションまでを含む)との間に配置されます。このプロキシは、コンテキストに基づく証拠がそれを裏付ける場合には、ウォーターマークの追加、エンドポイントでの印刷、コピー、ペーストの無効化など、きめ細かなサイバーセキュリティ対策を実施できます。

アダプティブ認証とアダプティブアクセス

アダプティブアクセスとアダプティブ認証を使うと、企業や組織は、モバイルデバイス管理(MDM)ソリューションにエンドユーザーデバイスを登録する必要なしに、デバイスの状態を把握できるようになります。システムは、デバイスの詳細な分析に基づき、ユーザーの役割、地理的位置、デバイスポスチャーに応じて、適切な認証メカニズムをインテリジェントに提供します。

統合エンドポイント管理

管理者は1つのインターフェイスを通じて、企業内のすべてのアプリケーションとリソースを管理できます。統合エンドポイント管理は、さまざまなアプリケーションやOSの速いペースでのアップデートに後れずについて行くことを可能にするほか、合併や買収によって生じる複雑な問題を解決するのにも役立ちます。

リモートブラウザの隔離

リモートブラウザの隔離とは、管理されていないデバイスでアクセスが発生した場合、ユーザーのセッションをローカルブラウザからホステッド型のセキュアブラウザサービスへとリダイレクトすることです。これにより、ユーザーはサンドボックス環境でアプリケーションにアクセスできるようになるため、生産性を維持できます。同時に、ブラウザの隔離を利用するとインターネット上の悪意あるコンテンツからエンドポイントやネットワークを保護し、企業リソースからのエアギャップを生成できます。

セキュリティアナリティクス

セキュリティアナリティクスソリューションは、ネットワーク上の異常な行動を判断するために必要な貴重なデータを蓄積します。ネットワークは、リクエストがリスクを伴うものかどうかリアルタイムでインテリジェントに評価した上で、システムで検出されたユーザーの行動や異常に基づいて、セキュリティの実施を自動化します。これにより、IT部門の手作業を減らし、タイムリーな施行を行い、データ漏洩のリスクを軽減できます。

SD-WAN

Software-Defined Wide Area Network(SD-WAN)を使うと、クラウドセキュリティ(SaaSへのセキュアなダイレクトアクセスやトラフィックの暗号化など)を実現できるほか、あらゆる種類のアプリケーションに対して、スケーラブルな帯域幅とインテリジェントなトラフィック制御を提供できます。

ゼロトラストネットワークアーキテクチャの構築方法

ゼロトラストセキュリティとは、単独の製品ではなく、環境全体のリスクを継続的に評価した上で、セキュアアクセスを制御するための包括的なセキュリティフレームワークのことです。このため、場合によっては、ゼロトラストモデルをサポートするには、上述のものを含む複数のソリューションを組み合わせて導入する必要があります。

ゼロトラストセキュリティの設計および構築するための正しいプロセスは、組織やソリューションセットにより異なりますが、共通しているのは次のようなプロセスです。

  1. 既存のサイバーセキュリティ管理を評価し、主要なネットワークフローと脆弱性を判断すること。
  2. ゼロトラストセキュリティ対策を通じて被害から守る保護サーフェスを決定すること。
  3. アダプティブな多要素認証、VPNレスプロキシ、組み込み型のセキュアブラウザなどの具体的なテクノロジーを実装すること。
  4. ネットワークを継続的に監視して不審な動きを把握し、必要に応じてソリューションの組み合わせやサイバーセキュリティ全体のアプローチを微調整すること。

ゼロトラストセキュリティを実現するためのCitrixソリューション

シトリックスは、保護サーフェスを守るゼロトラストアーキテクチャを実現できるようなエンドツーエンドのソリューションを、企業に提供しています。Citrix Analytics for SecurityからCitrix Gatewayに至るまで、企業や組織は、ゼロトラストアーキテクチャを構成するすべてのミッションクリティカルなコンポーネントを、オールインワン型のセキュアなデジタルワークスペースソリューションとして実装できます。 

  • Citrix Secure Private Accessは、マネージドデバイスやBYOデバイスからアクセスされるIT部門が認可したアプリケーションに対して、アダプティブ認証とSSOによるゼロトラストアクセスを提供するVPNレスソリューションです。
  • Citrix Endpoint Managementは、アプリケーションやコンテンツを隔離することで、デバイスをセキュアな状態に維持します。
  • Citrix Secure Internet Access は、すべてのユーザーのあらゆるアプリケーションを保護するために、クラウドベースの統一的なセキュリティスタックを提供します。

Citrix Workspaceを使ってゼロトラストセキュリティを実現する方法を見る