ゼロトラスト: ネットワークとシステム全体のあらゆる対話段階で信頼を検証
信頼は禁物。 すべてを検証。 これは単なるキャッチフレーズではありません。サイバーセキュリティの分野、拡大を続けるアタックサーフェスの保護の分野では、 企業のネットワーク、システム、 資産へのアクセスに取り組むべきアプローチ方法を表しています。
これを実現するのがゼロトラストセキュリティです。 ゼロトラストセキュリティは、信頼の排除と常時の検証という考えに基づいてサイバーセキュリティ対策にアプローチする戦略的な手法であり、ネットワークとシステム全体での対話のあらゆる段階において、信頼を検証するための制御が確実に行われるようにします。 従来のオンプレミスの IT システムでは、一般に、信頼の検証はアクセス境界を構築するハードウェアやその他のネットワークツールによって制御されていました。しかし、クラウドファーストやハイブリッドの業務環境では、こうした手法ではもはや不十分です。
ゼロトラストに関するこのナレッジベースでは、ゼロトラストとは何か、どのように機能するのか、そしてベストプラクティスに重点を置く成熟したサイバーセキュリティ戦略においてゼロトラストが重要な構成要素となる理由について、詳しく解説します。
ここで紹介する内容は次のとおりです。
ゼロトラストについてよくあるご質問
ゼロトラストアーキテクチャについてご質問があり、どこから始めたらよいか分からない場合は、 こちらの「よくあるご質問」にその答えがあるかご覧ください。
詳細はこちらからゼロトラストソリューションのメリット
Tenable One によって、ゼロトラストへの到達を加速することができます。 DX 時代のアタックサーフェス内のすべての資産の基礎的な可視性、脆弱性の優先順位付け、 Active Directory (AD) セキュリティが、単一のサイバーエクスポージャー管理プラットフォーム内ですべて提供されるので、セキュリティチームはラテラルムーブメントの阻止や攻撃の未然防止のために必要なものを手に入れられます。
ゼロトラストのアプローチでセキュリティを再考する
現代のビジネス界は、常に進化を続けています。 その速さに合わせて、組織のアタックサーフェスも共に進化しています。 両者が複雑さを増すのに伴って、DX 時代のアタックサーフェスを論理的な境界線で定義することは、もはや不可能になりました。
それでは現代において、ネットワーク、アプリケーション、ユーザーの管理と保護を効果的に行うにはどうすればよいのでしょうか? ゼロトラストこそが、その答えです。
クラウド上のサービス、ソフトウェア、アプリケーションや、相互接続された新しいデバイスの利用が増加しているため、セキュリティチームがアタックサーフェスのあらゆる構成要素について理解することは、これまでになく困難になっています。 こうした知識がなければ、ほとんどのチームはサイバーリスクが存在する場所について限られた可視性しか得られないので、対処の計画を立てることもできません。
ゼロトラストは、セキュリティチームがこうした複雑な環境に適応するために役立つ戦略です。 このソリューション概要では、以下のことを紹介しています。
- ネットワーク上の設定ミスと脆弱性を特定する方法
- セキュリティ上の弱点に対処するために、ベストプラクティスの推奨事項を適用する方法
- Active Directory (AD) 内の見過ごされがちなリスクを特定して解決する方法
- ゼロトラストをサポートするために、組織のリスクベースの脆弱性管理手法を進化させる方法
技術的インサイト
Tenable で連邦政府機関における CISA の拘束力のある運用指令 23-01 の要件を満たすには
米国の連邦政府機関は、拘束力のある運用指令 (BOD) 23-0 への準拠を求められています。これは、連邦政府の情報と情報システムを保護するための、強制力のある命令です。 BOD 23-01 を通じて、政府機関は資産検出と脆弱性の一覧化に重点を置いた、継続的かつ包括的な資産の可視化を行う必要があります。 しかし、これは実際のところ、政府機関にとって何を意味しているのでしょうか?
この記事では、BOD 23-0 命令に関しての資産検出と脆弱性の一覧化について、新たな要件の概要や Tenable が要件への対応をどう支援できるかについても含め、詳しく紹介します。
ゼロトラストへの道:「脆弱性」とは何か再考する時がきている
新型コロナウイルスのパンデミック以前は、組織のゼロトラスト採用への動きはゆっくりとしたものでした。しかし、パンデミック終息により、この動きは確実に加速されています。 一方でこの動きに乗り遅れている組織もまだあります。 しかし、今日のビジネス環境には、いまやクラウド上のサービス、ソフトウェア、アプリケーションが含まれ、パンデミック前よりも多くの労働者が在宅で働いている状況も相まって、従来のネットワーク境界のみでは企業を保護するのに不十分となっています。
一部の組織では (大規模な組織の場合は特に)、導入が複雑すぎるのではないかという懸念からゼロトラストへの移行をためらっています。 しかし、ゼロトラストのメリットとその概念の簡潔さは、このような懸念を上回るのでしょうか?
この疑問に答えるためには、以下の重要事項を考慮する必要があります。
- ゼロトラストのためのソリューションは存在するか?
- 既存の IT エコシステムをゼロトラストの原則に合致するように移行するにはどうすればよいか?
- セキュリティに関する懸念事項にどう対処すればよいか?
この記事では、この 3 つの核心的な疑問について検討するとともに、ゼロトラストアーキテクチャ導入のメリットを明確に把握できる 4 つの要素について詳しく説明します。
Active Directory の攻撃経路を排除する: 権限昇格の防止に関する詳細
攻撃者は、アイデンティティや認証情報を盛んに盗んでいます。なぜなら、アイデンティティシステムへのアクセスに一度成功すれば、たいていは気づかれることなく、ネットワーク中を探索して権限昇格を行うことができるからです。
この種のアクセスの見逃されがちな発生源は、Active Directory (AD) から始まります。攻撃者は、Active Directory にパッチ未適用の脆弱性が残っていることや、ユーザーが設定ミスやその他のセキュリティ問題に気づいていないことを期待しています。
ゼロトラストのセキュリティ戦略の一環として、Active Directory に十分な注意を払うことが重要です。 このホワイトペーパーでは、攻撃者がどのように Active Directory を利用するのかを詳しく見ていきます。
以下のことについて詳しく紹介しています。
- Active Directory が攻撃経路の要となる理由
- 攻撃者が脆弱性を利用して権限昇格を行う方法
- 攻撃者に悪用される前に攻撃経路を検出して排除する方法
ゼロトラストについてよくあるご質問
ゼロトラストは初めてという方や、 ゼロトラストについてご質問があり、どこから始めたらよいか分からない場合は、 こちらの「よくあるご質問」をご覧ください。
ゼロトラストとは何ですか?
なぜゼロデイと呼ばれるのですか?
ゼロトラストはなぜ重要なのですか?
ゼロトラストはどのように機能するのですか?
ゼロトラストアーキテクチャとは何ですか?
ゼロデイとゼロトラストは同じものですか?
ゼロトラストの主要な構成要素は何ですか?
ゼロトラストのメリットは何ですか?
ゼロトラストにデメリットはありますか?
CISA のゼロトラスト成熟度モデルとは何ですか?
CISA のゼロトラスト成熟度モデルは、組織がゼロトラストアーキテクチャへと移行するために利用できるフレームワークです。 ゼロトラストに基づく、5 つの柱と 3 段階の能力で構成されています。
5 つの柱
- アイデンティティ
- デバイス
- ネットワーク
- アプリケーションワークロード
- データ
機能
- オンプレミス
- 高度
- 最適
これらの柱と能力の詳細については、CISA の決定前草案「Zero Trust Maturity Model (ゼロトラスト成熟度モデル)」をダウンロードしてご覧ください。
ゼロトラストネットワークアクセス (ZTNA) とは何ですか?
ゼロトラストの基本原則は何ですか?
NIST によれば、ゼロトラストには次の 7 つの基本原則があります。
- すべてのデータソースとコンピューティングサービスをリソースと見なす
- すべての通信が安全である
- アクセスはセッションごとに許可される
- アクセスは動的なポリシーによって決定される
- すべての資産の完全性とセキュリティ態勢の監視および測定を行う
- リソースの認証と承認を動的かつ強制的に行う
- 資産、ネットワークインフラ、通信の現況について情報を収集し、利用する
これらの原則の詳細については、下の NIST によるゼロトラストの基本原則のセクションをご覧ください。
Tenable Community: ゼロトラストの頼れる情報源
ゼロトラストの概念はしばらく前から存在していましたが、まだゼロトラストへの取り組みを始めたばかりの組織もあります。 もしそのような組織に属していて、ゼロトラストとゼロトラストアーキテクチャの導入についてご質問がある場合は、Tenable Community にぜひご参加ください。 このコミュニティは、ゼロトラストや Tenable による支援に関心を持つ他の専門家たちとつながりを持つのに最適な場所です。
ゼロトラストモデルでのローカルスキャナーの使用
オフィスのネットワーク再設定を、Meraki のネットワークハードウェアを使用してゼロトラストに基づいて実施しようとしていますが、 いくつか問題が生じています。非常に細かなセグメント化が行われている場合に、Tenable スキャナーが環境内のマシンの検出とスキャンを行えるようにするにはどうしたらよいでしょうか。 同じようなご経験がある方はいらっしゃいますか?
続きを読むTenable エージェントのデメリットは?
当社のある部署は、私たちにその部署の Linux クライアントへのルートアクセス権限を与えることは避けたいと考えています。 完全なスキャン結果を得るために、そのクライアント上で Tenable エージェントを使用することを検討しています。 スキャンエージェントを使用した場合のスキャン結果のメリットは何でしょうか。特にデメリットは何でしょうか?
続きを読むTenable とゼロトラストへの道
ゼロトラストというサイバーセキュリティの概念は、2010 年に Forrester によって初めて発表されたもので、現代のデジタル企業が直面する幅広い課題への当世の解決策として台頭しつつあります。 また、新型コロナウイルスのパンデミックによって必然的に生じた、境界線を吹き飛ばすような在宅勤務のトレンドに対応しています。
続きを読むNIST によるゼロトラストの基本原則
NIST SP 800-207 は、企業のセキュリティアーキテクトがゼロトラストをより深く理解できるように支援するものであり、セキュリティ担当者が既存のサイバーセキュリティ手法にゼロトラストのアプローチを実装して、ゼロトラストアーキテクチャを導入する際に役立つロードマップが含まれています。
重要性現代の企業は複雑さを増しており、 中核となる運用システムは、もはやネットワーク境界の内側に安全に収まっている IT のハードウェアとソフトウェアではなくなっています。 今日では、世界中の組織がオンプレミスのネットワーク、システム、資産と同時に、クラウドベースのサービス、アプリケーション、ソフトウェアを利用しています。
攻撃者を閉め出すためにファイヤーウォールを設置するような従来のセキュリティ手法は、もう有効ではありません。 そのため産業界は、その所在を問わずすべての資産とユーザーに対して、ゼロトラストを採用する方向に動いています。
NIST は、ゼロトラストセキュリティでは「環境内に攻撃者が存在することを前提とする。また、企業が所有する環境も、所有していないあらゆる環境と同等であり、信頼は置けないことを前提とする」と述べています。 そのため、企業はもう暗黙の信頼を前提にすることはできず、リスクの管理と軽減のために常に検証を行わなくてはいけません。
NIST が示す、ゼロトラストアーキテクチャの設計と導入のための 7 つの基本原則は、次のとおりです。
- すべてのデータソースとコンピューティングサービスは、リソースと見なされる。
- ネットワークの場所に関係なく、すべての通信が保護される。
- 個々のエンタープライズリソースへのアクセスは、セッションごとに許可される。
- リソースへのアクセスは、動的なポリシーによって決定される。このポリシーには、クライアントのアイデンティティ、アプリケーションやサービス、要求する資産などの観測可能な状態が含まれ、その他の挙動や環境の属性が含まれることもある。
- 企業は、所有する資産や関連する資産すべての整合性とセキュリティ態勢を監視し、測定する。
- すべてのリソースの認証と承認は動的であり、アクセスが許可される前に厳密に実施される。
- 企業は資産、ネットワークインフラ、通信の現況についてできるだけ多くの情報を収集し、セキュリティ態勢の強化に利用する。
これらの原則の詳細については、 「NIST Special Publication 800-207 Zero Trust Architecture (NIST 特別刊行物 800-207 ゼロトラストアーキテクチャ)」をダウンロードしてご覧ください。 この文書には次の内容が含まれます。
- ゼロトラストネットワークの概説
- ゼロトラストアーキテクチャの構成要素
- 導入のシナリオとユースケース
- ゼロトラストアーキテクチャに関連する脅威
- ゼロトラストと既存のフレームワーク
- ゼロトラストアーキテクチャへの移行のガイド
ゼロトラストのブログ記事
国家安全保障電気通信諮問委員会(NSTAC)、米国連邦政府機関によるゼロトラスト導入を奨励
2022 年の中頃に、米国国家安全保障電気通信諮問委員会 (NSTAC) はサイバーセキュリティのベストプラクティスとして、ゼロトラストと信頼できるアイデンティティ管理に注目したレポートを発表しました。 このブログでは、同レポートを取り上げ、ゼロトラストへの移行がなぜ重要であるかと、基本的なサイバーハイジーンにおけるゼロトラストの役割について詳しく解説します。
上司にゼロトラストを理解してもらうには
当時の Forrester のアナリストがゼロトラストの概念を発表したのは 2010 年にさかのぼりますが、いまや、情報セキュリティの専門家ではない多くの人々もゼロトラストに注目し始めたようです。 このブログでは、上司にゼロトラストについてどう説明するべきか、どのようにすれば理解しやすいか、組織内での導入をどのように展開するかについての重要なガイダンスを提供します。
取締役会にゼロトラストを理解してもらうには
ゼロトラストは、サイバーセキュリティの専門家だけに関わる用語ではありません。 ビジネスリスクを低減するための重要な方法でもあるため、まだそうなっていなくても、いずれは取締役会や経営陣がゼロトラストに注目するようになるでしょう。 このブログでは、技術とビジネスの間に点在する要素を、主要なステークホルダーが理解できる形で結びつけて全体像を描く方法を紹介します。
ゼロトラストのオンデマンドウェビナー
境界外のセキュリティ: ゼロトラストにより速く到達するには
サイバーセキュリティ戦略の一環としてのゼロトラストへの移行は、ユーザーをロールやアクセスレベルだけに基づいて信頼することができなくなることを意味します。 それに代わり、ゼロトラストでは、すべてのユーザーと資産をリスクをもたらす潜在的な脅威と見なす必要があります。
このオンデマンドウェビナーでは、セキュリティの取り組みを従来の境界の外へと移し、ゼロトラストへの移行を加速する方法について紹介します。 レポートの詳細内容:
- なぜ信頼を脆弱性と見なすべきなのか
- 信頼の構築における Active Directory (AD) の役割
- いかにサイバーハイジーンの基本事項がゼロトラストの鍵となるか
Tenable One でゼロトラストへの到達を加速
組織へのゼロトラストアーキテクチャの導入をお考えであれば、 ゼロトラスト戦略の一環として Tenable One を導入することをぜひご検討ください。 Tenable One ではアタックサーフェスの基礎的な可視性が得られるため、すべての資産の検出とインベントリの作成、脆弱性や設定ミスをはじめとするセキュリティ問題の発見が可能になります。加えて、組織にとって最も重要な問題は何かを優先順位付けできるばかりか、問題に対処するためのベストプラクティスの推奨事項を作成することもできるようになります。
包括的な可視性
組織の資産と、それに関連するセキュリティ上の弱点の把握は、サイバーセキュリティにゼロトラストのアプローチを採用する際の重要な要素です。 Tenable One を使用すると、IT、OT、Active Directory (AD)、コードからクラウドまでを含む、アタックサーフェス全体にわたるすべての資産とその脆弱性を 継続的に可視化できます。
アイデンティティセキュリティ
多くの侵害は、ユーザーアイデンティティや認証情報の窃取から始まります。 攻撃者は、いったんアイデンティティシステムにアクセスすれば、素早く権限を昇格して、しばしば侵入に気づかれることなくネットワーク内を探索できます。 Tenable One を使用すれば、Active Directory 内の問題の検出と修正を行い、リアルタイムで攻撃を発見して対処できます。
リスクの優先順位付け
自組織のアタックサーフェスに存在する数多くの脆弱性のいくつかについてのインサイトがあっても、どれを最初に修正すればよいか分からないかもしれません。 Tenable One を使用すると、脆弱性管理についてリスクベースのアプローチを取ることができるため、リスクを特定して、リスクスコアと資産重要度の基準に基づいた信頼性の高い意思決定を行えるようになります。