Zero Trust計画が完全な防御を確実にする

Zero Trustセキュリティ計画に移行しようとしているのですね。Zero Trustの原則もご存知ですね。すばらしい。ただし、Zero Trust計画がすべてをカバーしていることを確認する必要があります。つまり、計画の対象物、時期、場所の3つの領域です。

Zero Trust計画では、あらゆる種類のエンティティへのアクセスとそこからのアクセスを管理する必要があります。これには以下のものが含まれます。

• すべてのデバイス — デスクトップとノートパソコンを含むコンピュータだけでなく、スマートフォンやその他のモバイルデバイスも含まれます。
• すべてのユーザ — 従業員、請負業者、ベンダー、お客様。
• すべての種類のデータとアプリケーション — Zero Trust計画は、クラウドだけでなくオンプレミスのアプリケーションとデータへのアクセスも管理する必要があります。データベース、サーバ、ソフトウェア、および企業を危険にさらす可能性があるすべてのものを扱う必要があります。

Zero Trustの鍵は、組織内のアクセス試行を、組織外からのアクセス試行と同じくらい信頼しないという考え方です。したがって、ファイアウォールの内側のユーザがアプリケーションにアクセスしようとした場合、ファイアウォールの外側からのアクセスとほぼ同じように管理します。

さらに、Zero Trustは例外を設けません。誰かがアプリケーションまたはデータにアクセスしようとするたびに、高いセキュリティ要件が適用されます。したがって、時期に関してはほとんど常にということになります。

従来のセキュリティ手法は、サイバー犯罪者が攻撃を開始するエンドポイントに焦点を当てています。Zero Trustは、次のあらゆる場所に適用されます。

• データ・アクセス・ポイント
• クラウドアプリケーション
• オンプレミスおよびレガシーアプリ
• 理想的には、デスクトップ、ノートパソコン、スマートフォン（デバイスのログインも保護されるように）

シングルサインオン（SSO）などのIDおよびアクセス管理ツールと、多要素認証（MFA）は、「いつ、どこで、何を」に対処するのに役立ちます。SSOは、セキュリティと使いやすさの両方を向上させ、パスワードを排除し、審査された信頼関係を使用して安全な承認を実現します。MFAは、ユーザが本人であることを確認するために追加のデータを要求することで、重要なレベルのセキュリティを追加します。

このほかにも、ロールベースのアクセス制御と簡単なプロビジョニング機能を提供する優れたID管理システム、SSOを通じてデバイスを保護するシステムなどがあり、ユーザの位置情報、IPアドレス、ログイン時刻などのコンテキスト情報を考慮してユーザプロファイルを作成し、リスクの高いログイン試行に対処するリスクベースの認証もお勧めします。これらのツールは、マイクロセグメンテーションを使用する安全なインフラストラクチャに加えて、ユーザの負担にならない方法でZero Trustセキュリティを実装するのに役立ちます。