パロアルトが性悪説の「ゼロトラスト・ネットワーク・セキュリティ」を解説:もう誰も信用しない?
❤ ゼロトラストはセキュリティモデルの設計指針にとどまるわけです。 働き方改革などのトレンドによって、エンドポイントセキュリティの重要性が高まっています。 ゼロトラストセキュリティのあるべき形はまだ各企業が模索段階であり、今後より明確で強固なコンセプトが登場してくることでしょう。
1
❤ ゼロトラストはセキュリティモデルの設計指針にとどまるわけです。 働き方改革などのトレンドによって、エンドポイントセキュリティの重要性が高まっています。 ゼロトラストセキュリティのあるべき形はまだ各企業が模索段階であり、今後より明確で強固なコンセプトが登場してくることでしょう。
1これに対して次世代マルウェア対策に対応した製品は、マルウェア検知エンジンにAI技術(機械学習)を取り入れ、未知や亜種のマルウェアも高精度に検出可能。
続いて、ゼロトラストの図をご覧ください。
一方、ゼロトラストモデルが採用されると、以下のような点も確認することになります。
😀 それに伴いよりセキュアなシステムを設計していくためには全体的にどういう方向を向いていけばよいのか?その指針の土台となるのがNIST SP800-207であると思いますので、皆様のご理解の一助になれば幸いです。 ゼロトラストネットワークの考え方的には「信頼してはいけない」に近いと思います。 まず、コントロールプレーンというユーザー認証とアプリケションの認証、デバイス認証の評価を一元管理する司令塔と、データ転送など単純な作業を行うデータプレーンがあります。
92013年に発生した米小売大手のTargetにおける情報漏えい事件では、POS端末上で盗んだカード情報は、Targetの社内ネットワークを使って外部に送信されていた。
これらの仕組みを提供するのが「ID認識型プロキシ」(IAP)と呼ばれるジャンルのサイバーセキュリティ製品だ。
この違いを図で説明してみます。
/SecureSketCH_beyondcorp_03.png?width=1368&name=SecureSketCH_beyondcorp_03.png "ゼロ トラスト ネットワーク")
🤜 違反を想定して備える事はゼロトラストの重要な要素です。 Microsoftにおけるゼロトラストの狙いは、モバイル活用社会を前提でユーザーの生産性を保ちつつ、企業の資産を守ることにあります。 ゼロトラストのメリットは、ネットワークセキュリティの脅威に対してシンプルな考え且つ構造でありながら、今までにない強固なセキュリティシステムに変換して行くことが可能となるのです。
20しかしその一方で、LIXILグループやNTTコミュニケーションズのように、何万人という社員をテレワークに移行させた企業もある。
菅義偉(すがよしひで)内閣が掲げる行政のデジタル化に備え、サイバーセキュリティー対策を強化するため、政府が「ゼロトラスト」と呼ばれる新しいセキュリティー対策の導入を検討していることが25日、分かった。
比較的検討期間の長かった企業がテレワーク用のシステムを検討する時に採用する傾向に有るのが「ゼロトラストアーキテクチャ」と呼ばれる新しいセキュリティの考え方だ。
🤟 関連書籍 3 プライベートネットワークからパブリックネットワークへの接続 1. もちろん、例えばクラウドサービスなどを使用するときに、VPNを張りプロキシ経由でアクセスするような構成にしている企業も多いのではないかと思います。 ・特徴4:端末の信頼性評価 証明書等を用いて、アクセスしている端末が会社支給の端末か、私用の端末か? これまでは従業員が主にオフィスに集まって仕事をしていたため、ネットワークの境界が明確だったが、働き方改革やテレワークの導入で従業員が各自の自宅などに分散して仕事をすることも増え、境界型セキュリティの内外を分けるという概念がシステム要件に合わなくなってしまっているという。 例えば多要素認証は、現在のセキュリティーの常識として組み込んでおきたい。
9ゼロトラストでは、機能や機能に対応し、ユーザーが従来の様な複雑なパシワードを複数入力しなくとも、クラウドサービス一つのパスワードですみ、さらにセキュリティの強度を高めることが可能になります。
境界型防御の弱点とは 従来のネットワークやセキュリティ設計では、大前提として下記のような区別がまかり通っていました。
EDRはエンドポイントでどのようなアプリケーションが、どのように動作しているか、外部と通信をしているか、不審なファイルを起動していないかなど、端末の挙動を可視化します。
🙌 ネットワークの内外全てのユーザー・デバイス・フローを信用せず、都度認証 しつこいようですが、基本的には 「性悪説」です。 VPNは基本的には一度ユーザがIDとパスワードで認証が成功すると、ネットワーク単位で通信し放題になる。 ネットワークに依存しないセキュリティ環境を整えることで、働き方改革もスムーズに進められるでしょう。
7ユーザーが利用するデバイスの安全性を確保するためには「モバイルデバイス管理(MDM)」が必要だし、データの防御には「情報漏洩防止(DLP)」が適している。 侵害される可能性や自動回復機構も踏まえながらクラウドシステムに持続可能な強靭さ(レジリエンス)を提供します。
しかし、テレワークは今後労働人口の減少していく日本にとっては、女性や高齢者が自宅に居ながらでも仕事をするための無くてはならない仕組みの一つである。
尚、方はこちらをご覧ください。
✆ ゼロトラストという考え方が重要視され始める以前は、「社内にある端末はすべて安全であり、企業にとって脅威となるものは基本外部から侵入してくる」という考え方が主流でしたが、現在では技術進化と社会背景の変化といった事情から、「内部と外部の境界さえ厳格に守っておけば、企業にとって脅威となる事態は起こりえない」というセキュリティ対策方法だけでは限界がきていると考えられています。 クライアントでセキュリティを担保 先ほど、ゼロトラストネットワークではすべての環境に脅威がある考え方であると紹介しました。
20しかし、昨今は境界を監視するセキュリティ対策では不十分であるとされ、「ゼロトラスト」という考え方が注目されるようになったのです。
ホストの防御さえ鉄壁であれば、外部からの攻撃はいっさい脅威に当たらないという考え方でしたが、すべてのホストを完璧に管理下に置いている組織というのはごく一部でしかないという課題を抱えていました。
・特徴1:最小権限 ゼロトラストアーキテクチャでは、最小権限の考えが適用されるので、ユーザが例えIDとパスワードによる認証が成功したとしても、そのユーザがアクセス権限を持つアプリケーションにのみアクセス可能となる。
/3_ZTNA.jpg?width=1116&name=3_ZTNA.jpg "ゼロ トラスト ネットワーク")
❤️ なぜなら企業のデータ資産はOffice365等のクラウド上で作成され共有されるので、企業内に設置したファイアウォールではこれらのクラウド上のデータ資産を保護することは出来ないし、今まで安全だと考えられていた社内の中にもBYOD等の私物端末が持ち込まれたり、あるいはマルウェアが社内の中を縦横無尽に感染するということが当たり前になってしまった。
8情報セキュリティを「性善説」から「性悪説」へ ゼロトラスト・ネットワーク・セキュリティとは? ゼロトラスト・ネットワーク・セキュリティでは、「全てを信じない」という前提で設計されるネットワーク構成だ。
日々生まれる新たな攻撃手段に対抗できる防御力を保つためには、新たなセキュリティアプローチを模索する必要が生じたのです。
その際にアクセスできるリソースを、同じ利用者でも変えるなどのセキュリティーポリシーを定めておく必要があるだろう。
LIXILは2011年に国内の主要な建材・設備機器メーカー5社が統合して誕生し、世界150ヵ国以上で70,000人を超える従業員を擁するグローバルカンパニーだ。 ゼロトラストネットワークとは、内部ネットワークといえども信頼しないことを基本とするネットワークモデルです。
NISTによるゼロトラストの定義 しています。
PaloAlto社のファイアウォールはIPSとしても動作するL7ファイアウォールとみなせますので、セグメントをまたぐ攻撃についても高い確度での保護が可能となります。
👋企業がクラウドとモバイルの採用を始めたことで、従来の境界を定めてFWで守るという考え方が通用しなくなってきた。
さらに、近年の感染症の流行や、2020年の東京オリンピック等を鑑みると、テレワークの利用は更に増えていくことになるでしょう。 デバイスの保護: PC への侵入検知・隔離• 本人確認が取れた場合のみファイルサーバへのアクセスを許可する。
しかし、先述した通り、ゼロトラスト導入によって完全に安全が保証されるわけではありません。
従来の境界型セキュリティでは、セキュリティシステムの構築は複雑でした。
