ゼロトラスト FAQ

English -> Visit original BeyondTrust page

ゼロトラストとは?

米国立標準技術研究所 (The National Institute of Standards and Technology – NIST) は、ゼロ トラスト (Zero Trust – ZT) を「防御を静的なネットワーク ベースの境界からユーザー、資産、リソースに重点を置く、進化する一連のサイバーセキュリティ パラダイム」と定義しています。 NISTはさらに、ゼロトラスト原則を構成する一連の概念は、「競合していると見なされるネットワークに直面して、情報システムおよびサービスにおけるリクエストごとの正確で最小権限のアクセス決定を強制する際の不確実性を最小限に抑える」ように設計されていると説明しています。

実際には、これには次のようなことが伴います。

  • 永続的な信頼を排除する
  • 継続認証を行う
  • アクセスを必要最小限に細かく制限する
  • セグメンテーションとマイクロセグメンテーション戦略の適用
  • 継続的にアクセスを監査する

ゼロトラスト アーキテクチャとは何ですか?

NIST Special Publication (SP) 800-207 では、ゼロトラスト アーキテクチャ ( Zero Trust Architecture – ZTA) を「ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画、およびアクセス ポリシーを含む企業のサイバーセキュリティ計画」と定義しています。したがって、ゼロトラスト企業とは、ゼロトラスト アーキテクチャ計画の成果として企業に導入されるネットワーク インフラストラクチャ (物理および仮想) および運用ポリシーのことです。」

NIST はさらに、ZTA の主な焦点は「データとリソースの保護」であると明言しています。これにより、オンプレミスおよび複数のクラウド環境に分散されたエンタープライズ リソースへの安全な許可されたアクセスが可能になると同時に、ハイブリッドな従業員とパートナーがいつでも、どこからでも、任意のデバイスからリソースにアクセスして、組織の使命をサポートできるようになります。」

ゼロトラストの中核となる理念は何ですか?

NIST は、ゼロトラストに関して次の 7 つの原則を掲げています。

  1. すべてのデータ ソースとコンピューティング サービスはリソースとみなされます。 (エンドポイント)
  2. ネットワークの場所に関係なく、すべての通信は保護されます。(データフロー)
  3. 個々のエンタープライズ リソースへのアクセスは、セッションごとに付与されます。 (データフロー)
  4. リソースへのアクセスは、クライアント ID、アプリケーション/サービス、要求元の資産の観察可能な状態を含む動的ポリシーによって決定され、その他の行動属性や環境属性が含まれる場合があります。(データフロー)
  5. 企業は、所有および関連するすべての資産の整合性とセキュリティ体制を監視および測定します。(エンドポイント)
  6. すべてのリソースの認証と認可は動的であり、アクセスが許可される前に厳密に適用されます。(ネットワークアイデンティティガバナンス)
  7. 企業は、資産、ネットワークインフラストラクチャ、および通信の現在の状態について可能な限り多くの情報を収集し、それをセキュリティ体制の改善に使用します。(データフロー)

ゼロトラストを実装するにはどうすればよいですか?

ゼロトラストを実際に実装するには、組織は、理論上の要件を満たす原則に基づいて実際に実装できるテクノロジと構成を把握する必要があります。そのために、NIST はそのギャップを埋めるために、ゼロトラストの実装に関する SP NIST 1800-352 を発行しました (2022 年 12 月頃)。現在、ゼロトラストの理論的要件と実践的要件の両方に対処できるソリューション ( Privileged Access Management (PAM) など) が存在します。

PAM はゼロトラストの実現にどのように役立ちますか?

Privileged Access Management (PAM) は、ゼロトラスト セキュリティ制御を実装し、ゼロトラスト アーキテクチャを有効にするための基礎的なテクノロジ スタックです。 BeyondTrust PAM は、オンプレミス環境とクラウド環境全体で次の機能を提供します。

  • すべての特権 ID、アカウント、資産を検出、オンボーディング、カタログ化します。
  • 適応型アクセスと継続的認証を強制して、すべてのデバイス、ユーザー、アカウント、および ID が実際の ID に高い信頼性を持っていることを保証します。言い換えれば、彼らは単に肯定的な認証を超えた存在であると彼らが主張する人物です。
  • ジャストインタイム アクセスを含む最小限の権限をすべてのセッション、エンドポイント、アプリケーションに適用することで、特権アクセスと資格のサイズを適切に調整します。
  • ベンダー、従業員、サービス デスクがセッションや信頼できるアプリケーションに対して安全で最小限の権限のリモート アクセスを可能にします。
  • セグメンテーションとマイクロセグメンテーションを実装して、資産とユーザーを分離し、横方向の移動を防ぎます。
  • すべての特権セッションを監視および管理し、誰が何をしているのか、そしてなぜそれを行っているのかを継続的に可視化して制御できるため、不審な動作があれば、権限とアクセスの即時取り消しをトリガーできます。
  • Microsoft® Active Directory 認証、シングル サインオン機能、およびグループ ポリシー構成管理を Unix および Linux システムに拡張し、オペレーティング システムやアプリケーションに関係なく、アイデンティティの安全な管理と企業全体でのゼロ トラストの実装へのパスを簡素化します。

ゼロトラストはどのようなネットワークの課題に対処できますか?

次の事実により、ネットワークの場所はリソースのセキュリティ体制の主要なコンポーネントとして扱うことができなくなりました。

  • ネットワークは、オンプレミス環境と複数のクラウドの両方にリソースが分散された分散型の境界のない環境になりました。
  • 多くのユーザーは、組織の使命をサポートするために、いつでも、どこからでも、あらゆるデバイスからアクセスできる必要があります。
  • データは、進化し続けるビジネス ユースケースに対応するために、さまざまな組織の制御下でさまざまな境界を越えてプログラムによって保存、送信、処理されます。
  • エンタープライズ環境の境界でアクセス制御を単に強制し、その環境内のすべてのサブジェクトが信頼できると想定することは、もはや現実的ではありません。

ゼロトラスト モデルは、物理的またはネットワーク上の場所や資産の所有権のみに基づいて、資産やユーザー アカウントを暗黙的に信頼できないという前提に基づいて動作するため、セキュリティの効果的な形式です。ゼロトラストでは、エンタープライズ リソースへのセッションを確立する前に、サブジェクトとデバイスの両方の認証と認可が必要です。

ゼロトラストによって、アイデンティティ セキュリティの問題はどれくらい解消できるでしょうか?

BeyondTrust の最近の調査では、回答者の 93% が過去 18 か月以内にアイデンティティ関連のインシデントに遭遇したと回答し、81% が 2 つ以上のインシデントを経験したと回答しました。これらのインシデントの 63% は特権アカウントに関連していました。脆弱性のエクスプロイトやその他の攻撃ベクトルのほとんどは実行に特権を必要とするため、特権アカウントと資格情報は脅威アクターによって珍重されます。これらの認証情報により、内部リソース、セキュリティ システム、クラウド リソースへのアクセスが可能になります。一部の特権アカウントは従業員の ID に関連付けられていますが、他の特権アカウントは請負業者、ベンダー、監査人、またはマシンとアプリケーションに関連付けられています。ゼロトラスト戦略には、この種のリスクに直接対処する原則が含まれています。

2023 年にゼロトラスト セキュリティ モデルを導入した組織は何社ありますか?

BeyondTrust の最近の調査では、市場における現在のゼロトラスト導入レベルを調査し、自社の計算でゼロトラスト ソリューションを完全に導入している企業は 24% のみであることがわかりました。企業の 4 分の 3 以上 (76%) が、ゼロトラスト アプローチをまだ導入中です。ゼロトラスト アプローチは、クラウド利用とリモート ワーカーの増加により拡大するセキュリティ境界を確保するために必要です。これらの企業のうち、26% はまだプロセスの初期段階にあり、ツールとセキュリティ ソリューションを選択し、プロセスを確立しているところです。半分 (50%) はさらに長く、いくつかのツールとプロセスが整備され、最適化されています。

ゼロトラスト セキュリティの利点は何ですか?

慎重に実装されたゼロトラスト アーキテクチャにより、次のことが得られます。

  • 企業全体で、いつ、どこから、誰 (または何) がネットワークにアクセスできるかについての可視性が向上します。
  • 合理化および最適化されたプロセスにより、IT マネージャーとセキュリティ チームの効率と有効性が向上します。
  • ゼロスタンディング特権フレームワークとジャストインタイム (JIT) アクセス ( Saviynt CPAM – Disrupting the PAM Market から 英語 )を組み合わせたデータ保護の強化。
  • ID を新しい境界として設定し、VPN を必要としない安全なアクセス ソリューションを確立することで、安全なリモート ワークフォースが実現します。
  • 高度なハイブリッド クラウド セキュリティ。
  • 全体的なリスクが大幅に軽減され、一般的な脅威に対する保護が強化されます。
  • 強化されたログ記録と監査証跡による継続的なコンプライアンス。

ゼロトラストはどのような種類の攻撃を防ぐことができますか?

  • ランサムウェア
  • マルウェア
  • ラテラルムーブメント
  • アカウントのハイジャック
  • サプライチェーン攻撃

ゼロトラストはコンプライアンス基準を満たすのに役立ちますか?

ゼロトラスト セキュリティ モデルは、強化された一元化されたネットワーク監視と可視性、高度なログ記録と監査証跡を導入し、監査プロセスを簡素化するため、組織が継続的なコンプライアンスを維持するのに役立ちます。また、ゼロ トラストは、組織をネットワーク ベースの境界からアイデンティティ ベースの境界に移行させます。これにより、多くのコンプライアンス標準の中核コンポーネントであるデータとアイデンティティへのアクセスの保護がより重視されます。

関連資料

ゼロトラスト

ゼロトラストを実現する特権アクセス管理
BeyondTrust Privileged Access Management (PAM) ソリューションでサイバー リスクを軽減し、ゼロ トラストの目標を達成します。
www.idnetworks.co.jp
2024.03.05
ゼロトラスト 関連資料
ゼロ トラストは難しいトピックである可能性があるため、私たちは一流の専門家によって指摘されたトップ レベルの資料を厳選しました。
www.idnetworks.co.jp
2024.03.05

BeyondTrustについて

BeyondTrust社について
ワールドワイドでよく利用されている特権アカウント管理ソリューションを提供しているBeyondTrust社を紹介します。
www.idnetworks.co.jp
2020.09.07
特権アクセス管理ソリューション
BeyondTrustは、特権アカウントのパスワード管理、VPNを利用しないリモートセッション、サポートサービス、最小権限を実現するソリューションを擁しています。広くいろいろな業界でも使用されています。
www.idnetworks.co.jp
2024.02.22
ホーム
BeyondTrust社について
特権アクセス管理ソリューション
ゼロトラストを実現する特権アクセス管理