「ゼロトラストセキュリティ」に賢く取り組む3つのベストプラクティス：ゼロトラストセキュリティとは何か【後編】

「ゼロトラストセキュリティ」は、クラウドによって多様化する企業ITを保護するための有力なアプローチだ。どのように実現すればよいのか。必要な要素とベストプラクティスを紹介する。

[Dave Shackleford，TechTarget]

　調査会社Forrester Researchのアナリストが2010年に提案したセキュリティモデルが「ゼロトラストセキュリティ」だ。エンドユーザーが企業ネットワークの内にいるか、外にいるかに関係なく、必要に応じて認証を要求することでセキュリティを確保するアプローチを取る。近年のクラウドの普及が、ゼロトラストセキュリティの重要性を高めている。

併せて読みたいお薦め記事

ゼロトラストセキュリティとは

• いまいち分かりにくい「ゼロトラストセキュリティ」をあらためて理解する
• いまさら聞けない　全てを疑う「ゼロトラスト」セキュリティ入門
• 全てを疑う「ゼロトラスト」でネットワークを保護すべき5つの理由

クラウドのセキュリティ対策

• 「CASB」とは？　クラウドセキュリティを強化する4つの役割
• クラウドセキュリティの“熱い”キーワード「CASB」とは何か？　誕生の理由は？

ゼロトラストセキュリティに必要な要素

　ゼロトラストセキュリティの取り組みを効果的に進めるには、2つの重要な概念に力を入れて取り組む必要がある。

　1つ目は、セキュリティをアプリケーション自体に組み込むことだ。その目的は、仮想マシンを作成する時点でセキュリティを確保すること、クラウドの動的な環境の中でアクセス制御を維持することにある。アプリケーションの配置先に合わせてアクセス制御の内容を変更することで、データを保護しやすくなる。

　2つ目は、実行中のアプリケーションの動作を細部まで理解することだ。アプリケーションとその実行環境の関係性を徹底して調査することで、厳密にアクセス権限を管理するゼロトラストセキュリティが実現する。

　仮想マシンやコンテナなどの動的なコンポーネントは、固定されたネットワークには配置しづらい。ネットワークを細かい単位（セグメント）に分割し、セグメントごとにセキュリティを確保する「マイクロセグメンテーション」を導入することで、コンポーネントがどんな環境に属していても、承認済みのアプリケーションとの接続ではトラフィックを流すことを許可することができる。この実現には、正規のトラフィックと動作を定義するために、ネットワークとID両方にまたがった制御ポリシーが必要だ。

　攻撃者はアプリケーションを侵害して不正な通信を用い、さらにネットワーク内の他のアプリケーションを侵害することがある。マイクロセグメンテーションは、こうした侵害の拡大を防止する。ゼロトラストセキュリティでは異なるシステム間の連携について定義した「アフィニティポリシー」を作成するとよいだろう。アフィニティポリシーによって

• 物理サーバや仮想マシン、ネットワーク機器といったコンポーネント同士の関係性
• 権限を与えるべきアプリケーション
• 正規のトラフィック

を定義できる。トラフィックは全て検証され、これらのポリシーを参照した上で、操作を許可するかどうかを判断する。

　ゼロトラストセキュリティをより効果的にする手段には、試行された動作に対して分析処理を実行する何らかの機械学習も含まれる。機械学習はアプリケーションやその実行環境の変化に、時間とともに動的に順応していく。

ゼロトラストセキュリティの3大ベストプラクティス