2020年03月17日 05時00分 公開
特集/連載

「ゼロトラストセキュリティ」に賢く取り組む3つのベストプラクティスゼロトラストセキュリティとは何か【後編】

「ゼロトラストセキュリティ」は、クラウドによって多様化する企業ITを保護するための有力なアプローチだ。どのように実現すればよいのか。必要な要素とベストプラクティスを紹介する。

[Dave Shackleford,TechTarget]

 調査会社Forrester Researchのアナリストが2010年に提案したセキュリティモデルが「ゼロトラストセキュリティ」だ。エンドユーザーが企業ネットワークの内にいるか、外にいるかに関係なく、必要に応じて認証を要求することでセキュリティを確保するアプローチを取る。近年のクラウドの普及が、ゼロトラストセキュリティの重要性を高めている。

ゼロトラストセキュリティに必要な要素

 ゼロトラストセキュリティの取り組みを効果的に進めるには、2つの重要な概念に力を入れて取り組む必要がある。

 1つ目は、セキュリティをアプリケーション自体に組み込むことだ。その目的は、仮想マシンを作成する時点でセキュリティを確保すること、クラウドの動的な環境の中でアクセス制御を維持することにある。アプリケーションの配置先に合わせてアクセス制御の内容を変更することで、データを保護しやすくなる。

 2つ目は、実行中のアプリケーションの動作を細部まで理解することだ。アプリケーションとその実行環境の関係性を徹底して調査することで、厳密にアクセス権限を管理するゼロトラストセキュリティが実現する。

 仮想マシンやコンテナなどの動的なコンポーネントは、固定されたネットワークには配置しづらい。ネットワークを細かい単位(セグメント)に分割し、セグメントごとにセキュリティを確保する「マイクロセグメンテーション」を導入することで、コンポーネントがどんな環境に属していても、承認済みのアプリケーションとの接続ではトラフィックを流すことを許可することができる。この実現には、正規のトラフィックと動作を定義するために、ネットワークとID両方にまたがった制御ポリシーが必要だ。

 攻撃者はアプリケーションを侵害して不正な通信を用い、さらにネットワーク内の他のアプリケーションを侵害することがある。マイクロセグメンテーションは、こうした侵害の拡大を防止する。ゼロトラストセキュリティでは異なるシステム間の連携について定義した「アフィニティポリシー」を作成するとよいだろう。アフィニティポリシーによって

  • 物理サーバや仮想マシン、ネットワーク機器といったコンポーネント同士の関係性
  • 権限を与えるべきアプリケーション
  • 正規のトラフィック

を定義できる。トラフィックは全て検証され、これらのポリシーを参照した上で、操作を許可するかどうかを判断する。

 ゼロトラストセキュリティをより効果的にする手段には、試行された動作に対して分析処理を実行する何らかの機械学習も含まれる。機械学習はアプリケーションやその実行環境の変化に、時間とともに動的に順応していく。

ゼロトラストセキュリティの3大ベストプラクティス

ITmedia マーケティング新着記事

news088.jpg

「ウェビナー疲れ」 参加経験者の約7割――ファストマーケティング調べ
ウェビナーに参加する目的や参加頻度など、ウェビナー参加者の最新動向に関する調査です。

news070.jpg

現金主義からキャッシュレス利用へのシフト 理由の一つに「衛生」も――クロス・マーケティング調査
キャッシュレス利用が顕著に増加。金額によって支払い方法の使い分けが定着しつつあるよ...

news021.jpg

中国Z世代の心をつかむ「bilibili」、越境マーケティングにどう活用する?
「bilibili」のKOL(インフルエンサー)を活用したマーケティング手法と事例について、ア...