2020年03月17日 05時00分 公開
特集/連載

「ゼロトラストセキュリティ」に賢く取り組む3つのベストプラクティスゼロトラストセキュリティとは何か【後編】

「ゼロトラストセキュリティ」は、クラウドによって多様化する企業ITを保護するための有力なアプローチだ。どのように実現すればよいのか。必要な要素とベストプラクティスを紹介する。

[Dave Shackleford,TechTarget]

 調査会社Forrester Researchのアナリストが2010年に提案したセキュリティモデルが「ゼロトラストセキュリティ」だ。エンドユーザーが企業ネットワークの内にいるか、外にいるかに関係なく、必要に応じて認証を要求することでセキュリティを確保するアプローチを取る。近年のクラウドの普及が、ゼロトラストセキュリティの重要性を高めている。

ゼロトラストセキュリティに必要な要素

 ゼロトラストセキュリティの取り組みを効果的に進めるには、2つの重要な概念に力を入れて取り組む必要がある。

 1つ目は、セキュリティをアプリケーション自体に組み込むことだ。その目的は、仮想マシンを作成する時点でセキュリティを確保すること、クラウドの動的な環境の中でアクセス制御を維持することにある。アプリケーションの配置先に合わせてアクセス制御の内容を変更することで、データを保護しやすくなる。

 2つ目は、実行中のアプリケーションの動作を細部まで理解することだ。アプリケーションとその実行環境の関係性を徹底して調査することで、厳密にアクセス権限を管理するゼロトラストセキュリティが実現する。

 仮想マシンやコンテナなどの動的なコンポーネントは、固定されたネットワークには配置しづらい。ネットワークを細かい単位(セグメント)に分割し、セグメントごとにセキュリティを確保する「マイクロセグメンテーション」を導入することで、コンポーネントがどんな環境に属していても、承認済みのアプリケーションとの接続ではトラフィックを流すことを許可することができる。この実現には、正規のトラフィックと動作を定義するために、ネットワークとID両方にまたがった制御ポリシーが必要だ。

 攻撃者はアプリケーションを侵害して不正な通信を用い、さらにネットワーク内の他のアプリケーションを侵害することがある。マイクロセグメンテーションは、こうした侵害の拡大を防止する。ゼロトラストセキュリティでは異なるシステム間の連携について定義した「アフィニティポリシー」を作成するとよいだろう。アフィニティポリシーによって

  • 物理サーバや仮想マシン、ネットワーク機器といったコンポーネント同士の関係性
  • 権限を与えるべきアプリケーション
  • 正規のトラフィック

を定義できる。トラフィックは全て検証され、これらのポリシーを参照した上で、操作を許可するかどうかを判断する。

 ゼロトラストセキュリティをより効果的にする手段には、試行された動作に対して分析処理を実行する何らかの機械学習も含まれる。機械学習はアプリケーションやその実行環境の変化に、時間とともに動的に順応していく。

ゼロトラストセキュリティの3大ベストプラクティス

ITmedia マーケティング新着記事

news156.jpg

サイロ化の現実 75%の企業は部門間が連携せず、むしろ競争関係にある――Accenture調査
デジタル変革(DX)における不十分な事業部間連携は業績低下につながるというAccentureの...

news052.png

ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...

news139.jpg

コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...