ゼロトラストセキュリティ(ZT)ソリューションとは、誰も盲目的に信頼されず、正当であることが検証され、承認されるまで、会社の資産へのアクセスを許可されないという考え方によって定義されます。これは「最小特権アクセス」の原則に基づいて動作し、ユーザーまたはユーザーグループが必要とするリソースにのみアクセス許可を選択的に付与し、それ以上の権限は付与しません。 ネットワーク、データ、その他の資産へのアクセスを許可されたユーザーは、継続的に自分の身元を認証する必要があります。
ブログ: ゼロトラストの始め方
ホワイトペーパー: プラクティスをリードするゼロトラスト
この用語は、ForresterのアナリストであるJohn Kindervag氏によって作られた造語で、ネットワークトラフィックがどこから来たかに関係なく、ネットワークトラフィックを処理する際に固有の「非信頼」の重要性を説明しました。 この概念は、ネットワーク セキュリティ用語として生まれました。これは、概念が生まれた当時、ほとんどの企業が独自の社内ネットワークとデータ ストレージ容量で運用していたためです。
ゼロトラストセキュリティの原則は、2004年に ジェリコフォーラムが提唱した「境界の解除」と呼ばれる、はるかに初期の概念に起源をさかのぼることができます。境界セキュリティは、侵入者を締め出す目的で、ファイアウォールと境界ガードによって行われます。 この戦略の欠陥は、侵入者が境界を突破した場合の安全対策が欠如していることです。 境界の解除は、ネットワークをインターネットから分離する標準的な「境界」セキュリティを取り除き、代わりに暗号化と認証に基づいて構築されたセグメンテーションと多層セキュリティシステムを作成する戦略です。 ゼロ トラスト アーキテクチャ (ZTA) は、境界内に存在するかどうかに関係なく、すべてのデバイス、ユーザー、アクションに対する継続的な再認証と固有の不信感によってセキュリティを階層化します。
これらは、ゼロトラストモデルを導く3つのコア原則です。
個人のタスクを遂行する能力に影響を与えることなく、可能な限り最小限の権限とアクセスを与えることで、ケースバイケースで必要なものだけにリソースへのアクセスを許可し、それ以外のものには一切許可しないようにします。
ゼロトラストセキュリティモデル内では、本質的に信頼されるアクションやユーザーはいません。 システムへの新しいエントリや新しいデータへのアクセス要求には、ユーザーの ID を確認するための何らかの認証が必要です。
ZT では、ユーザーの行動、データの移動、ネットワークの変更、データの変更を一貫して監視および評価する必要があります。 認証と権限の制限は基盤となるものですが、組織のインフラストラクチャ内で実行されるすべてのアクションを検証することが常に最善です。
モバイルワーカーやリモートワーカーの急増に対応して、企業ネットワーク アクセスから暗黙の信頼を取り除き、デバイスとユーザー ID の検証を要求することがますます重要になっています。 このモデルは、次のような企業インフラストラクチャにメリットをもたらします。
こうしたハイブリッド ワークのトレンドはユーザーにメリットをもたらし、IT に新たなレベルの柔軟性をもたらしますが、セキュリティ チームがデータやネットワーク リソースへのアクセスを制御および保護し、企業のセキュリティに対する悪意のある攻撃を防ぐ能力も低下します。 このモデルでは、制御を取り戻し、ネットワーク境界が崩壊する中、セキュリティを強化します。
ゼロ トラスト モデルでは、ネットワークとデータ インフラストラクチャを、鍵のかかったドアのある部屋がたくさんある建物と考えます。 各ロックには独自の個別のキーがあり、必要なアセットがあるルームへのアクセスのみをユーザーに許可し、それ以外は許可しません。
階層化されたセキュリティ制御を実施することで、プライベートアプリケーション、機密データ、およびネットワーク資産を保護すると同時に、悪意のある内部関係者や侵害されたアカウントによるリスクを大幅に軽減します。
ゼロトラストモデルには、現在2つの異なるアプリケーションがあります。
環境へのリモートアクセスを許可するように設計されたソリューションは、一般にゼロトラストネットワークアクセス (ZTNA) と呼ばれますが、Software-Defined Perimeter (SDP) としても知られています。これは、クラウドファーストかつソフトウェアベースのアプローチを使用して、従来のVPNのハードウェアを置き換え、ネットワークへのアクセスを保護する最新の方法です。これにより、ユーザーやデバイスを、データセンターやパブリッククラウドで必要なサーバーやアプリケーションにインターネット経由で安全に接続できるオーバーレイネットワークが作成されます。
ゼロトラストとZTNAの違いは何か?
ZTDPは、Netskope によって作成された新しいセキュリティ フレームワークです。 当社では、ゼロ トラスト データ保護を、ゼロ トラストの基本原則を適用して、不正な閲覧、移動、変更、流出からデータを保護するものと定義しています。
分析や、クラウド、ウェブ、ネットワークの使用状況に対するインライン可視性などの他のツールを追加することで、管理者はゼロ トラスト ルールをカスタマイズし、他のデータ セットへの不正な横方向の移動を防ぐことができます。 ZTDP は、不正なデータアクセスやデータの流出に対する第一線の防御です。
どちらの概念もゼロ トラストを活用していますが、ZTNA はネットワーク アクセスを保護する目的で厳密にモデルを適用するのに対し、ZTDP はデータへのアクセスの保護にゼロ トラストを適用します。 理想的な世界では、企業はネットワーク侵入やデータの流出/改ざんに対する安全策として、両方の概念を活用するでしょう。
ガートナーの、ゼロトラストの予測と洞察
|
| ||||
参考: GARTNER レポート: THE FUTURE OF NETWORK SECURITY ISIN THE CLOUD
ゼロトラストソリューションには、多要素認証 (MFA) から ID とアクセス管理 (IAM)、暗号化、スコアリング、ファイルシステムのアクセス許可など、さまざまな機能とテクノロジが混在している必要があります。
Netskope のZTNA Nextソリューションは、クラウドネイティブの ZTNA プラットフォームとして多様な環境をサポートするように特別に設計されています。 包括的なアクセス ポリシー管理、コンプライアンス評価、既存の IAM およびセキュリティ情報およびイベント管理 (SIEM) ソリューションとの統合を組み合わせ、あらゆるアプリケーションとプロトコルをサポートすることで、ネットワークとセキュリティの運用を簡素化します。
また、このソリューションは、インラインCASB、データ損失防止 (DLP)、SWG、高度な脅威からの保護 (ATP) など、複数の統合されたクラウドネイティブ技術で構成されるNetskope Next Generation Secure Web Gateway (NG SWG)との統合による拡張保護も提供します。
この統合により、ハイブリッドクラウド環境の独自の統一された可視性と保護が提供され、DLPやATPなどの遅延の影響を受けやすいセキュリティ機能が強化されます。 たとえば、ユーザーは、 Netskopeのリアルタイムコーチング、データ保護、およびアプリケーションアクティビティ制御により、 ChatGPT やその他の生成AIアプリを安全に使用できるようになります。
簡単に言えば、Netskope の ZTNA Next は、あらゆる環境のあらゆるアプリケーションに対して、ZT アクセシビリティへの次世代アプローチを提供します。
Netskope One の基本要素をご紹介します。 Zero Trust Engine
Security Service Edge (SSE) は、複数のクラウドベースのセキュリティサービスをSecure Access Service Edge (SASE) アーキテクチャの一部として統合したものです。SSEソリューションは、基本的なセキュリティ運用としてゼロトラスト原則をアーキテクチャに組み込みます。データ移動からネットワークアクセスまで、すべてがゼロトラストによって管理されるため、すべてのユーザーは認証され、SSEセキュリティ構造内では必要なものだけにアクセスできるようになります。
ZTは、単なるネットワーク固有のアーキテクチャではなく、より一般的な概念をカプセル化するように進化しました。 このコンセプトは業界関係者の間で定着しつつあり、最も一般的な 2 つのアプリケーションはネットワーク (ZTNA) とデータ (ZTDP) の領域にありますが、このセキュリティ モデルは次のような他の領域にも拡大しています。
リモート ワークとクラウド環境の動的な性質と要件は、従来のセキュリティ アーキテクチャにあらゆる角度から挑戦をもたらします。 ネットワーク中心の戦略は、サイバーセキュリティの脅威を軽減するのに以前ほど効果的ではありません。
ZT は基本的に、アクセスを試みるすべてのユーザーとデバイスを最初に検証する必要がある「デフォルト拒否」のセキュリティ アプローチを採用しています。 ゼロ トラスト クラウド セキュリティ ソリューションは拡張性が高く、ネットワークではなくアプリケーションへの安全なアクセスをユーザーに提供し、プライベート アプリケーションやデータを侵害や不正使用から効果的に保護します。 これらのゼロトラスト機能は、セキュリティサービスエッジの広範囲にわたる機能と組み合わせることで、進化し続けるセキュリティ環境からビジネスを保護します。
継続的な適応型信頼—ゼロトラストとSASEを採用するための鍵と到達する方法
LinkedInの投稿やセキュリティ技術ブログで「SASE」という用語をよく目にするようになりました。そんな中で、Netskopeが他と違うのは、理論のみにとらわれないことです。本ホワイトペーパーは、「青写真」として、SASEアーキテクチャにおけるゼロトラストの影響を完全に理解するために必要なことを網羅しています。
Back 
