ゼロ トラスト セキュリティ。 ゼロトラストとは? クラウド普及で変わる新しいセキュリティ対策

ゼロトラスト・セキュリティ方法論とは?|ペンタセキュリティ

ゼロ トラスト セキュリティ

20年以上変わらない 従来型ネットワークセキュリティ VPNとファイアウォールに代表される従来型ネットワークセキュリティは、企業ネットワークの「内」と「外」の「境界」を守る、という考え方に基づいています。 守るべき企業の情報資産はネットワーク境界の「内」にあるという前提のもと、外部からの企業ネットワークへの接続を監視します。 いったんVPNを経由して社内ネットワークの内側に一度入ることに成功したデバイスからの接続は、常に安全であると認識され、社内にある全てのサーバーへのアクセスが可能になります。 次世代型は、全てのアクセスを 信用せず 必ず確認する 「ゼロトラスト」モデル シグマクシスが推奨する次世代ネットワークセキュリティは、ネットワークの内外を区別せず、接続者、接続端末を問わず常に全ての通信を必ず接続前に確認する「 ゼロトラスト」モデルです。 ゼロトラストの原則を実装した新しいネットワークセキュリティ技術「 SDP(Software Defined Perimeter)」は、全ての通信について、事前の登録情報に加えて、リアルタイムにその通信の状況を動的に判断し、アクセス先への接続を許可します。 アクセス権限のないサーバーへアクセスできないことはもちろん、サーバーの存在を認識することもできないため、ハッカーなど悪意を持った第三者からの攻撃による被害拡大リスクを低減させることができます。 開発環境のマルチクラウド化 多様化した開発環境に安全にアクセスするには… Agile アジャイル やDevOps デブオプス など開発手法が多様化し、社内の開発担当者や運用担当者、システム開発ベンダーやAIベンチャーなどのビジネスパートナーや技術者が、国内外のリモート環境に分散してクラウド上で開発。 開発参画者の多様化により、複数IaaS、プライベートクラウドなど、開発環境もマルチクラウド化。 モバイルアプリやWEBアプリケーションだけでなく、基幹系システムについても、多様な開発手法の広がりをうけて開発時の接続数が増加。 マルチクラウドに対応し、迅速、柔軟かつ安全なセキュリティ環境を構築できるSDPで、いつでもどこからでも、安全に開発環境にアクセス。 シグマクシスは 企業のSDP導入を支援します シグマクシスはビジネスパートナーとともに、SDPの導入を通じて、企業のデジタル・トランスフォーメーションを支援する次世代ネットワークセキュリティ環境の構築を支援しています。 パートナー企業・ ソリューションのご紹介 Cyxtera『App Gate SDP』• 特徴1 SDP自身に対するハッカーの攻撃への対策 接続設定の最初に、シングルパケット認証を利用し、認証されていない端末からのアクセスは全て破棄します。 その後の接続は、この認証を通過したアクセスのみが対象となり、コントローラ側にかかる負荷は非常に小さく、テラバイト級の攻撃にも耐えることができます。 特徴2 信頼できないネットワークからの アクセスを隔離・保護 App Gate SDPでは、信頼できないネットワーク(カフェ、ホテル、外部Wi-Fi等)からのアクセスを保護するためのデバイス隔離機能(リング・フェンス)を有しています。 信頼できないネットワークから内部情報に社員がアクセスしている場合、他のローカルネットワークにいる悪意あるユーザーからのアクセス(横入り)を遮断します。 特徴3 マルチプロトコル対応で 既存製品との連携がスムーズ 企業の多くは、既に多層防御のためのセキュリティアプライアンスや、インシデント対応、システム運用のための機器を導入しています。 APP Gate SDPは、各製品で異なるプロトコルのほぼ全てに対応可能なため、既に導入している製品と繋ぎ、より強力で有効なアクセス制御を簡単に実現することが出来ます。

次の

ゼロトラスト・セキュリティーの要諦

ゼロ トラスト セキュリティ

ゼロトラストネットワークの実現に向けて 近年、ゼロ・トラストネットワークによるセキュリティ対策を推奨するセキュリティ企業が増えています。 ゼロトラストネットワークとは、内部ネットワークといえども信頼しないことを基本とするネットワークモデルです。 ゼロトラストネットワークの考え方自体は2010年にForrester Research社により提唱されたもので、新しい考え方ではありませんが、近年、境界での防御の限界も見えてきており、導入のための環境も充実してきたため、推奨されるようになってきているようです。 2019年以降、導入を希望する企業が増えるものと思われるため、注目する必要がある技術です。 実装に向けた方法はさまざまありますが、今回はセキュリティ企業数社の提唱するモデルを見ていきます。 掲載は記事の公開日順です。 PaloAlto社 2014年の時点で、既に内部ネットワークも次世代ファイアウォールであるPaloAltoで、通過する通信内容をアプリケーション、ユーザー、コンテンツごとに分類することを提唱していました。 PaloAlto社のファイアウォールはIPSとしても動作するL7ファイアウォールとみなせますので、セグメントをまたぐ攻撃についても高い確度での保護が可能となります。 最近は、Trapsという脅威解析サービスと連携した次世代エンドポイントセキュリティ製品も推奨しています。 Trapsはサンドボックス解析機能を備えたクライアント保護を目的とし、安全であることを確認するまではファイルを実行させない機能を持っており、ゼロトラストネットワークの構築に有効と考えられます。 Microsoft社 Microsoft 365を用いることで、ゼロトラストネットワークの実現を提唱しています。 Azure Active Directoryの機能を利用し、条件付きアクセスポリシーを活用することでユーザー、デバイス、場所、およびセッションのリスクに基づき動的にアクセス制御を行います。 Microsoftにおけるゼロトラストの狙いは、モバイル活用社会を前提でユーザーの生産性を保ちつつ、企業の資産を守ることにあります。 侵害される可能性や自動回復機構も踏まえながらクラウドシステムに持続可能な強靭さ(レジリエンス)を提供します。 Symantec社 Integrated Cyber Defense(統合サイバー防御)というSymantec社のセキュリティ製品を管理する製品において、ウイルス対策(Endpoint Protection)、Webアクセス保護(Network Security)、電子メール保護(Email Security)、クラウド管理(Cloud Security)の4製品を統合管理・制御することで、ゼロトラストネットワークを構築します。 ゼロトラストの実装では、オンプレミスとクラウドの両方でデータに誰がアクセスしているかを最大限把握する保護機能を使用し、データはユーザーに関するすべてのリスク要素とデバイス認証が評価された場合にのみ利用が可能になります。 上記は一例であり、今後も様々なサービスがセキュリティ企業より提供されると思われます。 既存のネットワークのポリシーやファイアウォールルールの変更や、ネットワークの運用方法の工夫でもゼロトラストネットワークの狙いを実現できる可能性がありますので、検討してみてはいかがでしょうか。

次の

ゼロトラストネットワークの実現に向けて

ゼロ トラスト セキュリティ

近年、「働き方改革」を支援する環境として、場所や時間の制約から解放された働き方を実現するデジタルワークプレイスが注目されています。 既にチャットやWeb会議、グループウェア、ファイル共有サービスなどを利用することで、場所と時間の制約を受けずに業務を遂行し、生産性を高めることが可能になってきています。 このような柔軟な働き方を継続するには、セキュリティーリスクと向き合うことは避けて通れません。 その対策として注目が集まっている考え方が「ゼロトラストセキュリティ」です。 ゼロトラストセキュリティとは ゼロトラストという考え方は、2010年に米国の調査会社であるフォレスター・リサーチ(Forrester Research)のジョン・キンダーバーグ氏(John Kindervag)が提唱した概念です。 従来のネットワークセキュリティーにおいては、社内外の境界線の外側から内側を守るという発想でした。 ところが近年は、クラウドサービスを利用してデータ資産を外部に保管したり、モバイルデバイスであらゆるところからネットワークに接続したりするようになりました。 また、今では社内からのアクセスだからといって無条件に信頼するわけにもいきません。 そこで、ユーザーもデバイスもあらゆるものを性悪説のように信頼せず、全てのトラフィックを検証するゼロトラストという考え方が登場しました。 ゼロトラストとは概念であるため、実装に必ずしも新しい技術が必要ではなく、既存の技術の高度化と組み合わせでも実現可能です。 たとえばユーザーIDとパスワードでログインされた場合、同時にMACアドレスが登録済みかどうか確認するなどのアプローチです。 その上で、安全なユーザーの挙動を機械学習などで学習させていれば、挙動不審なユーザーをブロックすることができます。 たとえば通常ならアクセスされない時間帯(深夜2時~3時など)に、15分おきにアクセスしてくる不審なユーザーに対しては、2段階認証を要求するなどの仕組みも考えられます。 ペリメタモデルからゼロトラストへ ゼロトラスト以前は、境界防御型とも言えるペリメタモデルのセキュリティーが主流でした。 ペリメタ(perimeter)とは境界線を表します。 つまり、外部の脅威から内側を守る、内部のネットワークを信用するという考え方です。 これはケースにもより、依然として有効な施策ですが、現代では、特定のユーザーやデバイスを信用して境界線で確認するというペリメタモデルから、何者も信用せずに全て確認するというゼロトラストへの発想の転換が求められているのも確かです。 働き方改革に合ったセキュリティーを確立してはじめて、データ資産をより効率的に活用したり、ユーザーがあらゆる時間と場所からアクセスしたり、企業間のコラボレーションやAPIによるサービスの連携を安全に進めることができるのです。 Google BeyondCorpとは、Googleが2011年から実装をめざしたゼロトラストセキュリティモデルで、従業員や協力先などのユーザーが、いわゆる「信頼できないネットワーク」経由でも業務を遂行できる環境を構築しました。 このような仕組みを持つことはインフォメーション・ガバナンスもしくは情報ガバナンスでも有効です。 企業におけるデータ資産が急激に膨張している現在、インフォメーション・ガバナンスが実施されていなければ、変化するビジネス上の各種規制の遵守や訴訟時の対応が困難になっているという現実もあります。 これらのことから、ゼロトラストセキュリティは、今後あらゆる企業において、重視すべき概念だと言えます。

次の