DevOps consultant
06 12, 2021

なぜ企業はゼロ・トラストセキュリティに注目すべきなのか?

ゼロ・トラスト・セキュリティとは、最も単純な意味で、デフォルトで信頼を持たないセキュリティ制御を開発することと定義することができます。簡単に言えば、そもそもあなたの組織はすでに侵入されていることを前提にしているのです。

しかし、今日のデジタル・ビジネスの世界では、上記の前提は文字通り現実と正反対になり得ます。例えば、従業員であれば、物理的に職場にいるか、会社の信頼できるネットワークを使って遠隔地から(VPNで)アクセスすれば、あらゆるアプリケーション、サーバー、その他のインフラにアクセスすることができるようになるはずです。

COVID-19のパンデミック発生中もリモートワークのトレンドは続いているため、その思い込みが組織を潜在的なトラブルに追い込むことがしばしば示されることがあります。

2021年、企業のセキュリティ侵害のケースは、何があっても続くようです。

このように、企業ネットワークの境界が徐々になくなっていくことについて、企業組織はゼロトラスト・セキュリティへの切り替えの必要性が加速すると予想されます。

なぜゼロトラストなのか?

まず、ゼロトラスト・アプローチでは、すべてのユーザーとトランザクション(ユーザーのアイデンティティ、アプリケーション、ネットワーク、アクセスするデータの分類、デバイスのセキュリティプロファイル、使用する認証機能など、複数の側面から構成)を検証することによって、アクセスの決定を行うことができます。ゼロトラスト・アプローチを採用する組織は、時代遅れの城と堀のネットワーク・セキュリティ・モデルから徐々に脱却していくことができます。

認証から承認までの連続したプロセスであるため、ゼロトラスト・アプローチは、企業組織が新しいビジネス価値を引き出すのに役立ちます。

  • ゼロ・トラスト・セキュリティ・モデルは、セキュリティ・リスクとビジネス・リスクを結果的に低減するのに役立ちます。
  • 幅広いデバイスの選択肢により、BYOD(Bring-Your-Own-Device)アプローチが可能になります。
  • 1対1ではなく、適切なレベルのセキュリティ認証を採用することができる。つまり、信頼度が高い場合には、低レベルの認証を利用することができます。一方、信頼度が低い場合(例:アクセスのリスクが高い、デバイスが未定義、信頼されていないなど)には、強いレベルの認証が自動的に適用されます。最悪の場合、信頼度が事前に設定した範囲から外れると、アクセスが拒否されることになる。
  • ポイントアプローチへの依存度の低減 脅威の状況に変化があるため、ゼロトラスト・アプローチの中にも最低限のセキュリティレベルを確保する必要がある。
hire-software-developers-in-vietnam

ゼロ・トラスト環境を構築するには?

ゼロ・トラスト・セキュリティ・モデルの構築を開始するためには、ビジネス組織は、ゼロ・トラスト・アーキテクチャの要件の一部である、高品質のIDデータへのアクセス、適切に設定された権限、標準化された認証、および承認の執行を行う必要があります。

近年、アイデンティティとアクセス管理に対する分散型アプローチは、いくつかの組織で利用されています。その結果、さまざまな事業部門が独自の権限を構築することができるようになりました。しかし、これは残念ながら、重複したアクセス実施システムをもたらすことになります。ゼロトラスト・アプローチは、より統一された、企業全体のアプローチであるべきです。したがって、アクセスポリシーの可視化と執行が提供されることになります。合わせて、セキュリティとコンプライアンスの向上につながる事になります。

例えば、マーケティング部門がマーケティング・オートメーション・アプリケーションにアクセスする必要があるとします。

  • マーケティング部門で誰が直接働いているかを特定する必要があります。
  • ネットワークに接続されているデバイスは、マーケティングオートメーションシステムに向かうトラフィックが、マーケティング部門の従業員に属するデバイスから来ることを保証する必要があります。
  • 認証ソリューションは、認証されたユーザーがマーケティングチームのものであることを確認する必要があります。
    マーケティングオートメーションソフトウェアは、マーケティングチームに所属する人だけがアクセスできるように設定する必要がある。
  • 初めて利用するユーザーには、1回限りの追加認証を実施することもできる。
  • ユーザーが新しいデバイスから初めて認証する場合、1回限りの追加認証を実施することができる。

最終的には、これらのポリシーは常に見直しを行い、環境の変化に対応できるよう継続的に監視して改善する必要がある。

ゼロトラスト・アプローチを適用するには、アイデンティティ、アクセス管理、インフラストラクチャセキュリティを含む分野横断的な取り組みが必要です。しかし、すべての要件をカバーできるソリューションを見つけることは、干し草の山から針を探すのと同じで、不可能なことかもしれません。

組織は、認証アクセスツール、ネットワークインフラ、APIゲートウェイ、クラウドプラットフォーム、アプリケーションコード内などのアクセス管理アプローチでアクセスポリシーを実施することがあります。

注釈:

ゼロ・トラストセキュリティは、過去数十年にわたり多くの企業が導入してきた発展的な概念です。

TPP Software Companyでは、高度なサイバー防御、応用サイバーセキュリティソリューション、マネージドセキュリティ運用をカバーするエンドツーエンドのサイバーセキュリティサービスを提供しています。高度なスキルを持つサイバーセキュリティの専門家チームの支援により、お客様がビジネスを安全に運営し、サイバーレジリエンスを構築し、自信を持って成長できるよう支援します。

ITプロジェクトでお困りですか?ベトナムのリーディングソフトウェアエンジニアリング企業であるTP&P Technologyに、今すぐご連絡ください。


software-development-project-tpp-technology


ctaImage
Contact Us

Related Post

AIと機械学習がDevOpsの作業文化を変える5つの重要な方法

DevOpsを始めるためのステップバイステップガイド

マイクロサービスとDevOps: なぜ両者は相性が良いのか?
Back To Blog