Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

ゼロトラスト・セキュリティの概念とは?

ホーム 用語集 ゼロトラストセキュリティの概念とは?

ゼロトラストは、ユーザー、デバイス、アプリケーション、コンテンツ通信を常に検証し、決して信頼しないという概念に基づいたサイバーセキュリティアプローチです。このアプローチでは、デバイス、アプリケーション、ユーザーにネットワークアクセスを許可する前や、ドキュメントを送信、共有、受信、保存する前に検証が必要です。ゼロトラストは、今日のあらゆる組織のセキュリティリスク管理戦略において重要な要素となります。

ゼロトラストセキュリティ

ゼロトラストアーキテクチャアプローチでカバーされるエンタープライズ資産には以下が含まれます:

  • ユーザー
  • ネットワーク
  • アプリケーション
  • デバイス
  • インフラストラクチャ
  • データ

ゼロトラストは、内部のアクターからの脅威に対して無防備であるなど、重大な課題を抱えていた従来の境界セキュリティアプローチに取って代わりました。従来のセキュリティモデルの欠陥により、悪意のあるアクターがネットワークの境界を突破し、アプリケーションや機密コンテンツにアクセスすることが可能になっていました。従来のセキュリティアプローチも、内部のアクターからの脅威に対して無防備です。

これらの課題に対応するため、当時フォレスターリサーチに所属していたジョン・キンダーバグがゼロトラストセキュリティモデルを開発しました。すぐに、業界セクター全体で採用され、サイバーセキュリティリスク管理のあらゆる側面に適用されました。この影響は、サードパーティリスク管理などの要素にも及びました。

以下は、ゼロトラストの概要、基本原則、利点、および組織でゼロトラストを実装する方法を提供します。

ゼロトラストセキュリティモデルとは?

名前が示すように、ゼロトラストセキュリティは、組織がシステムやネットワークの内外を問わず、誰も何も信頼しないという考えに基づいています。

デフォルトのセキュリティ姿勢は、ネットワークおよびすべての資産へのアクセスを拒否することです。アクセスを試みるすべての人と物は、認証され、許可され、継続的に検証される必要があります。

この概念は、最大限かつ永続的な警戒を前提とし、例外なく厳格な識別と検証を要求します。従来のネットワークセキュリティモデルは、ネットワーク内に入った人やデバイスを信頼していました。同様に、アプリケーションや機密コンテンツ通信にも適用されていました。

デジタルトランスフォーメーション、ハイブリッドネットワークの普及、リモートワーク、クラウドソリューションの採用、ならびに悪意のある国家や脅威アクターからの絶え間ないリスクの進化は、ゼロトラストセキュリティが必要なサイバーセキュリティ戦略である主な理由の一部です。

ゼロトラストセキュリティの基本原則

ゼロトラストセキュリティアーキテクチャを適切に展開するには、まずセキュリティ姿勢の背後にある基本原則を理解し、それらがセキュリティリスク管理戦略に統合されていることを確認する必要があります。

継続的な監視と検証

ユーザー、デバイス、アプリケーション、機密コンテンツ通信の継続的な監視と検証は、ゼロトラストの最も強力な原則の一つです。接続のタイムアウトとユーザーの身元確認は、ゼロトラストポリシーの中心です。また、機密コンテンツ通信のインバウンドおよびアウトバウンドのプライバシーとコンプライアンスガバナンスを義務付けています。

最小特権アクセス

これは、ユーザーがタスクを完了するために必要なものにのみアクセスを許可されることを意味します。すべてのユーザー、デバイス、アプリケーションはデフォルトで信頼されず、最小特権アクセスが適用されます。たとえば、管理者アカウントが必要ないユーザーは、決してアクセスを持つべきではありません。ユーザーのアクセス権限は明確に定義され、施行される必要があります。これには、コンテンツの管理者から単に閲覧できる人までの定義されたコンテンツポリシーが含まれます。

さらに、ゼロトラストは侵害が避けられないか、すでに発生している可能性があると仮定します。最小特権制御の原則は、侵害されたアカウントがネットワーク、デバイス、アプリケーション、またはコンテンツのいずれであっても、高価値のターゲットにアクセスできないようにします。

デバイスアクセス制御

これは攻撃を検出し防止するのに役立つ重要な原則です。ネットワークにアクセスしようとするデバイスと、すでにネットワーク内にあるデバイスの継続的な監視が必要です。ゼロトラストでは、どのデバイスも脅威をもたらす可能性があるため、疑わしいトラフィックが検出された場合には、認証、検証、および再検証が必要です。

マイクロセグメンテーション

これは、ゼロトラストポリシーが既存のITインフラストラクチャに導入する重要な変更の一つです。従来のセキュリティは、多くの場合、統合されていない多数の要素で構成されており、管理に多大なリソースと時間を要します。

ゼロトラストは、広範なネットワークを互いに独立して動作する小さなネットワークにマイクロセグメンテーションすることを奨励します。これにより、あるネットワークゾーンが侵害された場合、その脅威はそのネットワークに限定されます。最大のセキュリティ侵害の多くは、サイバー犯罪者がアクセスを得て、ネットワーク、アプリケーション、またはストレージリポジトリ内を横方向に移動し、貴重で機密性の高いデータや高価値の資産を探すことで進行しました。マイクロセグメンテーションは、このような攻撃の規模を制限することを目的としています。

多要素認証(MFA)

この基本原則は、ゼロトラストセキュリティアプローチにおいて常に遵守されなければなりません。MFAは、ネットワーク、アプリケーション、およびコンテンツ内のリソースにアクセスするために、ユーザーが複数の資格情報を提供することを要求します。

一般的なMFAの方法には、パスワードと携帯電話に送信されるコードを使用することが含まれます。これにより、パスワードが侵害された場合でも、携帯電話に送信されたコードがなければアクセスできません。堅牢なゼロトラストセキュリティインフラストラクチャは、統合リスク管理のこれらの基本原則をその設計に組み込んでいます。

コンテンツ定義のゼロトラスト

アプリケーションや機密コンテンツの送信、共有、受信、保存にも同様に適用されます。ゼロトラスト機密コンテンツ通信モデルは、誰がコンテンツにアクセスできるか、誰が送信および共有できるか、コンテンツが誰に送信および共有されるかを継続的に監視および制御します。最小特権アクセスが施行されます—管理者、所有者、マネージャー、コラボレーター、閲覧者、ダウンローダーなど。これは特にサードパーティリスク管理(TPRM)にとって重要です。さらに、セキュリティガバナンスは、アンチマルウェア、アンチウイルス、アンチスパム、高度な脅威対策データ損失防止、セキュリティ情報およびイベント管理(SIEM)を使用して、包括的なセキュリティ監視を統合および埋め込んで、インバウンドおよびアウトバウンド通信の両方に適用されます。

ゼロトラストの実装方法

多くの他のセキュリティリスク管理戦略とは異なり、ゼロトラストは一度に行うものではありません。むしろ、組織内に存在すべき思考プロセスまたはマインドセットです。さらに、実装は旅であり、組織が一晩で展開できるものではありません。

良い点は、ゼロトラストの実装には、現在のサイバーセキュリティアーキテクチャを完全に見直す必要がないことです。多くの組織は、ゼロトラストセキュリティ戦略を持っていなくても、前述の基本原則の一つまたは二つを使用しています。組織がゼロトラストセキュリティ戦略を持ったら、ガバナンス、セキュリティ、コンプライアンスに使用される適切なサポート技術を見つけ、評価し、実装することが重要です。

ゼロトラスト環境の設計

ゼロトラストアプローチの実装に取り組む組織にとって、以下はネットワークおよびインフラストラクチャ内で対処すべき重点領域です。

アイデンティティセキュリティ

これは、ネットワークにアクセスする各ユーザーが一意の属性セットを通じて識別されるシステムを含みます。アイデンティティセキュリティをさらに強化するために、高価値資産へのアクセスには、特定のユーザーに固有の生体認証機能の追加レイヤーが必要です。

エンドポイントセキュリティ

すべてのユーザーが識別され、認証され、検証されるように、ネットワーク内のすべてのデバイスも同様に行われるべきです。エンドポイントデバイスは、サイバー犯罪者がネットワークにアクセスするための最も一般的なルートの一つです。彼らは、周辺エンドポイントのセキュリティがしばしば弱いことを利用して侵入し、ネットワーク内を進んでいきます。しかし、ゼロトラスト環境では、すべてのデバイスとユーザーがログに記録され、監視されます。すべてのエンドポイント、活動、健康状態の記録が保持されます。

エンドポイントセキュリティは、モノのインターネット(IoT)デバイスを含むように拡張される必要があります。

アンチウイルスおよびアンチスパム機能は、機密コンテンツ通信に組み込まれ、送信または共有されるコンテンツが悪意のあるコードや要求を含まないことを確認します。そのため、ゼロトラストプライベートコンテンツネットワークアプローチの場合、エンドポイントセキュリティは使用される通信ツールに統合される必要があります。このゼロトラストの側面は、あらゆる組織のサードパーティリスク管理アプローチの一部でなければなりません。

アプリケーションセキュリティ

ゼロトラストインフラストラクチャ内のアプリケーションは、ネットワーク内のアプリケーションからの不正なアプリケーションや活動を検出するために継続的に監視されるべきです。ゼロトラスト環境内のアプリケーションであっても、潜在的な侵害を監視するために継続的に検証される必要があります。

データセキュリティ

機密データはすべてのサイバーセキュリティ戦略の中心にあります。それは、脅威アクターがネットワークに侵入した際に常に狙う高価値の資産です。機密データが失われたデータ侵害は、2021年に33%増加し、侵害の平均コストは4億2400万ドルに達しました。悪意のある国家やサイバー犯罪者は、ネットワーク内外で、移動中および保存中のデータを標的にします。

サイバー脅威を超えて、組織は運営する管轄区域で適用されるデータプライバシー法および規制コンプライアンスを遵守しなければなりません。具体的には、連邦情報セキュリティマネジメント法(FISMA)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、およびデータ保護法(DPA)2018は、機密データをどのように扱うべきかを具体的に示しています。

大統領令14028とゼロトラスト

米国連邦政府は、ゼロトラストの重要性を認識しています。大統領令14028は、採用を促進する原動力として機能し、連邦機関とその請負業者が従来のセキュリティ境界アプローチからゼロトラストモデルに移行することを義務付けています。EO 14028の背後にある要因の一つは、サプライチェーンリスクと連邦機関へのサードパーティリスクを継続的に監視および管理する必要性です。すべてのユーザー、アプリケーション、デバイスは、ゼロトラストの原則に従って検証されなければなりません。この大統領令はまた、暗号化、データの分類および分離を通じて機密データを保護することを要求し、不正アクセスを自動的に検出およびブロックする能力を含んでいます。

連邦機関は、2024会計年度末までにゼロトラストセキュリティ目標を設定することが義務付けられています。以下の5つの柱があります:

  1. データセキュリティ戦略の策定
  2. セキュリティ対応の自動化
  3. 機密データへのアクセスの監査
  4. ログおよび情報セキュリティへのアクセスの管理
  5. データセキュリティ。

ゼロトラストと機密コンテンツ通信

歴史的に、ネットワークおよびワークロードアクセスに比べてコンテンツへの注意がはるかに少なかったです。コンテンツがネットワークおよびアプリケーションの外に出ると、プライバシーおよびコンプライアンスリスクが劇的に増加します。コンテンツ定義のゼロトラストモデルを採用しないことは、組織を規制の不遵守、IP盗難、ブランドの損害のリスクにさらす可能性があります。多くの組織がコンテンツ通信チャネル全体で包括的なゼロトラストアプローチを欠いているため、深刻なリスクにさらされています。Kiteworksの2022年機密コンテンツ通信プライバシーおよびコンプライアンスレポートによると、組織の半数未満が、メール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)など、すべてのコンテンツ通信チャネルでゼロトラストの原則を適用しています。

Kiteworksは、機密コンテンツ通信を統合、追跡、制御、保護するプライベートコンテンツネットワークを展開することを組織に可能にします。Kiteworksプラットフォームを活用することで、組織は各通信チャネル全体で一貫したゼロトラストセキュリティポリシーを定義、適用、管理できます。集中化されたメタデータは、組織がプライバシーおよびコンプライアンスの脅威に仮想リアルタイムで対応することを可能にします。

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks