ゼロトラストとは何か?
この投稿を計画してから約3分後、「ああ、私は年を取ったな」と感じる瞬間がありました。その理由はこうです。私は1994年からサイバーセキュリティの分野で働いています。最初の仕事は、世界最大級の法律事務所を通じて米国政府のために働くビッグ3の一つでのものでした。はい、それは複雑でした。
当時(老人の声で言うと)、サイバーセキュリティはまだサイバーセキュリティではありませんでした。それはただのセキュリティでした。情報セキュリティが注目されるようになるのは2000年代初頭のことです。コンピュータのネットワーク化が始まったばかりでした。わかりますか?私はずいぶん前に始めたのです。
この話のポイントは、コンピュータがネットワーク化され始め、サイバーセキュリティがまだ存在しなかった頃、そしてCISOの役職が魔法のように思われていた頃でも、ITアーキテクチャには「Know Your Computer」(KYC)または後に「Know Your Network」(KYN)という原則があったということです。この原則の起源は1990年代の金融業界にあります。
基本的に、現在の顧客により多くの商品を販売するために、彼らは可能な限りすべてを学ぼうとしました。これはインターネットの非常に初期の段階の話です。ユーザーやその好み、嫌い、深夜の購買習慣に関する巨大なデータベースはまだ何十年も先のことでした。
KYCやKYNは、示されているように、長い間存在している古い原則です。これらは時を経て多くのものに変化し、今日ではゼロトラストと呼ばれています。今日のITの複雑さや技術的な詳細を過去と比較するのは不公平で不当です。しかし、シンプルなIT時代から学んだ教訓は、今でも価値があります。
KYCまたはKYN
これらは古い概念ですが、その原則は今日のIT環境でも関連性があります。率直に言って、ゼロトラストはKYN概念の最新のバージョンです。以下をご覧ください:
|
KYN |
ゼロトラスト |
|
ネットワーク上のすべてのデバイスの目的を知る |
ネットワーク上のすべてのデバイスへのアクセスを、その役割を果たすために必要なものだけに制限する |
|
ネットワーク上のすべてのシステムの動作を文書化し、逸脱を警告する |
ネットワーク上のすべてのシステムの動作を文書化し、他のすべてのアクションをブロックする |
|
データフローを文書化する |
データフローを文書化し、変更を警告する |
|
ネットワークシステムの変更や更新をレビューする定期的なフォーラムを作成する |
ゼロトラストコントロールの警告と違反を定期的にレビューする |
まだ続けることもできますが、ポイントは明らかです。KYNはゼロトラストモデルと完全には一致しません。1990年代にはコンピュータネットワークの脅威や複雑さは存在しませんでした。
ゼロトラストとは何か?
私たちは皆、業界に長年携わっています。たとえ業界に入ったばかりでも、ゼロトラストについてのメールを受け取ったり、ベンダーからの電話を受けたり、ウェビナーやセミナー、ドラムサークルに招待されたりしたことがあるでしょう。
どのベンダーも、どんな技術であれ、自社製品を最新のゼロトラストの奇跡の治療法として売り込んでいます。業界の流行は多くありましたが、それがこの投稿のポイントではありません。この投稿は、ゼロトラストを説明し、それを効果的かつ経済的に展開するためのさまざまな戦略を説明するものです。
ゼロトラストは哲学です。簡単に言えば、あなたが責任を持つネットワークで、すでに知っていること以外の何も起こさせないということです。すべての哲学と同様に、それは言うのは簡単で、理解するのも簡単ですが、実行するのは難しいです。
「私は5,000のエンドポイント、40のクラウドプロバイダー、800のサーバー、600のアプリケーションを持っています。彼はそれをすべて管理しろと言っているのか?彼は馬鹿だ。」と自問するかもしれません。私もゼロトラストに初めて足を踏み入れたときに同じことを自問し、誰かを馬鹿だと呼びました。
その後、ビジネス開発の幹部が雑誌の裏表紙でゼロトラストという言葉を読んで、私に尋ねるであろう質問にどう答えるかを考え始めました。「簡単な質問XXX、我々のゼロトラスト戦略は何ですか?それを理解する必要があるので、なぜ我々がそれにおいて世界クラスであるかを説明する3枚のスライドを作成してください。」私は我々のクラウンジュエルから始めました。他の人はそれを高価値資産(HVA)リストと呼びます。何と呼ぶにせよ、そこから始めます。
ステップ1は、HVAがどのように使用されているかを、誰が、何を、いつ、どこで、どのように文書化することです。これはおそらくビジネスユーザーとのインタビューの形を取るでしょう。ビジネスリーダーではありません。彼らの承認を得る必要がありますが、実際にHVAを使用している人々と協力する必要があります。これらのインタビューの成果物は、コンピュータワークステーション名、ユーザー名、アプリケーション、ビジネスプロセスの文書化、データフローなどです。
これらの質問に答えたら、そのHVAを中心にゼロトラスト戦略を構築できます。リモートアクセスがない場合、そのアクセスを削除できます。限られた数のユーザーのみがアクセスを必要とする場合、他のすべてを削除します。限られた数のコンピュータのみがアクセスを必要とする場合、他のすべてを削除します。プロセスがメールでデータを転送しない場合、そのデータ転送メカニズムを排除するためにDLPブロックを設定します。ビジネスプロセスの周りに壁を築いているだけです。
それを変更するわけではありません。ビジネスと協力する際に強調する必要があるポイントです。彼らの日常の経験を悪化させることはありません。コントロールを導入するたびに、変更に対する警告を確保してください。ユーザーアクセスのためのアクセスグループを使用する場合、そのグループメンバーシップが変更された場合、ビジネスとサイバーセキュリティオペレーションの両方に変更を通知する警告戦略を持っていることを確認してください。おそらくそれは予期されていなかったか、承認されていなかったものであり、何らかの損害が発生する前に何かを発見したかもしれません。
あなたのプログラムには、そのHVAに必要なコントロールを実装するためのコントロールがないかもしれません。新しいコントロールのためのビジネス上の正当性を文書化しました。おそらく、あなたのプログラムはすでに必要なコントロールを実装するための技術的な能力を持っていると思います。
ゼロトラスト戦略は、あなたに2つのことをすることを許可します。1つ目は、新しい言葉を使ってあなたの努力とニーズを説明することです。2つ目は、チームの努力をHVAリストに集中させることです。組織全体にゼロトラスト戦略を一度に展開しようとするのは愚かな試みです。まず組織で最も重要な資産から始めましょう。