ブログ(トレンド&インサイト)

米連邦政府機関のためのゼロ・トラスト・アーキテクチャの確立

進化を続け、ますます洗練されていくサイバー攻撃の状況の中で、連邦政府機関はゼロ・トラストのアプローチを採用することを強く求められています。

今日の環境では、セキュリティのための新しいアプローチが必要とされており、ゼロ・トラスト・アーキテクチャは、FCW (Federal Computer Week) のWebセミナーにおいて、Cybersecurity and Infrastructure Security Agency (CISA) のエグゼクティブ・ディレクターであるBrandon Wales氏は次のように述べています。

組織は、ゼロ・トラストの導入によって複雑さが増すのではないかと懸念しているかもしれません。しかし、適切なアプローチとプラットフォームを採用すれば、連邦政府機関は効率性を高めて複雑さを回避しつつ、全体的なセキュリティを大幅に向上させることができます。

ゼロ・トラスト・アーキテクチャとはどのようなものなのか

ゼロ・トラストは、その言葉が示すように、"絶対に信頼しない、常に検証する "という原則に導かれています。これは、ユーザーやデバイスに適用されるポリシー、技術、システムのフレームワークです。

例えば、多要素認証(MFA)は、ユーザーの身元を信頼するために複数の証拠を必要とするため、ゼロ・トラストの中核技術と考えられています。

ゼロ・トラストのアプローチを取るのに適した複数の技術や機能があります。これらの機能や原則を実装するには時間がかかります。最近の情報提供では、NSA(アメリカ国家安全保障局)はゼロ・トラストの成熟に向けて 4 つの段階を推奨しています。

  • Preparation:初期の発見と評価活動
  • Basic:基本的な統合された能力を実装
  • Intermediate:能力の統合を精錬し、能力をさらに精錬
  • Advanced:堅牢な分析とオーケストレーションにより、高度な保護と制御を展開

NSA は、これらの段階は一朝一夕には起こらないことを認めています。そのため、組織は全体的な観点からこれを見るべきだと考えています。各機関は、ポリシーベースのアクセス制御へのコンプライアンスを高めながら、セキュリティを統一し、境界線ベースのセキュリティを超えていくことを目指すべきです。

私たちは、ゼロ・トラストのアプローチを支える4つの柱を推奨しています。

  • ユーザーを検証する:システムにアクセスしている個人が、実際には誰であるかをどのようにして検証するのか?アクセス許可に対応する自動化されたポリシーが必要であり、異なるアプリケーション、クラウド、およびオンプレミスのシステム全体に対応するために、適応性と動的性を備えていなければなりません。
  • デバイスを検証する:ユーザーは、ラップトップ、スマートフォン、デスクトップなど複数のデバイスを使用して組織のシステムにアクセスすることがあります。接続するたびにユーザーの身元が確認されるように、これらすべてのデバイスに渡って検証を拡張する必要があります。
  • アクセスと権限を制限する:サイバー犯罪者は、通常、業務システムを支配するために管理者権限を持つ者に惹かれるため、横の動きを制限することが重要です。すべての場合において最小特権の原則を徹底的に検討し、ユーザーが自分の仕事を成功させるのに十分なアクセス権を持っていることを確認する必要があります。
  • 学び、適応する:ユーザーのワークステーション、アプリケーションの使用状況、サーバーポリシーなど、ユーザーに関する情報を収集し、分析する必要があります。機械学習は、このプロセスを継続的に改善し、セキュリティチームが異常な行動を認識し、リスクレベルを判断し、リスクが許容できるかどうかを判断できるようにします。データロギング、ログフィード、コンテンツの深さの正確性と可用性が非常に重要です。

これらの柱はすべて、この図に可視化されているように、ゼロ・トラスト・アーキテクチャ(ZTA)を確立することで対処することができます。

おおまかに言うと、ZTA はコントロール・プレーンとデータ・プレーンで構成されています。コントロール・プレーン・コンポーネントは、資産またはリソースへのアクセスを許可する責任があります。情報の実際の転送はデータ・プレーンで行われます。システム・リソースへのアクセスは、ゲートキーパーのような役割を果たすデータ・プレーンのポリシー実行ポイント(PEP)によって実装されます。これは、ポリシーエンジンおよびポリシー管理機能と連携して動作し、これらが一体となってポリシー決定ポイント(PDP)を形成します。PDPはZTAの制御プレーンを形成し、様々な制御機能からの入力によって継続的に更新されます。

重要な要素:アーキテクチャを超えたインテリジェンス

この図を見ると、ゼロ・トラストは困難に思えるかもしれません。しかし、適切なパートナーがいれば、代理店は自分のペースでゼロ・トラストへの道のりを進めることができます。共通しているのは、インテリジェントな機能性です。
例えば、ユーザーとデバイスを検証するために、組織はすべてのエンドポイントを検証する必要があります。これには、従業員が仕事をこなすために使用するすべてのアプリやデバイスが含まれますが、そのデバイスが組織の所有物か個人の所有物かには関係ありません。これは、請負業者、パートナー、ゲストデバイスにも適用されます。

これを実現するためには、適切なエンドポイントセキュリティソリューションが必要です:

  • 侵害されたアプリやファイルからのアクションを停止
  • セキュリティイベントにおける悪意のあるアクターの活動を特定
  • フォレンジックアクセス情報を取得しながら、悪質なアクターのネットワークアクセスを分離

自動化と組み込みインテリジェンスは、これらの機能の複雑さを軽減します。

もう一つの例は、ネットワークセキュリティです。ウェブベースの脅威や悪意のあるアクターがネットワークの奥深くに侵入する前に、迅速に特定することが重要です。迅速に行動するためには、ウェブベースの攻撃の初期段階をインテリジェントに検出し、マルウェアを抽出し、リアルタイムで安全に爆発させるソリューションが必要です。

同様に、インテリジェントな ZTA は、連邦政府機関がセキュリティ・システム全体の衛生状態に対処するのに役立ちます。例えば、セキュリティ情報およびイベント管理システム(SIEM)の定期的なメンテナンスと脆弱性スキャンは、負担の大きい作業です。脅威インテリジェンスサービスをSIEMなどのインフラシステムに直接統合することで、組織は脆弱性とリスクに関するリアルタイムの洞察を得ることができます。

インテリジェンスに裏打ちされたゼロ・トラストのためのプラットフォームアプローチ

ユーザーやデバイスの検証は、インフラストラクチャ内でも行わなければなりません。プラットフォームベースのアプローチは、クラウドとSIEMなどのセキュリティ運用システム全体のセキュリティを強化することができます。

たとえば、インテリジェントな基盤ソリューションは、クラウド環境全体の可視化のためのフレームワークを提供することで、コンプライアンスと施行の保証を提供します。これにより、組織はネットワーク トラフィックを表示し、パブリック クラウド、プライベート クラウド、ハイブリッド クラウドのクラウド資産を自動検出し、脅威の検出とアラートを向上させることができます。

適切なプラットフォームは、ゼロ・トラストの重要な要素であるクラウドネイティブのセキュリティ機能を使用してワークロードのマイクロセグメンテーションを提供する必要があります。このプロセスが自動化されれば、連邦政府機関は複数のクラウド環境をシームレスにプロビジョニング、セキュリティ保護、監視し、アプリケーションとマイクロサービスを保護することができます。

同時に、連邦政府機関は、集中型セキュリティをインテリジェントかつ自動的に提供するクラウドベースのSIEMプラットフォームを活用する必要があります。このソリューションは、例えば、プロアクティブなアラート管理、分析、およびレポートをチームに提供することで、ゼロ・トラスト・アーキテクチャを強化します。

効果測定の必要性

最終的には、連邦政府機関は、サイバーセキュリティへの取り組みが効果的であることを検証しなければなりません。ゼロ・トラストの実装についても同様です。

  • セキュリティの有効性検証:

    詳細なエビデンスに基づいたサイバー防御効果の対策と改善
  • ワークロードのセグメンテーションの有効性を検証
  • 継続的なテストでセキュリティ回帰を防止
  • セキュリティインシデント対応のパフォーマンスを測定

組織は、すべてのサイバーセキュリティ投資の有効性を実証するために構築された、包括的で統一的なソリューションを求めるべきです。それは、以下のような質問に答える証拠となるデータを提供する必要があります。セキュリティ技術レイヤーは正しく設定されているか?SIEM は、悪意のある活動のアラートに必要なすべてのデータソースを収集しているか?最新のセキュリティ攻撃は組織に影響を与えるか?

測定されたものは改善されます。セキュリティ検証プラットフォームは、組織がサイバーセキュリティの有効性を証明するだけでなく、セキュリティと効率を最適化することを保証します。

結論

連邦政府機関は、ゼロ・トラストへの道を歩む上で、さまざまな段階にあるかもしれません。MFAをまさに導入し、クラウドセキュリティに取り組む準備ができているのかもしれませんし、クラウドベースのSIEMを導入しているのかもしれません。連邦政府機関がシステムやインフラの導入を開始したばかりであっても、システムやインフラを深く掘り下げた段階であっても、適切なパートナーであれば、不要な複雑さを排除することを支援できます。

FireEyeは、ゼロ・トラストがワンサイズのアプローチではないことを認識しています。当社の専門知識とインテリジェントなソリューションは、組織の最も差し迫ったセキュリティのニーズを満たすために適応させることができ、セキュリティ上の弱点や問題点を最小限に抑え、セキュリティを向上させることができます。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:March 04, 2021 「Establishing a Zero Trust Architecture for Federal Agencies