マルチクラウド環境での接続ゼロトラスト実装ユーザーガイド

サイバーレジリエンスは、事業継続計画、サイバーセキュリティ、運用レジリエンスを統合したものです。その目標は、最悪のシナリオ (壊滅的なサイバー攻撃やその他の災害) が発生した場合でも、ダウンタイムをほとんどまたはまったく発生させずに運用を維持できるようにすることです。
今日の世界では、サイバーレジリエンスはあらゆる組織の目標の 11 つである必要があります。世界規模で見ると、サイバー犯罪の被害者の損害は現在年間 20 兆ドルを超えており、2026.1 年末までに 2020.2 兆ドルを超えると予測されています。XNUMX データ侵害、ランサムウェア、恐喝攻撃に関連する費用は増加し続けており、XNUMX 年以降は平均で年間 XNUMX% 以上増加しています。XNUMX ただし、これらのコストはすべての被害者が均等に負担しているわけではありません。医療などの規制の厳しい業界の組織など、一部の組織では侵害に関連する平均費用が高くなる一方で、自動化と AI を活用した成熟したセキュリティ運用プログラムを備えた組織などではコストが低くなる傾向があります。
サイバー犯罪の被害者が壊滅的な損失を被る場合と、侵害イベントによる影響が軽微な場合の差は、脅威アクターの能力が進化するにつれて拡大するでしょう。生成AIなどの新興技術により、攻撃者はより洗練されていない攻撃（フィッシングなど）をこれまで以上に大規模に実行できるようになりました。また、高度にカスタマイズされたビジネスメール詐欺（BEC）やソーシャルエンジニアリング攻撃を作成することも容易になっています。amp整列します。
収益と評判を保護し、顧客の信頼を維持するために、あらゆる規模の業界にわたる組織は、サイバー防御に関する従来の考え方や実装方法から脱却する必要があります。
ゼロトラストが対処するのはまさにこれです。

11兆ドル
全世界のサイバー犯罪の年間コスト1

58%増加
2022年から20233年までのフィッシング攻撃XNUMX

108%増加
同じ期間のビジネスメール詐欺（BEC）攻撃4

Statista、「2018～2029年の世界におけるサイバー犯罪の推定コスト」、2024年XNUMX月。

IBM、2023 年データ侵害コストレポート。
Zscaler、2024年ThreatLabzフィッシングレポート

アブノーマルセキュリティ、1 年上半期の電子メール脅威レポート

ゼロトラスト: 現代のテクノロジーエコシステムを保護するための新しいビジョン

ますます多くの組織が IT インフラストラクチャの重要な部分をクラウドに移行する中、今日のテクノロジー環境に適したサイバーセキュリティ戦略を採用することが不可欠です。通常、サイバーセキュリティ環境は複雑で、分散化されており、境界がありません。この意味で、従来のセキュリティアプローチが保護するために考案されたオンプレミスネットワーク (サーバーとデスクトップコンピューターが境界ファイアウォールで保護されている) とは根本的に異なります。

このギャップを埋めるためにゼロトラストが考案されました。ゼロトラストは、ユーザーがデフォルトで自動的に信頼されるときに発生する脆弱性 (レガシーネットワークの境界内にいる場合など) を排除するように設計されており、さまざまな場所のユーザーが企業ネットワークの内外のデータやサービスに絶えずアクセスする現代の IT 環境に適しています。
しかし、ゼロトラストを導入するために何が必要かを理解するのは、必ずしも簡単ではありません。また、組織のゼロトラストの成熟度を高める方法を見つけることも簡単ではありません。実装する適切なテクノロジを選択するには、競合するベンダーの主張の海を泳ぎ分ける必要がありますが、それを行う前に、適切な戦略を見つける必要があります。

それをより簡単にするために、この実用的なガイドを作成しました。このガイドには、組織がゼロトラストへの道のりを加速するのに役立つ 5 つのステップの計画が記載されています。

ゼロトラストとは

ゼロトラストとは、「決して信頼せず、常に検証する」という基本原則に基づくサイバーセキュリティ戦略です。この用語が一般的に使用されるようになったのは、ネットワーク境界が侵害されるサイバー攻撃が増加していることを業界の専門家が観察したためです。2000 年代初頭、ほとんどの企業ネットワークにはファイアウォールで保護された内部の「信頼ゾーン」があり、サイバーセキュリティに対する城と堀のアプローチとして知られていました。
IT 環境と脅威の状況が進化するにつれて、このモデルのほぼすべての側面に欠陥があることがますます明らかになりました。

ネットワーク境界を 100% 確実に保護する方法では単純には実現できません。
意志の固い攻撃者であれば、常に穴や隙間を見つけることは可能です。
攻撃者が「信頼できるゾーン」にアクセスできるようになると、それ以上の動きを阻止するものがないため、データを盗んだり、ランサムウェアを展開したり、その他の方法で危害を加えたりすることが非常に容易になります。

組織がクラウドコンピューティングを導入し、従業員にリモートワークを許可するケースが増えるにつれ、ネットワークに接続するという概念はセキュリティ体制にとってますます重要ではなくなってきています。
ゼロトラストはこれらの課題に対処するために作成され、ユーザー/デバイスがサービスやリソースに接続する前にアクセス権を付与する必要があることを継続的に検証することに基づいて、データとリソースを保護するための新しいモデルを提供します。

ゼロトラストは業界標準になりつつある

ゼロトラストは、さまざまな業種の組織で広く採用されています。最近の調査によると、テクノロジーリーダーの約 70% が、自社内でゼロトラストポリシーを実装中です。5 公共部門でも、ゼロトラストを採用するための広範な取り組みが行われています。たとえば、2021 年の国家サイバーセキュリティ向上に関する大統領令では、連邦政府と重要なインフラストラクチャセクターの組織に、ゼロトラストの成熟度を高めるよう求めています。6 米国国立標準技術研究所 (NIST) とサイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) はどちらも、ゼロトラストの詳細な定義と、それを実現する方法に関する広範なガイダンスを公開しています。

ゼロトラスト: 公式定義

アメリカ国立標準技術研究所 (NIST):
ゼロトラスト（ZT）とは、静的なネットワークベースの境界からユーザー、資産、リソースに焦点を当てた防御に移行する、進化するサイバーセキュリティパラダイムの用語です。ゼロトラストアーキテクチャ（ZTA）は、ゼロトラストの原則を使用します。
産業および企業のインフラストラクチャとワークフローを計画します。ゼロトラストでは、資産またはユーザーアカウントに、その物理的またはネットワーク上の場所 (ローカルエリアネットワークとインターネット) のみ、または資産の所有権 (企業所有または個人所有) に基づいて暗黙的に信頼が付与されないことを前提としています。認証と承認 (サブジェクトとデバイスの両方) は、企業リソースへのセッションが確立される前に実行される個別の機能です。ゼロトラストは、リモートユーザー、個人所有デバイスの持ち込み (BYOD)、および企業が所有するネットワーク境界内にないクラウドベースの資産を含む企業ネットワークのトレンドへの対応です。ゼロトラストは、ネットワークの場所がリソースのセキュリティ体制の主要なコンポーネントとは見なされなくなったため、ネットワークセグメントではなくリソース (資産、サービス、ワークフロー、ネットワークアカウントなど) の保護に重点を置いています。7

サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA):
ゼロトラストは、ネットワークの脅威にさらされている情報システムやサービスにおいて、正確で最小限の権限によるアクセス決定を要求ごとに実施する際の不確実性を最小限に抑えるために設計された概念とアイデアの集合を提供します。 viewゼロトラストアーキテクチャ (ZTA) は、ゼロトラストの概念を使用し、コンポーネントの関係、ワークフロー計画、アクセスポリシーを網羅する企業のサイバーセキュリティプランです。したがって、ゼロトラスト企業とは、ZTA プランの成果として企業に導入されるネットワークインフラストラクチャ (物理および仮想) と運用ポリシーのことです。8

ゼロトラストの取り組みを進める

ゼロトラストは、組織が目指すべきセキュリティ標準として広く受け入れられています。また、上記の定義からも明らかなように、複雑な概念でもあります。
セキュリティプログラムが確立されている組織のほとんどは、社内ネットワークを保護するために設計された制御 (物理ファイアウォールなど) を少なくともいくつか実装しています。これらの組織にとっての課題は、予算内で、可視性、制御、脅威への対応能力を継続的に向上させながら、従来のモデル (およびそれに伴う考え方) からゼロトラストの導入へと徐々に移行することです。
これは簡単ではないかもしれませんが、適切な戦略があれば可能です。

ステップ 1: ゼロトラストフレームワークを理解することから始めます。

NIST のゼロトラストの定義では、ゼロトラストはアーキテクチャ、つまりゼロトラストの原則に基づいてエンタープライズセキュリティインフラストラクチャと一連のワークフローを計画および実装する方法であると説明されています。重点は、ネットワークやネットワークの一部 (セグメント) ではなく、個々のリソースを保護することにあります。
NIST SP 800-207 には、ゼロトラストを導入するためのロードマップも含まれています。この出版物では、ゼロトラストアーキテクチャ (ZTA) を作成するために必要な構成要素について説明しています。アーキテクチャの設計内で適切な役割を果たす限り、さまざまなツール、ソリューション、プロセスを使用できます。
NIST の観点から見ると、ゼロトラストの目標は、アクセス制御の適用を可能な限り細かくしながら、リソースへの不正アクセスを防止することです。

重点を置くべき主な領域は 2 つあります。

どのユーザーまたはトラフィックフローにリソースへのアクセスを許可するかを決定するメカニズム
アクセス決定を強制するメカニズム

ゼロトラストアーキテクチャを実装する方法は複数あります。これには次のものが含まれます。

アイデンティティガバナンスに基づくアプローチ
ゲートウェイセキュリティソリューションによって保護されたネットワークセグメント上で、個々のリソースまたは小さなリソースグループを分離するマイクロセグメンテーションベースのアプローチ
ソフトウェア定義の境界ベースのアプローチ。ソフトウェア定義の広域ネットワーク (SD-WAN)、セキュアアクセスサービスエッジ (SASE)、セキュリティサービスエッジ (SSE) などのネットワークソリューションが、ZT 原則に従ってリソースへのアクセスを制限するようにネットワーク全体を構成します。
CISA のゼロトラスト成熟度モデルも同様の概念に基づいています。システム、アプリケーション、データ、資産へのユーザーのアクセスを管理するきめ細かいセキュリティ制御の実施と、ユーザーの ID、コンテキスト、データアクセスのニーズを考慮しながらこれらの制御を構築することに重点が置かれています。
このアプローチは複雑です。CISA によると、ゼロトラストへの道は段階的なプロセスであり、実装には何年もかかる可能性があります。
CISA のモデルには 5 つの柱があります。これらの各領域で進歩を遂げることで、組織のゼロトラストへの進歩をサポートできます。

ゼロトラストは、場所中心のモデルから、時間の経過とともに変化するユーザー、システム、アプリケーション、データ、資産間のきめ細かいセキュリティ制御を備えた ID、コンテキスト、データ中心のアプローチへの移行を表します。
—CISA、ゼロトラスト成熟度モデル、バージョン 2.0

ゼロトラスト成熟モデルの 5 つの柱

ステップ 2: 成熟に向かって進歩するということの意味を理解する。
CISAのゼロトラスト成熟度モデルは4つの要素を説明しています。tag成熟に向けた進捗状況の段階：伝統的、初期、高度、最適。
5 つの柱 (ID、デバイス、ネットワーク、アプリケーションとワークロード、データ) のそれぞれにおいて成熟度を高めることが可能です。これには通常、自動化の追加、分析に使用するデータの収集による可視性の強化、ガバナンスの改善が含まれます。

ゼロトラストの成熟度の向上

たとえば、たとえばampつまり、組織が AWS 上でクラウドネイティブアプリケーションを実行しているということです。

「アイデンティティ」の柱の進歩には、このアプリの手動アクセスプロビジョニングとデプロビジョニング (従来) から、アイデンティティ関連のポリシー適用の自動化 (初期) への移行が含まれる可能性があります。ゼロトラストの成熟度をさらに高めるには、このアプリケーションと実行中の他のいくつかのアプリケーション全体で一貫性のある自動化されたライフサイクル管理コントロールを適用できます (高度)。ゼロトラストの成熟度を最適化するには、ジャストインタイムのアイデンティティライフサイクル管理を完全に自動化し、自動レポートによる動的なポリシー適用を追加し、このアプリケーションと環境内の他のすべてのアプリケーションを包括的に可視化できるテレメトリデータを収集することが含まれる可能性があります。
組織が成熟するほど、5 つの柱にわたるイベントの相関関係を詳細に把握できるようになります。こうすることで、セキュリティチームは、攻撃ライフサイクル全体でイベントがどのように関連しているかを理解できます。攻撃は、単一のデバイス上の ID の侵害から始まり、ネットワーク全体に広がり、AWS で実行されているクラウドネイティブアプリ内の機密データを標的とする可能性があります。

ゼロトラストロードマップ

ステップ 3: 個々の組織に最適なゼロトラストの導入または移行戦略を特定します。

新しいアーキテクチャを一から構築するのでない限り、通常は段階的に作業を進めるのが最も合理的です。つまり、境界ベースとゼロトラストのハイブリッド環境で運用を継続しながら、ゼロトラストアーキテクチャコンポーネントを 1 つずつ実装することになります。このアプローチにより、進行中のモダナイゼーションイニシアチブを徐々に進めることができます。

段階的なアプローチで実行する手順:

まず、サイバーおよびビジネスリスクが最も大きい領域を特定します。最も価値の高いデータ資産を保護するために、まずここで変更を加え、そこから順番に進めていきます。
組織内のすべての資産、ユーザー、ワークフロー、データ交換を注意深く調べます。これにより、保護する必要があるリソースをマッピングできます。ユーザーがこれらのリソースをどのように使用しているかを理解したら、それらを保護するために必要なポリシーを構築できます。
ビジネスリスクと機会に基づいてプロジェクトに優先順位を付けます。全体的なセキュリティ体制に最も大きな影響を与えるのはどれですか? 最も迅速に完了できるのはどれですか? エンドユーザーへの影響が最も少ないのはどれですか? このような質問をすることで、チームは戦略的な決定を下すことができます。

ステップ 4: テクノロジーソリューションを評価して、ビジネスプロセスと現在の IT エコシステムに最も適したものを確認します。
これには、内省と市場にあるものの分析が必要になります。

質問には次のようなものがあります。

当社では従業員所有のデバイスの使用を許可していますか? 許可している場合、このソリューションは既存の BYOD (個人所有デバイスの持ち込み) ポリシーと連携できますか?

このソリューションは、パブリッククラウドまたはインフラストラクチャを構築したクラウド内で機能しますか? SaaS アプリ (使用している場合) へのアクセスも管理できますか? オンプレミスの資産 (ある場合) でも機能しますか?
このソリューションはログの収集をサポートしていますか? アクセスの意思決定に使用するプラットフォームまたはソリューションと統合されますか?
ソリューションは、環境内で使用されているすべてのアプリケーション、サービス、プロトコルをサポートしていますか?

ソリューションは従業員の働き方に適していますか? 実装前に追加のトレーニングは必要ですか?

ステップ 5: 初期展開を実装し、そのパフォーマンスを監視します。

プロジェクトの成功に満足したら、ゼロトラストの成熟に向けて次のステップを踏み出すことができます。

マルチクラウド環境におけるゼロトラスト

ゼロトラストは、設計上、最新の IT エコシステムでの使用を目的としています。最新の IT エコシステムには、1 つ以上のクラウドプロバイダーのコンポーネントがほぼ必ず含まれています。ゼロトラストは、マルチクラウド環境に最適です。ただし、さまざまな種類のデバイス、ユーザー、場所にわたって一貫したポリシーを構築して適用することは困難であり、複数のクラウドプロバイダーに依存すると、環境の複雑さと多様性が増します。
業種、ビジネス目標、コンプライアンス要件に応じて、個々の組織の戦略は他の組織の戦略とは異なります。ソリューションを選択し、実装戦略を策定する際には、これらの違いを考慮することが重要です。
強力なマルチクラウド ID アーキテクチャを構築することは非常に重要です。個々のユーザーのデバイスは、社内ネットワーク、クラウドリソース、そして (多くの場合) 他のリモートアセットに接続できる必要があります。SASE、SSE、SD-WAN などのソリューションは、きめ細かなポリシー適用をサポートしながら、この接続を可能にします。ゼロトラストの適用を目的として構築されたマルチクラウドネットワークアクセス制御 (NAC) ソリューションは、非常に多様な環境でもインテリジェントな認証の意思決定を可能にします。

クラウドベンダーが提供するソリューションも忘れないでください。
AWS、Microsoft、Google などのパブリッククラウドプロバイダーは、クラウドセキュリティ体制を分析、改善、維持するために活用できるネイティブツールを提供しています。多くの場合、これらのソリューションを活用することはビジネス上理にかなっています。コスト効率が高く、非常に優れた機能を備えているからです。

信頼できるパートナーと協力することの価値

ゼロトラストを実装する際に行う必要があるアーキテクチャ設計の決定の多くは複雑です。適切なテクノロジーパートナーは、現在市場で入手可能なすべてのテクノロジー製品、サービス、ソリューションに精通しているため、どれがビジネスに最適であるかを鋭く把握しています。

専門家のヒント:

複数のパブリッククラウドとプラットフォームにわたる統合に精通したパートナーを探してください。
マルチクラウド環境ではコスト管理が問題になることがあります。ベンダー提供のソリューションを使用するとコストは低くなりますが、異なるプラットフォームやインフラストラクチャ間で一貫した管理を維持することが難しくなる可能性があります。最適な戦略を見つけるには、コストと利益の分析と IT 環境の深い理解が必要になる場合があります。

適切なパートナーは、この意思決定をお手伝いします。複数のセキュリティソリューションベンダーと広範なパートナーシップを結んでいるため、個々のベンダーの主張を超えて、どのソリューションが本当にニーズに合っているかを見極めるお手伝いをすることができます。また、アドバンスドソリューションを確保できる場合もあります。tag彼らは同時に複数のベンダーと連携しているため、お客様に代わって価格設定を行います。
必要に応じて 1 回限りのコンサルティング契約を履行できるだけでなく、長期にわたってマネージドサービスを提供できる専門知識も備えたベンダーを探してください。こうすることで、過度の管理負担に直面することがなくなり、選択したツールとソリューションから最大限の価値を引き出すことができると確信できます。

コネクションに出会う

増大するサイバーリスクから組織を守るためには、ゼロトラストアーキテクチャの実装が極めて重要です。しかし、それは複雑でもあります。ゼロトラストフレームワークの理解からテクノロジーの選択、
実装戦略を構築し、ゼロトラストの成熟度を高めることは、多くの可動部分を伴う長期プロジェクトになる可能性があります。

適切なサービスとソリューションを組み合わせることで、ゼロトラストへの取り組みをより容易かつ低コストで進めることができます。長期的には、チームが、ビジネスが直面する最大の (そしておそらく最もコストのかかる) リスクの一部を軽減していることに自信を持つことができます。
フォーチュン 1000 企業である Connection は、成長を促進し、生産性を高め、イノベーションを促進する業界最先端のテクノロジソリューションを顧客に提供することで、IT の混乱を緩和します。卓越したサービスに重点を置いた専任のスペシャリストが、顧客固有のニーズに合わせたサービスをカスタマイズします。Connection は複数のテクノロジ領域にわたる専門知識を提供し、174 か国以上の顧客にソリューションを提供しています。
当社は、Microsoft、AWS、HP、Intel、Cisco、Dell、VMware などの企業と戦略的パートナーシップを結んでいるため、お客様はゼロトラストの成熟度を高めるために必要なソリューションを簡単に見つけることができます。

つながりがどのように役立つか

Connection は、ゼロトラストの実装におけるパートナーです。ハードウェアやソフトウェアからコンサルティングやカスタマイズされたソリューションまで、当社はゼロトラストとマルチクラウド環境の成功に不可欠な分野をリードしています。

リソースを見る
近代的なインフラ
サイバーセキュリティサービス

今すぐ当社の接続エキスパートにお問い合わせください:

お問い合わせ
1.800.998.0067

との協力で

弊社は、シスコテクノロジーに関する長年にわたる顧客関係と専門知識を通じて、シスコとのビジネスのやり方を常に改善しています。シスコに関する弊社の幅広い知識とアドバイザリサービスは、お客様の競争力を高め、生産性を向上させ、効率性を向上させるのに役立ちます。Connection はシスコとともに、デジタル時代におけるお客様のビジネス変革の旅をサポートします。

Microsoft ソリューションパートナーとして、Connection は、絶えず変化するテクノロジ環境にビジネスが適応できるよう支援する製品、技術的専門知識、サービス、ソリューションを提供します。Microsoft のハードウェア、ソフトウェア、クラウドソリューションの提供と展開を通じてお客様の組織のイノベーションを推進し、幅広い知識と実績のある機能を活用して、お客様が Microsoft への投資から最大限の成果を得られるよう支援します。