効果的なゼロ トラスト イニシアチブを開始する方法

This post is also available in: English (英語)

パロアルトネットワークスは、ゼロトラストの定義を、「暗黙の信頼を排除してデジタル相互処理の全段階を継続的に検証することにより組織を保護するサイバーセキュリティへの戦略的手法」としています。要約すると、ゼロトラストは、リスク管理を1つのユースケースに単純化します。つまり、ユーザー、アプリケーション、インフラストラクチャへの暗黙の信頼をすべて排除します。行政機関などの組織がITネットワークおよびIT環境に回復性を構築するための1つの方法です。

バイデン大統領が国家のサイバーセキュリティを強化する大統領令に署名してからほぼ1年が経ちますが、多くの連邦政府機関がゼロトラストの取り組みにおいて大きく進歩しています。連邦政府機関がゼロトラストの取り組みを、ほとんどの人の想定よりも前に進めているのは喜ばしいことです。連邦政府機関の70%以上が、ゼロトラストの原則を積極的に採用しています。デジタル変革への投資によって、セキュリティアプローチの再構築や改善といった取り組みをうまく加速させている機関もあります。しかしながら、積極的な導入の期限を示した、米国行政管理予算局の米国連邦政府ゼロ トラスト アーキテクチャ戦略が1月に発表された後、こういった連邦政府機関は、ゼロトラストの取り組みを加速化させなければならないという圧力をますます感じることとなっています。

発想の転換

連邦政府がゼロトラストにさらに重点的に取り組む中で、連邦政府機関に属するITリーダーの理解の助けになる、ゼロトラストの主要な理念がいくつかあります。

  • ゼロ トラスト アプローチの採用は継続的な取り組みである – 1回限りの導入ではありません。ゼロトラストは、発想の転換、つまりサイバーセキュリティ体制を設計、導入、維持する方法の根本的な転換を必要とする戦略上の哲学であると言えます。
  • 包括的なゼロトラスト計画の策定が最優先である – 特定の製品や限定したテクノロジに焦点を合わせることはゼロトラストとは異なります。ゼロトラストは、制御のITエコシステム全体、つまりネットワーク、エンドポイント、クラウド、アプリケーション、IoTデバイス、IDなどすべてを包含するエンドツーエンドのアプローチである必要があります。
  • ZTNAはゼロトラストの一部にすぎないことを理解する必要がある – ゼロ トラスト ネットワーク アクセス(ZTNA)とゼロトラストは同義ではありません。実際によく間違われます。ZTNAは特に企業のアプリケーションとサービスにアクセスするリモートユーザーに適用され、広範囲なゼロトラスト導入の1つの要素です。ZTNAは(特に新しいハイブリッドワークの現実の中で)きわめて重要ですが、ZTNAだけの導入では十分ではありません。

使用の開始

突き詰めて言えば、ゼロトラストの取り組みは、単にサイバーセキュリティの強化をオンにするスイッチではありません。この取り組みには時間がかかります。また、前述のように、これは継続的な取り組みです。ゼロトラストのイニシアチブに沿ってうまく前進している機関もあれば、どのように開始したらよいのか悪戦苦闘している機関もあります。実際、ZTNAを広範なゼロトラスト戦略への論理開始点とすることができます。ただし、ゼロ トラスト プロセスの導入はどこからでも開始できます。既存のツールや機能を使用して、スタートラインを引くこともできます。初期の段階にある機関の場合、結果を成功に導くために検討すべき要素がいくつかあります。

漸進的なアプローチの計画

あらゆる取り組みに当てはまることですが、効果的に前進するために、ゼロトラストにも実行計画、つまりアクションプランが必要です。私からのアドバイスがあります。海を沸騰させるというような、実現不可能なことは計画しないでください。開始点は機関によって異なります。開始点は、現在の環境に応じてゼロトラストをどのように適用できるかを評価することで判断できます。注力している領域について慎重に検討して、それを優先します。NISTCISADODなど、発行されているさまざまな連邦仕様書を確認して、お客様の組織の目標に最適なものを選択してください。

ゼロトラストの導入は、インフラストラクチャの構築を一から始めることではありません。既存のIT投資の合理化を実施してください。お客様の組織で実際に何を使用していて、何が機能していて、何を再設定または再導入できて、新たにどのような投資が実際に必要なのか判断してください。新たな投資が必要な領域から開始すると決めた場合、取り組みの迅速な発展の助けとなる資金援助プログラムなどの手段を見つけます。現在のセキュリティ機能を評価し、それらが可能な限り効果的に利用されているかどうかを評価することも必要です。ゼロトラストのベストプラクティスの迅速な適用に向けて活用できる機能を検討します。

最初からのリーダーシップの確保

ゼロトラストで効率的に前進するには、トップダウンのアプローチが重要です。前述のとおり、これにはリーダーにおける発想の転換が必要なことが多いです。計画と目標についてのプロアクティブで実質的な話し合いが行われる必要があり、そこではCISOがテーブルの上座で議論や指示を行う必要もあります。この話し合いは、サイバーセキュリティ予算を不十分なものから適切なものにすることにもつながります。

計画は総合的に策定し、取締役とCIOのいずれかまたは双方と調整し、機関全体に広範なゼロトラスト文化を浸透させていきます。ゼロトラストの研究拠点を形成し、ゼロトラストのチーフアーキテクトを任命して、プロセスを前進させます。

セキュリティを適切に再構築する機会であることを覚えておいてください。確固たる計画によって、セキュリティの制御が多すぎるという複雑さがもたらす多大な負荷を回避できます。リソースの効率性を最大限にするために、自動化を活用するツールの数を絞ることも重要です。

実用化

ゼロトラストを実現するには、重大なリスクを低減して回復性を構築するために何が必要かを判断する必要があります。最小権限アクセス、つまりZTNAを適用して、多要素認証といった識別メカニズムから始める組織が多いです。ここでも、漸進的なアプローチが重要です。ロードマップを作成し、選択した成熟度モデルに合わせてそれを調整します。追加のゼロトラスト機能を導入する際には、新たな投資と既存の投資の可能性を最大限にすることで機関の変革を支援し、実現しうる最大のセキュリティ成果を得られるようにします。

計画に指標を追加することも、実用化を順調に進めていくうえで有用です。IDの認証、デバイスおよびワークロードの整合性の検証、最小権限アクセスの実施、すべてのトランザクションでの正当性のスキャンなど、全範囲のタッチポイントにわたり、ユーザー、アプリケーション、およびインフラストラクチャを保護するための目標を設定します。

これらの基礎を適切に築くことで、自信を持ってゼロトラストの取り組みを開始できます。導入は簡単でしょうか。簡単ではありませんが、開始は難しくないはずです。明確に定義されたゼロトラストの原則と要件が用意されていれば、セキュリティを確保するために実現する必要のあることに向けて共通の目標が定まり、少なくとも難しい取り組みの道筋が明確になります。

ゼロトラストは、私たち皆にとって、サイバーセキュリティ体制を設計し、導入し、長期的な視野で維持する取り組みにおける基本的な転換を表します。成功に至るには、堅固で整然とした計画、強力で組織的なサポート、および政府と業界の実質的な連携が必要です。

ゼロトラストの詳細

ゼロトラストでセキュリティを強化する方法の詳細をご覧ください。詳しくは、パロアルトネットワークスの連邦政府チームにお問い合わせください。

LinkedInで「Public Sector」(公共部門)のページをフォローしてください。このトピックに関連したその他の記事をご覧いただけます。