ゼロ トラスト アーキテクチャの概要
従来型セキュリティ モデルでは、組織のネットワーク内のすべてを信頼できることが前提となっていましたが、ゼロ トラスト セキュリティ アーキテクチャでは、すべてのユーザーとデバイスが、企業ネットワークの内側にいるか外側にいるかに関係なく、リソースへのアクセス前に認証されます。
ゼロ トラスト アーキテクチャとは
ゼロ トラスト アーキテクチャ (ZTA) とは、すべてのユーザーとデバイスを定期的に検証するセキュリティ フレームワークです。
重要なポイント
- ゼロ トラスト アーキテクチャ (ZTA) とは、すべてのアクセス要求を認証し、サイバー攻撃を事前対策的に予測するセキュリティ フレームワークです。
- 企業でこのフレームワークを導入すると、許可されているユーザーとデバイスのみがその企業のネットワークに入り、ビジネス リソースにアクセスし、機密データを表示できるようになります。
- これは、エンドツーエンドの暗号化、堅牢なアクセス制御メカニズム、AI、ネットワーク監視の機能を使って運用されます。
- ZTA により、企業は、リモート ワークをサポートし、リスクを最小限に抑え、規制遵守を容易にし、時間を節約し、セキュリティ態勢を強化できるようになります。
- ゼロ トラスト ソリューションには、多要素認証 (MFA) と、ID およびアクセス管理システムが含まれています。
ZTA の基本原則
サイバー脅威が高度化し執拗になるにつれて、従来のセキュリティ モデルは効果が薄れてきています。しかしながら、企業は、どのエンティティも初めから信頼すべきではないという考えのもとでサイバーセキュリティを運用するという、堅牢で適応的な手法を実装できます。
ゼロ トラスト アーキテクチャは、次の基本原則により、企業に不可欠なフレームワークとなります。
ゼロ トラスト アーキテクチャは、次の基本原則により、企業に不可欠なフレームワークとなります。
積極的に検証する
ゼロ トラストでは、ビジネス リソースへのアクセスの試みはすべて、オープン ネットワークから発生した要求であるかのように扱われます。ZTA では、エントリの時点で一度だけ資格情報が検証されるのではなく、データ ポイント (ユーザーの ID、場所、デバイスなど) がリアルタイムで定期的かつ包括的に評価されて、危険な兆候が特定されます。それにより、許可されているユーザーとデバイスのみがネットワークにアクセスできるようになります。
最低特権アクセスを使う
ZTA では、各ユーザーに、そのタスクの実行に必要な最低限のアクセス レベルのみが提供されます。このようにアクセス権を制限すると、企業は、侵害されたアカウントによって発生する可能性がある被害を最小限に抑えることができます。
侵害があると想定する
ゼロ トラストは、侵害は防げないという前提で運用されます。この手法では、侵害を防ぐことだけに焦点を当てるのではなく、企業全体のユーザー、デバイス、システムがすでに侵害されていると想定して、サイバー攻撃を事前対策的に予測します。
ゼロ トラストでは、ビジネス リソースへのアクセスの試みはすべて、オープン ネットワークから発生した要求であるかのように扱われます。ZTA では、エントリの時点で一度だけ資格情報が検証されるのではなく、データ ポイント (ユーザーの ID、場所、デバイスなど) がリアルタイムで定期的かつ包括的に評価されて、危険な兆候が特定されます。それにより、許可されているユーザーとデバイスのみがネットワークにアクセスできるようになります。
最低特権アクセスを使う
ZTA では、各ユーザーに、そのタスクの実行に必要な最低限のアクセス レベルのみが提供されます。このようにアクセス権を制限すると、企業は、侵害されたアカウントによって発生する可能性がある被害を最小限に抑えることができます。
侵害があると想定する
ゼロ トラストは、侵害は防げないという前提で運用されます。この手法では、侵害を防ぐことだけに焦点を当てるのではなく、企業全体のユーザー、デバイス、システムがすでに侵害されていると想定して、サイバー攻撃を事前対策的に予測します。
利点
ゼロ トラスト アーキテクチャの利点
リモートおよびハイブリッド作業のサポート
企業の作業ををいつでもどこでもどのデバイスででも安全に実施できるようになります。
リスクの最小化
データ侵害をより効果的に防ぎ、悪意のある活動をより迅速に特定し、従来型セキュリティ モデルよりも早く対処することができます。
規制遵守の容易化
包括的なセキュリティ コントロールと継続的な監視を使って、規制を遵守し機密ビジネス データを保護できます。
クラウドへの移行
オンプレミスのソリューションからクラウドにシームレスに移行でき、その過程でのセキュリティの脆弱性を低減できます。
従業員エクスペリエンスの向上
複数パスワードの使用をシングル サインオン (SSO) や生体認証に置き換えて、リソースへのアクセスを効率化できます。また、Bring-Your-Own-Device (BYOD) モデルをサポートして、より柔軟で自由な環境を実現できます。
セキュリティ態勢の強化
“決して信頼せず、常に検証する“というセキュリティ手法を使い、ネットワーク内の横移動を制限して、サイバー攻撃によって発生する可能性がある被害を事前対策的に制限できます。
ZTA の主要コンポーネント
ゼロ トラストでは、必ず各アクセス要求がその発生元に関係なく徹底検査され、事前対策的にリスクが制限されるようになるため、組織のサイバーセキュリティへの取り組み方が根本的に変わります。ZTA を企業にとって重要なフレームワークにしている主要コンポーネントについて説明します。
ID およびアクセス管理 (IAM)
ゼロ トラストでは、リソースへのアクセスを許可する前に必ずユーザーとデバイスの信頼性が検証されます。具体的に述べると、このフレームワークでは、ID 関連の侵害を防ぐために役立つ、IAM の方策 (多要素認証、シングル サインオン (SSO)、ロールベースのアクセス制御など) が使われています。これらの機能では、ログイン プロセスを効率化し、複数のパスワードを記憶する必要性を減らして、企業全体にわたり従業員のユーザー エクスペリエンスを改善することもできます。
ネットワーク セグメント化
ZTA では、ネットワークが、より小さい孤立したセグメントに分割されて、潜在的サイバー攻撃の横移動が制限されます。各セグメントが安全ゾーンとなり、このことは、企業が侵害を阻止するためと、インフラストラクチャの他の部分にサイバー脅威が広がるのを防ぐために役立ちます。企業は、データ侵害が発生した場合に、簡単にそれを特定の領域内に封じ込め、発生する被害を大幅に制限できます。
ネットワーク セグメント化により、企業は、ネットワークの各領域に、カスタマイズしたセキュリティ ポリシーを適用できるようにもなります。たとえば、機密データを含むセグメントにはより厳しい制御を適用し、重要度の低いセグメントにはより緩いポリシーを適用できます。この柔軟性により、企業は、運用効率を損なわずにセキュリティ態勢を最適化できるようになります。
エンドポイント セキュリティ
ゼロ トラスト アーキテクチャでは、企業全体にわたりエンドポイント デバイス (ノート PC、スマートフォン、タブレットなど) が保護されて、マルウェアなどのサイバー脅威がネットワークに侵入することを防止できます。エンドポイント セキュリティが重要なのは、これらのデバイスが、大規模なサイバー攻撃の入り口として標的になることが多いためです。ZTA では、ビジネス運営の保全性を維持するために役立つように、高度な脅威検出対応の機能、包括的な暗号化、定期的なデバイス更新が提供されます。
データ セキュリティ
ゼロ トラスト フレームワークでは、堅牢なアクセス制御、エンドツーエンドの暗号化、データ マスキングの機能が提供されます。これらは、データ侵害や、機密情報への不正アクセスを防ぐために役立ちます。これらのような効果的なデータ セキュリティ対策を使うと、企業は規制を一貫して遵守でき、顧客の信頼を維持できます。ZTA には、ビジネス データの漏洩や盗難を防ぐために役立つ、データ損失防止 (DLP) の方策も含まれています。
セキュリティ情報イベント管理 (SIEM)
ZTA では、SIEM システムを使って、ビジネス アプリケーションやネットワーク ハードウェアによって生成されたセキュリティ アラートのリアルタイム分析が提供されます。これにより、企業は、潜在的なサイバー脅威を迅速に検出し、それらによって被害が発生する前に対応できるようになります。
ゼロ トラスト アーキテクチャ内の SIEM システムにより、セキュリティのトレンドやパターンに関する有益な分析情報が提供されて、脅威の全貌をより詳しく理解できるようになります。組織は、過去のデータを分析して、繰り返し発生している問題を特定し、事前対策的にそれらに対処するための手段を講じることができます。継続的改善のプロセスの導入は、企業が新たなサイバー脅威より先を行き強力なセキュリティ態勢を取り続けるようにするために不可欠です。
AI 機能
ゼロ トラストでは、サイバー脅威を正確に検出しそれらに効率的に対応するために、サイバーセキュリティのための AI が使われます。AI モデルでは膨大なデータを迅速に分析でき、企業が、侵害やサイバー攻撃を示している可能性がある複雑なパターンや異常を特定できるようになりす。ゼロ トラストでは企業に自動化機能も提供され、これらは、セキュリティ チームが時間を節約し複雑なサイバー脅威を優先するために役立ちます。ZTA を実装してセキュリティ フレームワークを最新化し、対応時間を短縮し、進化するサイバー脅威の先を行きましょう。
ゼロ トラストでは、リソースへのアクセスを許可する前に必ずユーザーとデバイスの信頼性が検証されます。具体的に述べると、このフレームワークでは、ID 関連の侵害を防ぐために役立つ、IAM の方策 (多要素認証、シングル サインオン (SSO)、ロールベースのアクセス制御など) が使われています。これらの機能では、ログイン プロセスを効率化し、複数のパスワードを記憶する必要性を減らして、企業全体にわたり従業員のユーザー エクスペリエンスを改善することもできます。
ネットワーク セグメント化
ZTA では、ネットワークが、より小さい孤立したセグメントに分割されて、潜在的サイバー攻撃の横移動が制限されます。各セグメントが安全ゾーンとなり、このことは、企業が侵害を阻止するためと、インフラストラクチャの他の部分にサイバー脅威が広がるのを防ぐために役立ちます。企業は、データ侵害が発生した場合に、簡単にそれを特定の領域内に封じ込め、発生する被害を大幅に制限できます。
ネットワーク セグメント化により、企業は、ネットワークの各領域に、カスタマイズしたセキュリティ ポリシーを適用できるようにもなります。たとえば、機密データを含むセグメントにはより厳しい制御を適用し、重要度の低いセグメントにはより緩いポリシーを適用できます。この柔軟性により、企業は、運用効率を損なわずにセキュリティ態勢を最適化できるようになります。
エンドポイント セキュリティ
ゼロ トラスト アーキテクチャでは、企業全体にわたりエンドポイント デバイス (ノート PC、スマートフォン、タブレットなど) が保護されて、マルウェアなどのサイバー脅威がネットワークに侵入することを防止できます。エンドポイント セキュリティが重要なのは、これらのデバイスが、大規模なサイバー攻撃の入り口として標的になることが多いためです。ZTA では、ビジネス運営の保全性を維持するために役立つように、高度な脅威検出対応の機能、包括的な暗号化、定期的なデバイス更新が提供されます。
データ セキュリティ
ゼロ トラスト フレームワークでは、堅牢なアクセス制御、エンドツーエンドの暗号化、データ マスキングの機能が提供されます。これらは、データ侵害や、機密情報への不正アクセスを防ぐために役立ちます。これらのような効果的なデータ セキュリティ対策を使うと、企業は規制を一貫して遵守でき、顧客の信頼を維持できます。ZTA には、ビジネス データの漏洩や盗難を防ぐために役立つ、データ損失防止 (DLP) の方策も含まれています。
セキュリティ情報イベント管理 (SIEM)
ZTA では、SIEM システムを使って、ビジネス アプリケーションやネットワーク ハードウェアによって生成されたセキュリティ アラートのリアルタイム分析が提供されます。これにより、企業は、潜在的なサイバー脅威を迅速に検出し、それらによって被害が発生する前に対応できるようになります。
ゼロ トラスト アーキテクチャ内の SIEM システムにより、セキュリティのトレンドやパターンに関する有益な分析情報が提供されて、脅威の全貌をより詳しく理解できるようになります。組織は、過去のデータを分析して、繰り返し発生している問題を特定し、事前対策的にそれらに対処するための手段を講じることができます。継続的改善のプロセスの導入は、企業が新たなサイバー脅威より先を行き強力なセキュリティ態勢を取り続けるようにするために不可欠です。
AI 機能
ゼロ トラストでは、サイバー脅威を正確に検出しそれらに効率的に対応するために、サイバーセキュリティのための AI が使われます。AI モデルでは膨大なデータを迅速に分析でき、企業が、侵害やサイバー攻撃を示している可能性がある複雑なパターンや異常を特定できるようになりす。ゼロ トラストでは企業に自動化機能も提供され、これらは、セキュリティ チームが時間を節約し複雑なサイバー脅威を優先するために役立ちます。ZTA を実装してセキュリティ フレームワークを最新化し、対応時間を短縮し、進化するサイバー脅威の先を行きましょう。
ZTA の歴史と進化
ゼロ トラスト アーキテクチャは、従来型セキュリティ モデルの限界とサイバー脅威の高度化に対応して数十年にわたり進化してきました。2000 年代初頭に、セキュリティ専門家のグループである Jericho Forum が、脱境界化、つまり場所に関係なく複数のセキュリティ レベルを使うことを提唱し始めました。境界ベースのセキュリティ コントロールを越えて先へ進むというこの概念は、今日知られているゼロ トラスト モデルの基礎を築くために役立ちました。
ゼロ トラスト セキュリティの進化における重要なマイルストーンを説明します。
ゼロ トラスト セキュリティの進化における重要なマイルストーンを説明します。
- 2010:アナリストの John Kindervag が、Forrester Research Group の論文で “ゼロ トラスト” という用語を正式に提唱し、すべてのアクセス要求をその発生元に関係なく検証する必要性を強調しました。
- 2017:Gartner が、リスクを常に評価し適応することに焦点を当てたセキュリティ手法である Continuous Adaptive Risk and Trust Assessment (CARTA) フレームワークを導入しました。
- 2020:National Institute of Standards and Technology (NIST) が、ZTA の確立のための広範囲にわたるガイドラインとベスト プラクティスを定義した、Special Publication 800-207 を発表しました。
- 2022:米国政府が、2024 年までにすべての連邦機関にゼロ トラスト原則の導入を義務付け、現代のサイバーセキュリティにおけるゼロ トラストの重要性を強調しました。
ゼロ トラスト アーキテクチャのしくみ
従来型セキュリティ アーキテクチャでは、ユーザーは、職場でサインインすると企業ネットワーク全体にアクセスできるようになりました。この手法では組織の境界は保護されますが、それは物理的なオフィスの構内に限られておりリモートまたはハイブリッド作業をサポートしていません。また、従来型セキュリティ フレームワークでは、パスワードを盗めばすべてにアクセスできるようになるため、企業にリスクがもたらされます。
ゼロ トラスト ネットワーク アーキテクチャでは、組織の境界が保護されるだけではなく、各ユーザーと各デバイスが定期的に認証されて、すべてのファイル、メール、データが保護されます。ZTA は、リモート アクセス、個人用デバイス、サード パーティ製アプリを安全にして柔軟性を高め、リモート ワークを促進し、Bring Your Own Device (BYOD) ビジネス モデルをサポートするためにも役立ちます。
ゼロ トラストでは、さまざまな認証、ネットワーク監視、暗号化、アクセス制御の技術を組み合わせて、セキュリティ態勢が包括的に強化されます。
ゼロ トラスト ネットワーク アーキテクチャでは、組織の境界が保護されるだけではなく、各ユーザーと各デバイスが定期的に認証されて、すべてのファイル、メール、データが保護されます。ZTA は、リモート アクセス、個人用デバイス、サード パーティ製アプリを安全にして柔軟性を高め、リモート ワークを促進し、Bring Your Own Device (BYOD) ビジネス モデルをサポートするためにも役立ちます。
ゼロ トラストでは、さまざまな認証、ネットワーク監視、暗号化、アクセス制御の技術を組み合わせて、セキュリティ態勢が包括的に強化されます。
認証と認可
すべてのユーザーとデバイスは、リソースへのアクセス前に認証され認可されます。ゼロ トラスト ネットワーク アクセス (ZTNA) では、多くの場合、多要素認証と、ロールベースのアクセス制御を必要とします。
ネットワーク監視と分析
ネットワーク トラフィックとユーザーの行動は、異常、疑わしい活動、潜在的な脅威を検出するために継続的に監視されます。
エンドツーエンドの暗号化
企業全体のビジネス データは、データが傍受された場合でも無許可のユーザーには読み取れないように保護されます。
アクセス制御メカニズム
リソースへのアクセスが、ユーザーとデバイスの ID に加え、その他のコンテキスト要因 (場所や行動など) によって判断されます。
すべてのユーザーとデバイスは、リソースへのアクセス前に認証され認可されます。ゼロ トラスト ネットワーク アクセス (ZTNA) では、多くの場合、多要素認証と、ロールベースのアクセス制御を必要とします。
ネットワーク監視と分析
ネットワーク トラフィックとユーザーの行動は、異常、疑わしい活動、潜在的な脅威を検出するために継続的に監視されます。
エンドツーエンドの暗号化
企業全体のビジネス データは、データが傍受された場合でも無許可のユーザーには読み取れないように保護されます。
アクセス制御メカニズム
リソースへのアクセスが、ユーザーとデバイスの ID に加え、その他のコンテキスト要因 (場所や行動など) によって判断されます。
ZTA の実装方法
ゼロ トラスト モデルへの移行は、既存の IT 環境の複雑さが原因で、困難なプロセスになる可能性があります。たとえば、レガシー システムに最新のセキュリティ対策との互換性がない場合は、新しいゼロ トラスト フレームワーク内に既存のテクノロジを統合することは困難です。このような IT 関連の課題を克服するには、相互運用可能なソリューションへの投資や、段階的な実装手法の計画を検討してください。
企業でゼロ トラスト アーキテクチャを導入するための手順とベスト プラクティスを以下に示します:
1. 強力な本人確認の実現
組織で使われているすべてのアプリ、サービス、リソースへのアクセスを、機密性の高い順に認証していきます。管理者に、リスクを評価するためのツールと、ID に危険な兆候 (ログイン失敗が多いなど) が見つかった場合にリアルタイムで対応するためのツールを提供します。
2. デバイスとネットワークへのアクセスを管理
個人、法人を問わず、すべてのエンドポイントが組織のセキュリティ要件を満たしていることを確認します。ネットワークを暗号化し、リモートやオンサイトも含めすべての接続が安全であることを確認します。ネットワークをセグメント化して、不正アクセスを制限します。
3. アプリに対する可視性の向上
“シャドウ IT” とは、従業員が使う承認されていないアプリケーションまたはシステムであり、それがサイバー脅威をもたらす可能性があります。ユーザーがどのアプリをインストールしたかを調査して、それらに対するアクセス許可の設定、危険な兆候がないかどうかの監視、要件を満たしているかどうかの確認をできるようにします。
4. データのアクセス許可を設定
文書からメールまで、組織のデータに分類レベルを割り当てます。機密データを暗号化し、最低特権アクセスを提供します。
5. インフラストラクチャの監視
インフラストラクチャのすべての部分 (サーバーや仮想マシンなど) を評価、更新、構成して、不要なアクセスを制限します。メトリックを追跡します。それにより、疑わしい行動を簡単に特定できます。
企業でゼロ トラスト アーキテクチャを導入するための手順とベスト プラクティスを以下に示します:
1. 強力な本人確認の実現
組織で使われているすべてのアプリ、サービス、リソースへのアクセスを、機密性の高い順に認証していきます。管理者に、リスクを評価するためのツールと、ID に危険な兆候 (ログイン失敗が多いなど) が見つかった場合にリアルタイムで対応するためのツールを提供します。
2. デバイスとネットワークへのアクセスを管理
個人、法人を問わず、すべてのエンドポイントが組織のセキュリティ要件を満たしていることを確認します。ネットワークを暗号化し、リモートやオンサイトも含めすべての接続が安全であることを確認します。ネットワークをセグメント化して、不正アクセスを制限します。
3. アプリに対する可視性の向上
“シャドウ IT” とは、従業員が使う承認されていないアプリケーションまたはシステムであり、それがサイバー脅威をもたらす可能性があります。ユーザーがどのアプリをインストールしたかを調査して、それらに対するアクセス許可の設定、危険な兆候がないかどうかの監視、要件を満たしているかどうかの確認をできるようにします。
4. データのアクセス許可を設定
文書からメールまで、組織のデータに分類レベルを割り当てます。機密データを暗号化し、最低特権アクセスを提供します。
5. インフラストラクチャの監視
インフラストラクチャのすべての部分 (サーバーや仮想マシンなど) を評価、更新、構成して、不要なアクセスを制限します。メトリックを追跡します。それにより、疑わしい行動を簡単に特定できます。
ゼロ トラスト アーキテクチャのユース ケース
業界を問わず、企業は、独自の拡大するセキュリティ ニーズにさらに効果的に対応するために、ゼロ トラスト アーキテクチャを実装しています。たとえば、国際的なテクノロジ複合企業である Siemens はゼロ トラスト アーキテクチャを実装して、“決して信頼せず、常に検証する“という原則を使ってそのセキュリティ態勢を高めました。業界に関係なく、組織はさまざまなユースケースにわたり ZTA を実装できます。次に例を示します:
- 複数のクラウド環境をサポートする。
- フィッシング、認証情報の盗難、ランサムウェアへの対応。
- 一時社員に期間限定の安全なアクセス権を与える。
- サード パーティ製アプリへのアクセスを保護し監視する。
- さまざまなデバイスを使う現場担当者をサポートする。
- 規制要件への準拠を維持する。
- 財務。最低特権アクセスを使ってセキュリティ態勢を強化できます。また、ネットワーク全体にわたり継続的に行動を監視して、悪意のある活動を迅速に特定し対応できます。
- 医療。MFA を実装して電子医療記録システムを保護できます。また、ネットワークをセグメント化してデータ侵害のリスクを減らすことができます。
- 政府機関。データを暗号化し厳しいアクセス制御を実装して、機密情報への不正アクセスを防ぐことができます。
- 小売。継続的な検証と、コンテキストに基づくポリシーを使って、顧客データを保護し、電子商取引プラットフォームを安全にすることができます。
- 教育。個人用デバイスやサード パーティ製アプリと、デジタル学習環境へのリモート アクセスを安全にして、リモート学習をサポートし、柔軟性を高めることができます。
ゼロ トラスト アーキテクチャのソリューション
企業内でゼロ トラストを導入することの重要性は日々増しています。作業環境はますますダイナミックになり、サイバー脅威は進化し続けているため、組織はすべてのアクセス要求を検証し、そのネットワーク全体が確実に保護されるように包括的なセキュリティ コントロールを実装する必要があります。ゼロ トラスト ソリューションの有効範囲と規模はさまざまです。以下に例をいくつか示します:
個人ユーザー は、多要素認証 (MFA) をオンにすると、アプリや Web サイトにアクセスする前にワンタイム コードを取得できます。また、生体認証 (指紋や顔など) を使ってサインインを開始できます。
パスワードは忘れやすいため、学校やコミュニティは、パスキーを使ってパスワードレスにすることができます。また、エンドポイント セキュリティを高めて、リモート ワークと学校をサポートすることや、デバイスの紛失や盗難に備えてセグメント アクセスを実現することもできます。
組織は、すべてのアクセス ポイントを特定し、より安全なアクセスのためのポリシーを実装して、ゼロ トラスト アーキテクチャを導入できます。ゼロ トラストは長期的な手法であるため、組織は、新たな脅威を検出するための継続的な監視に取り組む必要があります。
企業にゼロ トラスト ソリューションを実装することを検討してください。
個人ユーザー は、多要素認証 (MFA) をオンにすると、アプリや Web サイトにアクセスする前にワンタイム コードを取得できます。また、生体認証 (指紋や顔など) を使ってサインインを開始できます。
パスワードは忘れやすいため、学校やコミュニティは、パスキーを使ってパスワードレスにすることができます。また、エンドポイント セキュリティを高めて、リモート ワークと学校をサポートすることや、デバイスの紛失や盗難に備えてセグメント アクセスを実現することもできます。
組織は、すべてのアクセス ポイントを特定し、より安全なアクセスのためのポリシーを実装して、ゼロ トラスト アーキテクチャを導入できます。ゼロ トラストは長期的な手法であるため、組織は、新たな脅威を検出するための継続的な監視に取り組む必要があります。
企業にゼロ トラスト ソリューションを実装することを検討してください。
リソース
Microsoft Security によってゼロ トラストへの適応がどのように容易になるかを学ぶ
よく寄せられる質問
- ゼロ トラスト アーキテクチャ (ZTA) とは、すべてのアクセス要求を検証して、許可されているユーザーとデバイスのみに、ネットワークに入り、機密データを表示し、ビジネス リソースを使うことができるようにするセキュリティ フレームワークです。ZTA では、どのエンティティも初めから信頼すべきでないという考えが前提となっています。この “決して信頼せず、常に検証する” というサイバーセキュリティ手法では、組織が侵害を事前対策的に特定し封じ込めて、侵害による被害を最小限に抑えることができるようになります。
- 常に次のことがゼロ トラスト アーキテクチャの中核となります:
- 積極的に検証する。データ ポイント (ユーザーの ID、場所、デバイスなど) を定期的かつ包括的に評価して不正アクセスを防ぎます。
- 最低特権アクセスを使う。ユーザーに必要最低限のアクセス レベルを提供して、内部関係者による脅威によって発生する可能性がある被害を最小限に抑えます。
- 侵害があると想定する。企業全体のユーザー、デバイス、システムがすでに侵害されていると想定して、サイバー攻撃を事前対策的に予測します。
- はい。ゼロ トラスト アーキテクチャは広く受け入れられており、10 年以上にわたり、サイバーセキュリティの権威から賞賛されています。組織がリモートおよびハイブリッド作業環境を導入するときには、さまざまな場所やデバイスからの企業リソースへのアクセスを安全にすることが必ず必要になります。結果として、規模や業界を問わずさまざまな企業が、運用効率を損なわずにセキュリティ態勢を最適化するために、ゼロ トラスト フレームワークを実装しています。
- ゼロ トラスト セキュリティ モデルでは、企業は、ユーザーやデバイスを初めからは信頼しないようにし、潜在的な侵害によって発生する可能性がある被害を事前対策的に制限して、リスクを最小限に抑えることを目標とします。このサイバーセキュリティ手法の例を次に示します:
- 多要素認証を要求する。
- すべてのユーザーとデバイスを継続的に監視する。
- 最低特権アクセスを使う。
- ネットワークを孤立したセグメントに分割する。
Microsoft Security をフォロー