ゼロトラストと最小限の権限
公開: 2023-11-09進化し続けるデジタル環境において、サイバーセキュリティは最も重要性を増しています。 組織は山積する一連の課題に直面しており、堅牢なセキュリティ フレームワークの導入が必要となっています。 2 つの注目すべきサイバーセキュリティ フレームワークは、ゼロ トラスト ネットワーク アクセス (ZTNA) と最小権限の原則 (POLP) です。 この包括的なガイドでは、これらのシステムの技術的側面を調査し、IT 管理者がそれらの類似点、相違点、利点、欠点を評価し、最終的に組織の特定のニーズに最も適合するフレームワークを選択できるようにします。
ゼロトラストとは何ですか?
ゼロ トラスト (ZT) は、従来の境界ベースのセキュリティ モデルに挑戦するセキュリティ モデルで、「決して信頼せず、常に検証する」という基本ルールに基づいて動作します。 Forrester 社の主席アナリストである John Kindervag 氏によって 2010 年に導入されたゼロ トラストは、オンライン アカウントの使用許可を持つ認証されていない個人の増加によりデータ侵害のリスクが高まるなど、企業のクラウドへの移行に伴って生じる問題に対処するために開発されました。
ゼロトラスト モデルでは、ネットワーク内にリスクがすでに存在する可能性があることを認識して、すべての識別子が厳格なテストを受けます。 個人であれデバイスであれ、本質的に信頼されるエンティティは存在しません。 リソースへのアクセスが許可される前に、継続的な認証、認可、および検証 (AAV) が要求されます。 このモデルにより、不審な動作を迅速に特定し、潜在的な脅威に迅速に対応でき、サイバー攻撃の影響を軽減できます。
ゼロトラストの仕組み
ゼロ トラストでは、脆弱性は外部にだけあるのではなく、一見無害な実体を装って内部に存在する可能性があると想定しています。 ゼロトラストのシナリオでは、すべての対話とアクセス要求を通じて信頼を継続的に再確立する必要があります。 AAV を通じて、認識されている信頼性に関係なく、すべてのエンティティをすべてのエントリ ポイントで精査する必要があります。
- 認証では、多要素認証 (MFA) と資格情報ボールティングを使用して ID を検証します。
- 権限は、ジョブの説明と必要なデータ アクセスに基づいてアクセス レベルを決定します。
- 検証では動作を継続的に監視し、承認とセキュリティ プロトコルが遵守されていることを確認します。
最小権限の仕組み
最小特権の原則 (POLP) は、明確ではありますが同様に重要なセキュリティ原則であり、エンティティにその機能を実行するために必要な最小限のレベルの許可または承認を付与することを提唱しています。 「知る必要がある」および「使用する必要がある」戦略を採用し、不必要なアクセスを制限して潜在的な攻撃対象領域を最小限に抑えます。
企業のデジタル エコシステムを、貴重な資産や機密データを含むさまざまな領域につながるエントリ ポイントのネットワークとして想像してください。 POLP は、各ユーザー、アプリケーション、およびシステムがキーのセットを持っていることを保証し、必要な領域へのアクセスのみを許可し、目的が達成されるとキーを取り消します。
企業は最小特権のルールに従うことで、攻撃対象領域を最小限に抑えます。これは、体系的に計画された、悪意のある攻撃者にとって考えられるすべての侵入ポイントの全体です。 この削減は次の方法で成功裏に達成されます。
- 必要のないエンティティへのアクセスを制限する
- 侵入者がシステムに侵入できる侵入ポイントを減らす。
- 参入時の潜在的な影響の大きさを制限する
ゼロトラストと最小権限の違いは何ですか?
ZTNA と POLP は、次の 4 つの点で異なります。
1. ゼロトラストは全体的ですが、最小特権は権利と承認に焦点を当てます
ゼロトラストと最小特権の最初の違いは、その適用範囲の点です。 ゼロトラストは、ネットワーク アーキテクチャのあらゆる側面に非常に広範な網を張り、境界主導のセキュリティという従来の概念に疑問を投げかけます。 これは、たとえ機密リソースを積極的に探そうとしていなかったとしても、内部または外部のエンティティは本質的に信頼されていないことを意味します。
反対に、最小特権では、特定のユーザーまたはアプリケーションの権利とアクセス許可を規制することに主に焦点を当てています。 その範囲はより狭く、エンティティには割り当てられたタスクを実行するために必要な最小限のアクセス権のみが与えられるという前提に基づいています。
2. 最小権限は細かいレベルで適用されますが、ゼロトラストはより戦略的です
最小権限は、エンティティごとまたはアクティビティごとにアクセスを制限するため、当然より詳細になります。 これは、ユーザーまたはアプリがその職務を実行するために必要な権限のみを持つことを保証する、正確な制御メカニズムを意味します。
ゼロ トラストのアプローチは細分化できますが、通常は、特定のネットワーク セグメント、機器、または ID の分類に焦点を当て、より大規模に機能します。 多くの場合、ゼロトラスト哲学に基づいて IT インフラストラクチャ管理ツールを選択しますが、これは設計レベルで実装される戦略的な考え方です。
3. 最小権限はゼロトラストより展開が簡単です
ゼロトラストと最小特権の 3 番目の違いは、最小特権が通常、制限的な制御システム、ユーザー管理、および承認の割り当てによって実装される場合です。 一般に、確立されたネットワーク アーキテクチャ内での実装はより簡単です。 一方で、ゼロ トラストを採用するには、多くの場合、ネットワーク セグメンテーションなどのネットワーク アーキテクチャの大幅な変更が必要になります。 それには、セキュリティ フレームワーク全体の徹底的な再評価が必要です。
4. ゼロトラストはプロアクティブであり、最小権限がアクセス要求に反応します。
「知っておくべきこと」と「使用する必要のあること」のアプローチを併用することにより、最小権限により、必要に応じて資産へのアクセスが制限されます。 ゼロトラストの継続的な検証アプローチではなく、事前にアクセス許可を確立して実装することに重点を置いています。 ゼロトラストは、エンティティとそのアクティビティの信頼性、正確性、有効性を継続的に確認することで、プロアクティブな戦略を提供します。
要約: ゼロトラストと最小限の権限
ゼロ トラストと最小特権の原則はどちらも強固なサイバーセキュリティ フレームワークの重要なコンポーネントであり、ユーザー ID とコンテキストに基づいて信頼できるアクセス制御を確立することの重要性が強調されています。 POLP は独立して実装できますが、ユーザーの行動を継続的に監視し、エンティティの ID とアクティビティを検証するゼロ トラスト環境内で適用すると最も効果的です。
複雑なデジタル時代では、従来の城と堀の防衛戦術はもはや通用しません。 熟練したハッカーは組織に対して分散型攻撃スキームを展開することができるため、均等に分散されたサイバーセキュリティ戦略が必要になります。 ゼロ トラストや最小限の特権など、利用可能なあらゆる保護手段を利用して、できるだけ多くのアクセス ポイントを保護することが不可欠です。