出典: Alexander Yakimov via Alamy Stock Photo
米国国立標準技術研究所(NIST)は、エンドツーエンドのゼロトラストアーキテクチャ(ZTA)を構築するための新しいガイダンスを発表し、セキュリティチームに組織の防御を強化するための実用的な実世界の例を提供しています。
このガイダンス(SP 1800-35)は、商用の既製技術を使用して構築された19の例を提供し、組織がゼロトラストを実装するための出発点を提供します。NISTの国家サイバーセキュリティセンターオブエクセレンスでの4年間のプロジェクトと24の業界パートナーによって開発されたSP 1800-35は、すべてのZTA実装がカスタムビルドとして扱われるべきであるという現実に対処しています。なぜなら、各組織のネットワーク環境とニーズは異なるからです。
「このガイダンスは、ZTAを展開する方法の例を提供し、それらを実装するために必要なさまざまな技術を強調しています」と、NISTのコンピュータ科学者であり、出版物の共著者であるAlper Kerman氏は声明で述べています。「これは、独自のZTAを構築するための基盤となる出発点となり得ます。」
新しいガイダンスは、2020年にリリースされたNIST SP 800-207を補完することを目的としており、ゼロトラストを概念レベルで説明しています。文書化されたソリューションは、NISTサイバーセキュリティフレームワークやNIST SP 800-53を含むさまざまなサイバーセキュリティフレームワークに対応しています。
関連記事:Gartner: 2028年までに25%の企業がセキュアエンタープライズブラウザを採用
防御を強化するためのゼロトラスト
ゼロトラストアーキテクチャでは、組織はユーザーやデバイスが暗黙的に信頼されることはないと仮定し、アクセス要求を継続的に評価および検証します。以前にユーザーやデバイスが信頼され、アクセスが許可されたからといって、その後にユーザーやデバイスが侵害されていないとは限りません。これは、クラウドコンピューティングとリモートワークの時代において特に重要です。ユーザーは使用するデバイスを変更することができ、デバイスも場所やネットワークを移動することができます。
ZTAは継続的な評価を必要とするため、悪意のあるアクターが制御を突破してネットワークに侵入したとしても、そのアクターの次のステップは制限されます。従来のネットワークアーキテクチャでは、ユーザーやデバイスがアクセスを許可されると、ネットワーク内での移動に制限はありません。ZTAは、繰り返しのチェックと検証が行われるため、横方向の移動と権限の昇格を減少させます。
プロジェクトの一環として、NCCoEチームと業界パートナーは各例の実装をインストールおよび構成しました。ガイダンスには、テスト結果、トラブルシューティングの支援、NCCoEチームからのベストプラクティスが含まれています。
組織のゼロトラストへの旅
NISTの文書は、組織がゼロトラストへの段階的な旅を進めることを強調しています。
-
既存環境の発見とインベントリ: ハードウェア、ソフトウェア、アプリケーション、データ、サービスなど、すべての資産を特定し、カタログ化します。
-
アクセスポリシーの策定: インベントリされたリソースに基づいて、誰がどのリソースにアクセスできるか、どの条件でアクセスできるかを定義し、最小特権の原則に従います。
-
既存の能力の特定: 現在のセキュリティ技術をインベントリし、再利用可能なものを特定し、投資を最適化します。
-
リスクベースのアプローチでギャップに対処: インフラをセグメント化し、リスクベースのアプローチでポリシーエンフォースメントポイントを使用して重要なリソースを保護します。
-
ZTAコンポーネントの段階的な実装: アイデンティティ、資格情報、アクセス管理ソリューション、多要素認証などの基盤要素から始めます。
-
実装の検証: ネットワークトラフィックを継続的に監視し、疑わしい活動を検出し、ZTAポリシーが効果的であることを確認するために定期的なテストを実施します。
-
継続的な改善と進化: ZTAを脅威の状況、技術、組織の要件の変化に適応する必要がある継続的なプロセスとして認識します。