2022年1月26日、バイデン政権の行政管理予算局(OMB)局長代理は、米国政府をゼロ・トラスト・サイバーセキュリティの原則に向かわせるための覚書を行政府の部局長および各省庁に発表した。このメモは、高度化・持続化する脅威キャンペーンに対する米国のサイバー防御を強化するための次世代セキュリティフレームワークとして、連邦ゼロトラストアーキテクチャ(ZTA)の要件を提示した。
この汎政府ガイダンスは、ZTAがあらゆるサイバーセキュリティとネットワーク戦略の重要な要素として考慮される必要があることをさらに証明するものであり、重要インフラ組織は今後、ITインフラとセキュリティプロセスの重要な部分を再考する必要がある。実際、1月26日のOMBメモは、2021年2月の国家安全保障局(NSA)のガイダンスに続くもので、「Embracing a Zero Trust Security Model(ゼロ・トラスト・セキュリティ・モデルの採用)」と呼ばれる文書で、同様にゼロ・トラストの考え方を採用し、政府ネットワーク内でZTAを実施することを概説している。
ZTAは、従来のセキュリティアプローチやアーキテクチャーを大きく前進させるものとして広く受け止められているが、業界、専門家、ベンダーによってZTAの定義や要件が異なるなど、多くの未解決の問題がある。現在のところ、ゼロ・トラストは、明確な一連のセキュリティ機能や能力というよりも、考え方やアプローチのように見える。その結果、私は、今月初めにSecurityBrief.com.auで、米国政府のZTAガイドラインに直ちに追随することは、他の政府にとっては注意が必要であるとアドバイスした。
ゼロ・トラスト・アーキテクチャを導入する際、組織は何を考慮する必要があるのか?
ゼロ・トラストは、組織全体に必要なポリシーと強制力を実装するために、ネットワークとセキュリティ・アーキテクチャを大幅に変更することを意味する。一般的に、ゼロ・トラストの考え方は、ネットワーク内のすべてのデバイスとユーザーが潜在的に危険であるか、潜在的な脅威であると仮定し、一般的に、明示的に許可されたユーザー、デバイス、通信、トラフィックのみを許可する必要があります。これは、マルウェアの伝播、不正アクセス、および多種多様なサイバー脅威を減速またはブロックするのに役立つが、このような設計を実装するには、コストがかかり、既存の運用やアプリケーションを混乱させる可能性が非常に高い、根本的なインフラとポリシーの変更が必要である。
ゼロ・トラストは、様々な特定のセキュリティ・ユースケースと環境のために、IT組織全体に大きく浸透していますが、OT とIoT のユニークな要件は、産業プロセスと重要なインフラストラクチャと組み合わさって、汎用のゼロ・トラスト・ソリューションによるZTAの展開を妨げる可能性があります。多くのOT およびIoT デバイスは、マイクロセグメンテーション(一般的なゼロトラストの目標)を備えた ZTA に簡単に配置することができません。現在のOT ネットワークでゼロ・トラストが採用される場合、それは多くの場合、ますます怪しくなっているVPNアクセス・ソリューションに代わるセキュアなリモートアクセス・シナリオに限定され、すべてのデバイス間の内部ネットワーク全体には適用されない。
一般的に、組織はゼロ・トラストをターンキー・ソリューションではなく、発想の転換だと考える必要がある。おそらく、インフラ全体の大幅なアップグレードやポリシー、アプリケーションの変更が必要になるだろう。多くの定義やユースケースのシナリオがあるため、組織は、現在のアクセスやアプリケーションの要件に応じて、ZTAを導入する方法と理由を優先させるべきであり、上記の米国政府からのメモのような特定のガイダンスや義務に目を向けるべきではありません。ちなみにこのメモでは、2024年までにHTTPとDNSトラフィックの暗号化を実装するよう求めているが、電子メールなどの他のサービスは求めていない。このような具体的な内容は、他のアプリケーション・セキュリティ・ニーズを持つ他の業界や組織にはまったく関係のないことかもしれない。
Nozomi Networks 信頼ゼロへのアプローチ
ゼロ・トラストに対する「画一的な」アプローチは存在しないが、ゼロ・トラストが今後数年のうちに多くの組織のセキュリティ目標の要に進化する可能性が高いことを認識し、Nozomi Networks 、この旅路において顧客を支援する態勢を整えている。実際、Zero Trustの原則の多くは、エンドポイントの脆弱性管理と検証、攻撃対象領域の縮小、常時オン監視と脅威検出という当社の従来からの焦点と完全に一致している。
まず第一に、当社のソリューションは常に既存のネットワークに対して非侵入的かつ非破壊的であり、これは重要なOT システムとプロセスにとって重要な要件です。ネットワークトラフィックを監視し、観測された挙動を特定の許可されたポリシーと比較することで、この同じアプローチをゼロ・トラスト・サービスにも拡張しています。予想外の正当なトラフィックをブロックするのではなく、特定されたZTAポリシー違反をアラートしてさらに確認するか、必要に応じて疑わしいエンドポイントやユーザーを隔離またはブロックできるパートナーと統合することができます。トラフィックパターンを規定のポリシーと比較するZero Trust Monitoringは、Zero Trustポリシーが実施されたときに重要なサービスが中断されないように、必要なネットワークフローとアプリケーショントラフィックをすべて特定するために、ほとんどのZTA導入において重要な初期ステップとなる。
ガートナーはゼロ・トラストについて、接続を「決して信頼せず、常に検証する」アーキテクチャであり、悪質な行為者が常に活動していることを想定していると説明している。同様に、Nozomi Networks 、資産識別、エンドポイントおよびユーザー・ポスチャーの継続的検証、デバイスの脆弱性評価、および合法的に確立された運用活動への洞察に重点を置くことで、24時間365日、組織内のあらゆるデバイスを対象とした自動化されたインテリジェントな検証プラットフォームとして機能します。また、監視カメラやプログラマブルロジックコントローラーに期待される動作や基本的な動作を熟知した深いasset intelligence 。信頼できるデバイスが侵害されている可能性を特定し、隔離またはアクセス制限のために評価することができます。
ゼロ・トラストの次は?
Nozomi Networks において、当社の製品ビジョンとパートナー戦略は、従来のVantage とGuardian の機能を拡張し、ゼロ・トラスト・マインドセットとゼロ・トラスト・アーキテクチャへの進化をサポートします。ZTAは破壊的である必要はなく、すべての環境を一夜にしてゼロ・トラストに変換するドロップイン・ソリューションはありません。あなたの組織では、ゼロトラストへのアプローチは、業界のガイドラインやベンダーのソリューションとは大きく異なるかもしれない。ゼロ・トラストの考え方の基盤となるサービスを提供し、今後必要なポリシーを定義して実装するために適応できるプラットフォームが必要です。
Nozomi Networks は、既存のOT やIoT のデプロイメントにとって理にかなった道筋を支援することができます。その際、単に断片化して置き換えたり、すべてのエンドポイントにエージェントをインストールしたり、ネットワークトラフィックのほとんどを一晩で突然暗号化してブロックしたりするようなアプローチは必要ありません。ゼロ・トラストへの常識的なアプローチでお手伝いします。ゼロ・トラストは、世界最大のOT 組織の多くを保護してきた当社の製品DNAの一部です。
