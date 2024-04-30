X
ゼロトラストを実現するための 5 つのステップ

Dan Petrillo headshot

執筆者

Dan Petrillo

April 30, 2024

Dan Petrillo は 、Akamai Technologies の Product Marketing 担当 Director です。

ゼロトラストとは、必要なアクセスとトラフィックを把握し、それ以外をすべてブロックすることです。
ゼロトラストとは、必要なアクセスとトラフィックを把握し、それ以外をすべてブロックすることです。

ゼロトラスト・アーキテクチャは、長年にわたり、進化する脅威に対する比類のない防御を約束する理想的なサイバーセキュリティと考えられてきました。しかし、現代の IT 環境は複雑であるため、この 目標は達成不可能であると思われることが多いです。そのため、Akamai Guardicore Platform は、極めて多様で複雑なインフラを持つ企業でもゼロトラストを実現できるように設計されています。

ゼロトラストの実装は困難に思えるかもしれませんが、次の 5 つの重要なステップで実現することができます。

  1. 初めにトップクラスのマイクロセグメンテーションとゼロトラスト・ネットワーク・アクセス（ZTNA）を導入する

  2. 単一のコンソールで可視化し、制御する

  3. インフラを統合し、展開と保守を効率化する

  4. 人工知能（AI）を活用し、効率性を高める

  5. 原則を満たすシステムを確保する

初めにトップクラスのマイクロセグメンテーションと ZTNA を導入する

2023 年のレポートで、Gartner は「ゼロトラスト・ネットワーキング（ZTN）体制に移行するためにマイクロセグメンテーションや ZTNA を導入する」ことを提案しています。 1 これらのテクノロジーがゼロトラストの土台となる理由と、そのテクノロジーがトップクラスのものでなければならない理由を説明します。

デフォルトでは、IT システムは多くのトラフィックを信頼し、業務上必要とされる以上のアクセスを許可します。基本的に、ゼロトラストとは、必要なアクセスやトラフィックを把握し、それ以外をすべてブロックすることです。

内部（水平方向、East／West）のトラフィックの場合、 マイクロセグメンテーション は、そのように必要なアクセスやトラフィックを把握して、ゼロトラストを実現する上で十分なきめ細かさの制御を行うことができる、唯一のツールです（図 1）。 Guardicore Segmentation は、非常にきめ細かいマイクロセグメンテーションソリューションです。これを利用することで、企業はポートレベルやプロセスレベルだけでなく、サービスレベルでブロックできます。その結果、アタックサーフェスが最大 99.93% 減少します。

内部（水平方向、East／West）のトラフィックの場合、マイクロセグメンテーションは、そのように必要なアクセスやトラフィックを把握して、ゼロトラストを実現する上で十分なきめ細かさの制御を行うことができる、唯一のツールです（図 1）。 図 1：（左）マイクロセグメンテーション前のアタックサーフェス、（右）マイクロセグメンテーション後のアタックサーフェス。マイクロセグメンテーションは、水平方向（East／West）のトラフィックを可視化し、きめ細かく制御することによって、アタックサーフェスを削減します。

しかし、ゼロトラストは、 水平方向（East／West）のトラフィックの問題を解決するだけでは実現できません。さらに、従業員が業務に必要なアプリケーションにのみアクセスできるようにする必要があります。従業員が テレワーク をしたり世界中に分散したオフィスで働いたりしている場合、これは困難になります。

そこで、 ZTNA の出番です。ZTNA を導入すれば、ユーザーがどこにいても、アプリケーションがどこにあっても、世界中のユーザーに正確にアクセスを許可することができます。 Akamai Guardicore Access は FIDO2 が搭載されているため、この課題の解決に特に適しています。FIDO2 はフィッシング対抗の多要素認証（MFA）であり、従業員にそのようなアクセスを安全かつシームレスに許可できるようにします。

したがって、ゼロトラストを実現するためには、マイクロセグメンテーションと ZTNA の両方が必要です。しかし今までは、両方のメリットを最大限に活用するためには、それらを個別に展開して管理する必要がありました。しかし、もはやその必要はありません。Akamai Guardicore Platform は、トップクラスのマイクロセグメンテーションと ZTNA を組み合わせて、ゼロトラストの実現に向けた第一歩を正しく踏み出すための強力なフレームワークを組織に提供します。

単一のコンソールで可視化し、制御する

さまざまなセキュリティツールやポリシーを管理してゼロトラストを実現しようとしていては、ゼロトラストは実現できません。単一のコンソールによってネットワーク全体を総合的に可視化することが最も重要です。つまり、垂直方向（North／South）と水平方向（East／West）の両方のトラフィックをシームレスに管理し、オンプレミスとクラウドの資産だけでなくリモートとオフィス内の両方の従業員に対して一貫してポリシーを適用します。

ゼロトラスト・ポリシーを迅速かつ効果的に構築し、維持するためには、垂直方向（North／South）のアクセスと水平方向（East／West）のトラフィックのパターンを 1 つの場所で確認できる必要があります。コンソールの切り替えや、一部のみを確認できるマップは、許容できません。すべてを 1 つのマップで確認できれば、ポリシー要件が明確になります。

Akamai Guardicore Platform で生成されたネットワークマップの画像。IT 環境の部分間のトラフィックフローを示しています 図 2：Akamai Guardicore Platform は、環境のビジュアルマップを作成して、トラフィックパターンを単一のコンソールですばやく表示します

さらに、これらの製品には信号の共有というメリットがあります。たとえば、ZTNA がアクセスを許可しようとしていることをマイクロセグメンテーションが認識していれば、フォールス・ポジティブ（誤検知）を減らすことができます。Akamai Guardicore Platform は、マイクロセグメンテーションルールによってアクセスをブロックするのではなく、許可するように設計されています。ゼロトラストの実現に向けて真の意味で前進するためには、水平方向（East／West）のトラフィックと垂直方向（North／South）のアクセスの可視化と制御を組み合わせる必要があります。

インフラを統合し、展開と保守を効率化する

単一エージェントのソリューションによって展開と管理をシンプル化することで、ゼロトラストの目標を達成するための取り組みを促進し、シンプル化することができます。企業がレガシーおよび最新のオペレーティングシステム、オンプレミスおよびクラウドアプリケーション、IoT デバイス、コンテナなどのさまざまな資産を幅広くサポートするためには、これが必要です。

従来、これらすべてのシステムでゼロトラストの実現に向けた取り組みをサポートするためには複数のエージェントが必要で、展開と保守が極めて困難でした。保護されたデバイスのパフォーマンスと信頼性に悪影響を与える可能性があることは言うまでもありません。

Akamai Guardicore Platform は、単一のエージェントによってマイクロセグメンテーション、ZTNA、DNS ファイアウォールなどをサポートします。これにより、エンドユーザーやワークロードへの影響が軽減され、展開チームへの負担が減り、ゼロトラストのすべてのコンポーネントのメンテナンスが効率化されます。

Akamai Guardicore Platform を利用することで、システムのパフォーマンスとダウンタイムへの影響を最小限に抑えながら、インフラ全体に迅速かつ効果的にゼロトラストを展開できます。エージェントが実行できない場合、このプラットフォームはエージェントレスの保護を提供します。

AI を活用し、効率性を高める

コンプライアンスの取り組みの範囲特定、脆弱性の明確化、インシデント対応など、ゼロトラストに関連するタスクの中には、あまりに多くの時間がかかり、膨大な技術的知識を必要とするため、CISO が自力で迅速に行うことができないタスクがあります。

たとえば、特定の期間に、特定の資産に対して、特定のタイプの接続が行われたかどうかを究明するよう、CISO が求められたとします。これはインシデント対応の際に重要な情報です。このようなシナリオでは、いつ攻撃が発生するかを CISO が選択することはできないため、時間が最も重要な要素です。

CISO のもとにいる優秀なアナリストは、手が空いていない可能性があります。手が空いていたとしても、アナリストが質問に答えるためには、ログを手動で検索し、情報を相関させなければなりません。これこそ、AI を活用する必要のある場面です。この CISO は、「過去 24 時間に、本番環境への SSH または RDP トラフィックがあったか」と質問するだけで、答えを得ることができます。

Akamai Guardicore Platform は、自然言語を使用したネットワークログとの通信、資産インベントリのラベリング、クエリーによる脆弱性評価のシンプル化、推奨ポリシーの提案などのタスクに AI を活用します。これにより、インシデント対応、コンプライアンスの取り組み、セキュリティ業務全般を高速化できます。

原則を満たすシステムを確保する

ゼロトラストを実現するためには、基本原則を遵守する必要があります。その基本原則とは、デフォルトでエンティティを信頼しないこと、最小権限アクセスを適用すること、総合的なセキュリティ監視を維持することです。Akamai Guardicore Platform は、これらの原則が単なる理想ではなく実行可能な戦略となるように設計されています。

まずはマイクロセグメンテーションと ZTNA を導入するのが良いですが、それらは完全なソリューションではありません。総合的なセキュリティ対策（MFA、 DNS ファイアウォール高度な脅威ハンティング 機能）により、組織は強固な基盤を構築するだけでなく、継続的にゼロトラストを追求することができます（図 3）。

Akamai Guardicore Platform のイメージ。単一のコンソールやエージェントを土台とし、セグメンテーション、ZTNA、DNS ファイアウォール、脅威ハンティング機能によって、ワークステーション、サービス、クラウド、コンテナ、IoT、VM をサポートするよう設計されています。 図 3：Akamai Guardicore Platform は、ゼロトラストの原則を導入するための総合的なアプローチを提供します

ゼロトラストの実現

Akamai Guardicore Platform は、ゼロトラストの実装のための実用的かつ効果的なアプローチを提供します。トップクラスのソリューションの提供、総合的な可視化と制御、展開の効率化、AI による効率化、ゼロトラストの原則の遵守により、どんなに複雑な環境でもあらゆる規模の企業がゼロトラストを実現できるようにします。

1.Gartner®、Quick Answer: What Is Zero Trust Networking? Andrew Lerner、John Watts、2023 年 9 月 13 日GARTNER は、Gartner, Inc. またはその関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.

詳細はこちら
