Skip to main content
Industry Perspectives

ゼロ・トラスト・アイデンティティ戦略はハッキングをどう防いでいるか

  • by Ben Lebeaux

Close-up of hand typing on laptop

組織で最も脆弱なのは、パッチが適用されていないシステム、推測しやすいパスワードや窮地に陥ったセキュリティ・チームではありません。
そうではなく、最も重要な脆弱性は、はるかに広範で管理が困難なもの、すなわち信頼性です。
ここ数週間、さまざまなセキュリティー上の弱点を使ったサイバー攻撃が相次いでおり、組織のセキュリティを破るため信頼性を悪用して多くの分野が狙われているのです。

(米国とオーストラリアでJBS Foodsを閉鎖に追い込んだグループが、同じような戦術を取ったかどうかは不明ですが、信頼がどのような役割を果たしたのかを見るため、この顛末のモニタリングを続けるつもりです。)

これらのセキュリティー上の弱点すべてにおいて、悪意ある攻撃者は信頼されていると思われるソースからリンクやインストール物を送信しています。

この行為への対応は困難な場合があります。複雑で遠隔地にある、どこからでも仕事ができる社会では、同僚、ベンダー、およびシステムを信頼して仕事を行い、発注して支払いを行い、支払いを受け取る必要があります。

ユーザーには信頼が必要です。しかし組織にはその余裕がありません。オンラインにおいては、信頼は大きな責任となり得ます。

ゼロ・トラスト・アイデンティティ戦略はどう組織のセキュリティを促進するか

ゼロ・トラストについては以前にも紹介しましたが、これは部品番号でも製品でもありません。ゼロ・トラストのSKUや購入用クイック注文フォームはありません。

そうではなく、ゼロ・トラストは原則です。セキュリティチームが開発を始めるべきという考え方です。一般的にゼロ・トラストは古典的な「最小権限」の考え方を、より広く拡張させたものです。ユーザーを減らしたりビジネスを中断させずに、最も重要なものを保護するため、適切なコストとメリットのトレードオフを実現する方法です。

ゼロ・トラストにするための最も効果的な方法の1つは、アイデンティティに優先順位を付けてアイデンティティ・アクセス管理 (IAM) とアイデンティティ・ガバナンス管理 (IGA) を拡張するものだと認識しておくことです。これらはユーザー、リソース、アプリケーション、ベンダーに適用されます。ゼロ・トラストの「信頼せず、常に確認」モデルを適用するには、まずガバナンス・ポリシーを設定して、適切なユーザーに適切なアクセス権を付与し、その役割と権限のリストを維持する必要があります。企業はその情報をより効果的かつ迅速に追跡し、管理する方法を必要としています。

繰り返しますが、IAMとIGAは拡張性があります。最近のNobeliumのハッキングによって、すべてのシステムとアクセスの目録を作り、強力な認証を提供する必要性が改めて浮き彫りになりました。Office 365、Salesforce、Slack、Constant Contactなど企業規模のクラウドベースのシステムでは、クラウド・セキュリティを確保し、個人情報と機密性の高い組織資料の両方を保護するため、より強力なリスクベース認証が必要となります。さらに今回のハッキングは、企業がパスワードレスで済むようにすることで、盗まれたパスワードやログイン認証情報に対する脆弱性を排除し、大幅なコスト削減を実現する必要性を示しました。

ユーザーとリソースに付与する信頼の量を特定・管理および削減することで、接続から利益が得られ、ユーザー、同僚およびビジネスに与えるダメージを制限できます。最終的に、ゼロ・トラストは目的地ではなく、私たちが選ぶ旅です。オンラインの世界で私たちがしなければならないトレードオフを常に学び、再学習するものなのです。これはますます、行う価値のある旅になりつつあります。