アーネスト・ヘミングウェイは、誰かを信頼できるかどうかを見極める最良の方法は、その人を信頼することだと言いました。これはネットワークセキュリティにとって最悪のアドバイスです。ジョン・キンダーヴァグによって約20年前に考案されたゼロトラストは、特に新型コロナウイルス感染症のパンデミックとリモートワークの普及以降、多くの組織でデフォルトとなっています。
しかしながら、ゼロトラストがマルウェアやデータ窃盗に対するN-95マスクのようなものだとすれば、企業はそれを実践するのに少し時間がかかっています。ガートナーは、2026年までに「成熟した測定可能なゼロトラスト・プログラムを導入している」大企業はわずか10%になると予測するレポートを発表しました。
同社によれば、その割合は現在 1% 未満であり、ほとんどの組織にとってリスク軽減の重要な戦略としてゼロ トラストが最優先事項であるものの、実際にゼロ トラストの実装を完了している組織はほとんどないと報告されています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ジャンプ先:
- 暗黙の信頼に別れを告げる
- ゼロトラストエンジンの有無
- 移動可能なファイアウォール
- API: 脅威の流れに孤立した存在
暗黙の信頼に別れを告げる
ガートナーの副社長アナリスト、ジョン・ワッツ氏によると、多くの組織は、従業員やワークロードのアクセスと操作を容易にするために、明示的ではなく暗黙的な信頼モデルを使用してインフラストラクチャを構築しています。
「ゼロトラストが対処する主なリスクは、攻撃者が暗黙の信頼を悪用するのを防ぐことです」と彼は述べた。「アクセスをより適切にセグメント化することで攻撃による被害を最小限に抑え、インシデント発生時に影響を受けるリソースやシステムを最小限に抑えることができます。環境内にインストールされたベンダー製ソフトウェアの感染による被害は、信頼できるアプリケーションのより小さなセグメントに封じ込めることができます。」
彼は、暗黙的な信頼とは、デバイス、ワークロード、アカウントのアクセスを承認する際に、境界ファイアウォールの背後にあるローカル IP アドレスから発信されたリクエストなど、限られた要素を使用して、ワークロードとデバイスがアクセスに対して過度の信頼を拡張することを指すと説明しました。
「明示的な信頼とは、デバイス、ワークロード、アカウントのアクセスを認証および承認する際に、より多くのコンテキスト(場所、時間、姿勢、多要素認証の成功など)を必要とするワークロードとデバイスを指します」とワッツ氏は述べています。
参照:ビジネスメール詐欺攻撃が Microsoft の多要素認証を悪用した方法(TechRepublic)
ゼロトラストエンジンの有無
ワッツ氏は、ゼロ トラスト ソフトウェアを含む実用的なゼロ トラスト フレームワークは次のことができるはずだと付け加えました。
- 拡張従業員向けのインターネット対応アプリケーションおよびサービスに対するスキャン攻撃やエクスプロイト攻撃を識別して防止します。
- オープンな接続を許可するのではなく、ネットワーク上のリソースへのアクセスを制限することで、マルウェアの横方向の移動を防止します。
- アクセスを制御するためにリスクと信頼の「エンジン」を展開します。
これらのエンジンは、アカウントアクティビティ、ユーザー認証の強度、デバイス属性、その他のパラメータをほぼリアルタイムで解析し、リスクスコアを計算する分析機能に基づいています。リスクスコアが一定の閾値を超えた場合、デバイスの隔離、2要素認証の強制、ユーザーアカウントの停止といったアクションが実行されます。
移動可能なファイアウォール
ゼロトラストは、従来のファイアウォールモデルのような単一の大きな境界ではなく、リソースの周囲に多数の小さな境界を実装しますが、ワッツ氏はゼロトラストはリスク軽減の手段の一つに過ぎないと指摘しています。ゼロトラスト制御の適用範囲は極めて重要であり、すべてのシステムをゼロトラスト制御の背後に置けるわけではありません。例えば、メインフレームなどのレガシーシステムや、一般ユーザー向けの公開アプリケーションは、通常、ゼロトラストアーキテクチャの対象外となります。
残念ながら、ガートナー社のアナリストは、2026 年までにサイバー攻撃の半分以上が、API 脅威など、ゼロ トラスト制御がカバーせず、軽減できない領域を狙うようになると予測しています。
ワッツ氏によると、ゼロトラストの実装自体も、内部者による攻撃やアカウント乗っ取りなどの脅威に対して脆弱であり、組織は高度な分析を実装することでこの脅威に対処する必要があるという。
API: 脅威の流れに孤立した存在
同社は昨年秋のレポートで次のように予測した。
- 2025 年までに、管理されるエンタープライズ API は 50% 未満になります。
- 2025 年までに、少なくとも 70% の組織が、自社が作成する公開 API に対してのみ特殊なランタイム保護を導入し、他の API は監視されず、API 保護が不足することになります。
- 2026 年までに、組織の 40% が、高度な API 保護と Web アプリケーション セキュリティ機能に基づいて、Web アプリケーションおよび API 保護プロバイダーを選択するようになります。これは、今年の 15% 未満から増加しています。
最後に、今月初め、ガートナーは、世界の IT 支出が 2023 年に 4.5 兆ドルに達し、前四半期の 5.1% 増加予測よりは下がったものの、2022 年から 2.4% 増加すると予測しました。
「インフレが消費者の購買力を低下させ、デバイス支出を押し下げ続けている一方で、企業のIT支出全体は堅調に推移すると予想される」と同社は報告している。
新しいテクノロジーやメールセキュリティの変更についてスタッフに知らせるために、「老人と海」をわざわざ書き直す必要はありません。セキュリティアラートを簡単に作成できるテンプレートをダウンロードしてください。
