セキュリティ

ゼロトラストモデル導入の5つのヒント--進化するサイバー攻撃への備え

サイバー攻撃が高度化する中で、保護対策の強化が求められている。その有効な手段とされるゼロトラストモデルの導入に関して、セキュリティベンダーのCyberArkが提示した5つのヒントを紹介する。

 組織は最善の方法で資産を保護することに継続的に取り組んでいる。クラウドに移行する資産が増加し、攻撃者がより狡猾に、そしてさらに高度になる中で、その傾向が特に強まっている。よく取り上げられる選択肢の1つがゼロトラストモデルだ。このモデルでは、重要なリソースへのアクセスが制限され、特定の条件下でのみ許可される。しかし、ゼロトラストの導入を計画している組織は、最大の費用対効果を得られるように、プロセスが適切に実施されていることを確認する必要がある。

 セキュリティプロバイダーのCyberArkは先ごろ発表したレポートで、ゼロトラストモデルを効果的に導入する方法についての5つのヒントを示した。CyberArkの資金で作成された「The CISO View 2021 Survey: Zero Trust and Privileged Access」レポートでは、Global 1000企業のセキュリティ部門の上級幹部12名へのインタビューを基にアドバイスがまとめられた。

1. サイバー攻撃の標的になりそうなものを特定する

 価値の高いアクセス権、すなわち強力なアクセス権を持つエンドユーザーやその他のタイプの標的が、攻撃者に狙われることが増えている。この戦術に対抗するには、価値の高いアクセス権を持つユーザーと、標的になる可能性が最も高いシステムやデータを特定する必要がある。こうしたシステムやデータはどこにあるのか。それらを使用する必要があるのはどのタイプのユーザーか。

 高価値のアクセス権を持つサービスアカウントにも注意が必要だ。そのようなアカウントは通常、長い期間の中で開発者によって作成されたもので、一元管理はされていない。それらを見つける方法の1つは、分析を使用して、機密性の高いデータベースやアプリケーションのログを詳しく調べ、ログインのソースを特定できるようにすることだ。

 次に、管理者アカウントを監視する。すべての管理者アカウントの一覧を維持するのは難しいかもしれない。クラウド、SaaS、RPAアプリケーションに関しては、なおさらだろう。これらのアプリの管理者は、技術チームのメンバーではない場合もあるからだ。調達チームと協力して、すべての新しいセキュリティコントロール、インフラストラクチャーコンポーネント、アプリケーションを特定し、セキュリティプログラムに組み込むことを検討してほしい。

2. MFAの導入が効果を発揮していることを確認する

 ゼロトラストのプロセスに着手する組織は、まず多要素認証(MFA)に注力することが多い。しかし、攻撃者が侵入できないように、適切に導入する必要がある。

 1つの戦略は、標準ベースのシングルサインオン(SSO)を使用することだ。MFAとSSOを組み合わせると、ログオンの回数を減らして、パスワードをデバイス証明書や生体認証、プッシュ通知などの方法に置き換えることができるため、ユーザー体験が向上する。可能な場合は、「SAML」や「OpenID Connect」などの標準プロトコルをサポートするSSOツールを使用してほしい。

 MFA登録プロセスを厳格に保護する方法を見つける必要がある。この目標を達成するには、電話などのアウトオブバンド(OOB)プロセスを使用して、登録要求が正当なユーザーによって行われたかどうかを確認する。複数のデバイスでの登録を許可しないことも検討しよう。さらに、ユーザーにパスポートなどの有効なIDで登録させる必要がある。

 ユーザーがMFAの導入を受け入れることが重要だ。認証の体験の一貫性を、あらゆるタイプのアプリケーションとプラットフォーム(たとえばウェブとモバイル)で確保する必要がある。可能な場合は、生体認証やプッシュ通知など、より簡単な方法を採用してほしい。方法はシステムの機密性に応じて選択するといいだろう。たとえば、機密性の高いシステムではワンタイムパスワードが必要になる可能性があるが、機密性の低いシステムではプッシュ通知だけでよいかもしれない。

 「MFA疲れ」を防ぐ必要もある。これはユーザーが何も考えずにMFAのプロンプトに応答してしまうというもので、このプロセスを攻撃者に悪用される可能性がある。再認証の要求はユーザーにとって意味のあるものにしなければならない。たとえば、在宅勤務の従業員がISPを乗り換えたが、作業場所は変わっていない場合、その従業員にとって再認証の要求は意味がないだろう。さらに、MFAの要求を非日常的なものにして、ユーザーが注意を払って慎重に応答するようにしなければならない。

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  2. ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説
  3. 問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備
  4. 緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策
  5. たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]