ゼロトラスト実現のためのソリューション
ゼロトラストは、従来の「境界線」防御のセキュリティアプローチに対して、組織のリソース全てのアクセスに対して都度その安全性を評価することで、脅威を防御する新しいセキュリティの考え方です。一つの製品のみで、このゼロトラストの考えを実現することはできません。ゼロトラストの基本的な考え方である「ゼロトラスト実現のためのセキュリティ体制(posture)」「継続的評価(continuous assessment)」「すでに侵害されているという前提(assumed compromise)」をサポートするソリューションを活用することで、セキュリティの全体的な質を高めることが可能となります。以下の図は、ゼロトラストの主な要素をサポートするためのセキュリティソリューションを示しています。
なぜXDRがゼロトラストに有効なのか
XDR(Extended Detection and Response)は、脅威の監視と調査、対処を行うセキュリティソリューションです。XDRの特長は、エンドポイント、メール、サーバ、クラウドワークロード、ネットワーク等のITインフラ全体のセキュリティを統合するとこで、一貫した強固なエンドポイントコントロール(ユーザ、クラウドワークロード、デバイスなど)を構築できる点と、エンドポイント、メール、サーバ、クラウドワークロード、ネットワーク等のITインフラ全体のデータを収集、相関分析することで脅威検知と対処の精度を強化できる点です。
エンドポイントコントロールは、潜在的な脅威やデバイスの活動についての詳細なデータをセキュリティチームに提供し、ゼロトラスト実現に不可欠となる確かな信頼(trust)の基盤を築く役割を果たします。可視性が欠けている場合、真の信頼性を確立することは困難です。
さらに、XDRはデータの収集と相関分析を連続して行うため、ゼロトラストにおける「継続的評価」のコンセプトを実現します。つまり、エンドポイントにアクセス権を与えた後にも、その状態は継続的に監視され、資産が侵害されるような挙動がないか評価されます。もしエンドポイントで不審な動きが見られる場合、XDRからアラートが通知されます。アラートを受け取ったセキュリティチームによりアクセスは取り消され、潜在的な攻撃リスクを排除することができます。
ゼロトラストにおいてXDRを利用することは、セキュリティチームの負担軽減にも効果があります。XDRにより、セキュリティの問題点やリスクを自動で特定、対処することができるため、セキュリティチームが手動で対処する手間が削減されます。平時の運用が効率化、省力化されることで、セキュリティチームは、より高度な脅威の分析や、ゼロトラストの適用やまた自動化が難しい領域への対応に、その専門性やリソースを専念することが可能となります。
ゼロトラストの出発点、「NIST SP-800-207」
ゼロトラストの導入にあたっては、自組織の環境や既存のセキュリティを考慮する必要がありますが、まずは公的機関によるゼロトラストのガイドラインで、ベストプラクティスを把握することが出発点と言えます。
ゼロトラストについては、多くのガイドラインやフレームワークが提供されていますが、ここで参考にしたいのが、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)のNIST SP-800-207です。NIST SP800は、米連邦政府の情報システムを対象にしたガイドラインですが、民間組織や米国外の組織にも広く参照され、セキュリティのグローバル標準として影響力を有しています。
このNIST SP800シリーズであるNIST SP-800-207では、ゼロトラストの定義や考え方、アーキテクチャの構成要素や技術、そして導入シナリオやユースケースが示されています。こうしたガイドラインを参照することで、ゼロトラストの本質を把握し、自組織に近い環境のユースケースを入手できるほか、ゼロトラストについて組織内で共通認識を形成することができます。当サイトでは、NIST SP-800-207を解説した記事を公開していますので、ぜひガイドラインの概要を把握にご活用ください。
本記事は、2023年9月7日にUSで公開された記事How Zero Trust and XDR Work Togetherの抄訳です。
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)