現在のハイブリッドな働き方に関連する新しいリスクに対処するために、多くのサイバー セキュリティ担当者やベンダーが「ゼロ トラスト」を発見しました。このフレームワークは、IT 環境でセキュリティを強化すると同時に、会社全体の生産性を向上させることを目的としています。増加。
人々の働き方は、過去 XNUMX 年間で劇的に変化しました。 今日の企業の従業員は、クラウド内の企業リソースにアクセスするために、もはや直接管理されていないデバイスやネットワークを使用して、どこからでも仕事をしています。 これにより、生産性が大幅に向上しましたが、ビジネスを保護することもはるかに困難になりました。 ただし、ゼロトラストの単一の定義がないため、これを実践するのに問題がないわけではありません。
現在のセキュリティ アプローチ
多要素認証 (MFA) で十分だという意見もある一方で、さらに一歩進んで「最小権限のアクセス」を必要とするソリューションもあります。
大まかに言えば、ゼロトラストとは、アクセスを許可する前に、内部または外部のオブジェクトを定期的に認証および評価する必要があるという考えです。 大多数のユーザー、デバイス、アプリケーション、およびデータが特定のセキュリティ境界内に存在しなくなると、ユーザーまたはそのデバイスが信頼されるべきであるという確固たる前提がなくなります。
クラウドなどのテクノロジーの採用やどこからでも作業できるようになると複雑さが増す中で、セキュリティ当局がどこから始めればよいかを判断するのは複雑です。これにはゼロ トラストも含まれます。 しかし、まず自分の会社にとって何が重要かを考えるべきです。 エンドポイントの検出と対応のソリューションを使用すると、データをエンドポイントのリスクから保護できます。 同じことがクラウド セキュリティにも当てはまります。クラウド内のデータを危険または悪意のあるアクセスや攻撃から保護します。 つまり、ゼロ トラストを効率的に使用するには、データが埋め込まれているすべてのベクトルに注目する必要があります。
出発点としてのデータ
ほとんどの組織は、最初にゼロ トラストを採用するとき、従業員が会社のリソースにアクセスする際に認証の第 XNUMX 要素である仮想プライベート ネットワーク (VPN) を使用するよう要求するなど、従業員が仕事を遂行する方法に焦点を合わせようとします。 しかし対照的に、私は、何をすべきか (すべきでないか) ではなく、データに焦点を当てる必要があると考えています。
従業員は常にデータの作成と編集を行っています。 企業 IT に対する攻撃者の最終的な目標はデータを盗むことであるため、アクセス時にユーザーを認証するだけでは不十分です。 代わりに、所有しているデータの種類、データへのアクセス方法、操作方法に注目する必要があります。 また、ユーザーとユーザーが使用するデバイスのリスク レベルが絶え間なく変化していることに留意することも重要です。
優先順位を設定する
データはどこにでもあります。 従業員は、メールでやり取りしたり、メッセージ アプリケーションにコンテンツをコピー アンド ペーストしたり、新しいドキュメントを作成したり、スマートフォンにダウンロードしたりして、毎日データを作成しています。 これらのアクティビティはすべてデータを作成および操作し、それぞれに独自のライフサイクルがあります。 このすべてのデータの場所とその処理方法を追跡するのは非常に面倒です。
ゼロ トラスト セキュリティを実装するための最初のステップは、機密レベルによってデータをランク付けすることです。これにより、追加の保護が必要なデータに優先順位を付けることができます。 ゼロトラストは何にでも適用できるため、終わりのないプロセスになる可能性があります。 すべてのデータに対して企業全体のゼロトラスト戦略を作成しようとするのではなく、最も機密性の高いデータを含む最も重要なアプリケーションに焦点を当てます。
データアクセス
次に注目すべきは、データが組織全体でどのように共有され、どのようにアクセスされるかです。 従業員は主にクラウド経由でデータを共有していますか? それとも、ドキュメントや情報はメールまたは Slack で送信されますか?
組織全体で情報がどのように移動するかを理解することは重要です。 データがどのように移動するかを最初に理解しなければ、データを効果的に保護することはできません。 たとえば、会社のクラウド内の共通フォルダーに複数のサブフォルダーが含まれており、その一部が保護されている場合、これは安全な方法のように思えます。 そして、誰かがメイン フォルダを別のワークグループと共有し、それによってプライベート サブフォルダのアクセス設定が変更されたことに気付かない限り、それは終わりです。 その結果、アクセスしてはいけない多くの人があなたの個人データにアクセスできるようになりました。
既製のソリューションはありません
「そんなアプリがある!」という言葉は、誰もが一度は耳にしたことがあるでしょう。 そして、一般的にそれは真実です。 最近のあらゆる現代の問題に対するアプリやソフトウェアのソリューションがあるようです。 一方、ゼロトラストではそうではないことがわかります。 ただし、ゼロ トラスト データ セキュリティを実装するためのいわゆる「ソリューション」として自社製品を販売したいと考えているベンダーは数多くあります。 しかし、このふりをする方法はうまくいきません。
本質的に、ゼロ トラストは考え方と哲学ですが、ソフトウェアで解決できる問題と混同してはなりません。 組織のセキュリティ方法論としてゼロ トラストを採用する場合は、このアプローチがどのように機能し、組織全体に確実に展開する方法を理解する必要があります。
従業員の役割
ゼロトラスト データの実装の XNUMX 番目の部分は、従業員を参加させることです。 既存のソフトウェアとソリューションを購入してルールを設定することはできますが、従業員があなたが何をしているのか、またはなぜ何かを使用する必要があるのか を理解していない場合、あなたの進歩と成功が危険にさらされ、データが特定のリスクにさらされる可能性があります.
RSA 2022 カンファレンスで、私の同僚が調査を実施したところ、出席者の 80% がまだ従来のスプレッドシートを使用してデータの記録と計算を行っていることがわかりました。 また、2021 年の調査によると、Microsoft Azure ユーザーの 22% のみが MFA を使用しています。 これらの数字は、最初から従業員から始めるべきであることを示唆しています。 また、データ セキュリティの重要性と、それを自分のデバイスで実践する方法を説明する必要があります。
ゼロ トラストは製品ではありません
組織にゼロ トラスト セキュリティを実装する際に覚えておくべき最も重要なことの XNUMX つは、ゼロ トラスト セキュリティは哲学であり、単純なソリューションではないということです。 ゼロ トラストは、一晩で簡単にインストールできるものではありません。 また、すべての問題を一度に解決するためにどこかで購入できる既製のソフトウェアではありません。 ゼロトラストは、長期的に実装する必要がある基本的な考え方です。
万能のソリューションに投資する前に、既存のデータをよりよく理解し、優先順位を付けて保護する必要がある特に機密性の高いデータを理解することが重要です。 また、従業員のトレーニングとさらなる教育に集中するために、それらをどのように詳細に処理するかについても重要です。 「ゼロ トラスト」は素晴らしいアイデアのように聞こえますが、ゼロ トラストは、XNUMX 回限りの固定ソリューションではなく、段階的に設定し、継続的に改善する必要があるある種の哲学またはフレームワークであることを理解している場合にのみ、実装が機能します。
詳しくは Lookout.com をご覧ください
ルックアウトについて Lookout の共同設立者である John Hering、Kevin Mahaffey、および James Burgess は、ますます接続された世界がもたらすセキュリティとプライバシーのリスクから人々を保護することを目標に、2007 年に集まりました。 スマートフォンが誰もがポケットに入れる前から、モビリティが私たちの働き方や生活に大きな影響を与えることに気づいていました。
トピックに関連する記事