米国国家安全保障局(NSA)は、ゼロトラストネットワークセキュリティに関するガイドラインを発表し、ゼロトラスト導入に向けた具体的なロードマップを提供した。この取り組みは、クラウドへのワークロード移行が進む中で、ゼロトラストコンピューティング戦略が重要なセキュリティアプローチとして認識されるようになった背景がある。ゼロトラストは「検証されるまで信用しない」という概念で、特にアラブ首長国連邦では採用が加速している。
ゼロトラストの中心はネットワークセグメンテーションにあり、これにより敵対者がネットワーク内を移動し、重要なシステムへのアクセスを得るのを防ぐ。NSAの文書では、データフローのマッピングと理解、ソフトウェア定義ネットワーキング(SDN)の実装を含む一連のステップを通じて、ネットワークセグメンテーションコントロールを実現する方法について詳述している。
さらに、NSAの文書はマクロセグメンテーションとマイクロセグメンテーションの違いを明確にしている。マクロセグメンテーションは部門間やワークグループ間のトラフィックを制御し、マイクロセグメンテーションはさらに細かくトラフィックを分離し、攻撃面を縮小し、侵害が発生した場合の影響を限定する。セキュリティマネージャーは、アプリケーションに焦点を当てたマイクロセグメンテーションを使用し、攻撃者がコントロールを迂回するのを防ぐべきである。
この取り組みは複雑であるが、その効果は大きい。Akamaiの報告書によると、セグメンテーションを実施した組織は、重要な資産の大部分をセグメント化した組織が、そうでない組織よりもランサムウェアを11時間早く軽減し、封じ込めることができたという。
【ニュース解説】
米国国家安全保障局(NSA)がゼロトラストネットワークセキュリティに関する新たなガイドラインを発表しました。このガイドラインは、現代の企業が直面するセキュリティ上の脅威に対抗するための重要な保護策として、ゼロトラストアーキテクチャの採用に向けた具体的な道筋を提供しています。ゼロトラストとは、「検証されるまで信用しない」というセキュリティの概念であり、特にクラウドへのワークロード移行が進む中で、必要不可欠なセキュリティアプローチとして認識されています。
ゼロトラストの核心はネットワークセグメンテーションにあります。これは、敵対者がネットワーク内を自由に移動し、重要なシステムへアクセスすることを防ぐための手法です。NSAのガイドラインでは、データフローのマッピングと理解、ソフトウェア定義ネットワーキング(SDN)の実装など、ネットワークセグメンテーションを実現するための具体的なステップが詳述されています。
また、この文書はネットワークセグメンテーションをマクロセグメンテーションとマイクロセグメンテーションに分けて説明しています。マクロセグメンテーションは、部門間やワークグループ間のトラフィックを制御することで、IT担当者が人事部のサーバーやデータにアクセスできないようにするなどの措置を指します。一方、マイクロセグメンテーションは、さらに細かくトラフィックを分離し、個々のユーザーやアプリケーション、ワークフローを個別のネットワークセグメントに隔離することで、攻撃面を縮小し、侵害が発生した場合の影響を限定します。
このガイドラインの提供は、セキュリティマネージャーがアプリケーションに焦点を当てたマイクロセグメンテーションを使用し、攻撃者がコントロールを迂回するのを防ぐための重要なステップです。複雑な取り組みではありますが、Akamaiの報告書によると、セグメンテーションを実施した組織は、重要な資産の大部分をセグメント化した組織が、そうでない組織よりもランサムウェアを11時間早く軽減し、封じ込めることができたと報告されています。
このガイドラインの発表は、ゼロトラストアーキテクチャの理解と実装を促進するための重要な一歩です。企業がクラウドへの移行を進める中で、セキュリティ戦略としてのゼロトラストの重要性が高まっています。この取り組みにより、企業はより効果的にセキュリティリスクを管理し、敵対者による侵害のリスクを最小限に抑えることができるようになります。
from NSA's Zero-Trust Guidelines Focus on Segmentation.
