ゼロトラスト導入時期が迫る米国連邦政府機関
特にモバイルやクラウドベースで業務を行う時代では、重要なデータを保護するという課題は増え続けていることから、デジタル化が進む世界でのニーズにより適切に対応できるゼロトラスト型のセキュリティモデルを採用する米国連邦政府機関が増えています。
最近の調査では、米国連邦政府IT担当役員のほぼ半数が、デジタルリソース保護のため、アイデンティティ中心(ゼロ トラスト型)のセキュリティ戦略に移行していると回答しました。FedScoopが作成し、Duo Securityが引き受けたこの調査では、米国連邦政府機関が従来のネットワーク境界線の防衛戦術から離れ、アイデンティティと認証ツールを主要なアクセス手段として使用する、境界線のないデータ環境を進んで取り入れるようになっていることが判明しました。
F5 Security Cross-Product GroupのゼネラルマネージャーであるJohn Morganは、Agility 2020の基調講演でゼロトラストの重要性を訴えました。Johnが報告したように、ゼロトラストは新しいものではありませんが、近年、その導入は加速しています。この変化は、マルチクラウド環境とリモートワーカーの大幅な増加に伴うものであり、ゼロトラストモデルは、現在の働き方に対するこの2つの要素の対処に大いに役立ちます。
米国連邦政府機関やビジネス界全体で、ゼロトラストモデルの採用が加速している理由は、ネットワークの境界を保護する従来の方法ではもはや十分ではないという認識の高まりによります。定義された境界内に信頼できるネットワークは存在せず、「信じよ、されど確認せよ」というアプローチは時代遅れです。その代わりに、米国連邦政府のセキュリティ チームは、より効果的な3つの原則を順守する必要があります。
- 決して信頼しない:ユーザーやエンドポイントが実際に信頼を得た場合は別です。
- 常に検証する:エンドポイントの活動に適したリスクベースのアプローチを導き出すため、必要なコンテキスト、アプリケーション、位置情報の行動分析その他の要素に適用されるガイドラインです。
- 継続的に監視する:一度認証したら、それ以降はリスクが低いと考えることはセキュリティ上、不十分であることを理解しましょう。継続的なセキュリティを確保するには、継続的に認証するしかありません。
F5は、こうした重要な問題に対処するために、以下のようなゼロトラストアーキテクチャ内の4つの重要なコントロールポイントを網羅した広範なアプリケーションセキュリティポートフォリオを提供しています。
エンドポイント:信頼できるアプリケーションアクセス
F5 Labsの報告によると、2019年におけるアクセス関連への侵害は、既知の侵害原因の中で最大の割合となる52%を占めており、前年の47%から増加しています。アクセス関連への侵害が非常に増加している現在においては、Trusted Application Accessソリューションが不可欠です。
F5 BIG-IP Access Policy Manager (APM)は、すべてのアプリケーションに最新の認証機能を提供し、ユーザーやそのアプリケーションの場所に関わらず、アプリケーション、API、データへのアクセスを簡素化および一元化します。アプリケーションがオンプレミスにあってもクラウドにあっても、結果としてSSOによりユーザー エクスペリエンスが向上し、ゼロトラスト アーキテクチャを使用したより安全な環境で共通のユーザーエクスペリエンスを得ることができます。
Identity Aware Proxy(IAP)により、APMはすべてのアプリケーションのアクセス要求を保護するゼロトラスト モデルの検証を展開します。米国連邦政府機関では、特権ユーザー認証プロセスは、APMがユーザーに対し米国政府の警告バナーを表示することから始まり、認証を進める前に同意を求めます。また、APMは、認証情報が失効していないことを確認するため、証明書失効リストやオンライン証明書状態プロトコルサーバーと照合するなど、さまざまなオプションを使用し、ユーザーに強力な認証情報を要求します。
特権ユーザーがシステムへのアクセスを許可されると、APMは追加の属性を照会して、ユーザーがアクセスできるリソースを決定します。また、クライアントがGFE(Government Furnished Equipment)を使用しているかどうか、HBSS(Host Based Security System)に準拠しているかどうか、サポートされているオペレーティング システムを実行しているかどうかを確認するなど、クライアントの整合性を保証するためのいくつかの高度な機能があります。
ネットワークインフラストラクチャ:アプリケーション セキュリティ
アプリケーションが安全であることを保証し、ゼロトラストを実現するには、ネットワークインフラストラクチャが必要です。F5 Labsの調査によると、ページロードの90%近くが、SSL/TLSで暗号化されていることが判明し、最近では暗号化が当たり前となっています。それにもかかわらず、暗号化された脅威は根強く残っています。実際、攻撃者が暗号化を使用して悪意のあるペイロードを隠したり、セキュリティ制御を回避したりすることはよくあることです。
SSL可視化ソリューションを是非ご検討ください。このソリューションは、一元化された暗号化制御により、インバウンドおよびアウトバウンドSSL/TLSトラフィックの堅牢な復号化/暗号化を実現することで、脅威を排除します。このソリューションでは死角をなくし、あらゆるネットワークトポロジ、デバイス、アプリケーションのセキュリティチェーン全体を、コスト効率よく可視化できる、ポリシーベースのオーケストレーションを提供いたします。
アプリケーション:機関保護のためのApplication Layer Security
F5 Labsの調査によると、組織は平均して765個のアプリケーションを導入しています。サイバー攻撃者には非常に多くの潜在的な標的があるため、機関はゼロトラスト戦略の一環として、これらのアプリケーションを常に警戒して保護する必要があります。
Application Layer Securityソリューションでは、アプリケーションがクラウドにあるか、オンプレミスであるか、SaaSベースであるか、またはフル マネージドであるかに関わらず、アプリケーションまたはその近くでセキュリティを提供し、ゼロ トラストアーキテクチャにより、アプリケーションスタックを保護する必要があります。
また、米国連邦政府のWAFソリューションは、アプリケーションの健全性を継続的に監視する行動分析機能を備え、レイヤー7に対するDoS攻撃を阻止する必要もあります。その他の機能としては、ユーザーアカウントへの不正アクセスを防止する認証情報保護機能や、API攻撃からアプリケーションを保護する機能などが必要です。
アイデンティティサービス:パートナーシップ
Microsoft、Okta、Pingなど、組織と深いパートナーシップを確立しているプロバイダのソリューションを導入することをご検討ください。信頼性の高いアプリケーションアクセスソリューションを、これらのIdentity-as-a-Service(IDaaS)プロバイダと統合することにより、クラウドベース、SaaS、ミッションクリティカルなアプリケーションや、カスタム アプリケーション間のアイデンティティのギャップを解消し、ユーザーに統一された安全なアクセスエクスペリエンスを提供します。
米国連邦政府機関も同様に、ゼロトラストの導入を成功させるためには、強力なパートナーシップを築く必要があります。必要な専門知識とソリューションについては、当社へお問い合わせください。私たちの目標は、お客様が可能な限りスムーズにゼロトラストへ移行し、所属機関がより良い利益を得ることができるようにお手伝いすることです。
Bill Church
最高技術責任者 - F5 US Federal Solutions