ゼロ トラスト導入の手法とテクノロジの検討

ゼロ トラストの「Why（なぜ）」、つまり指針となる原則¹から話を展開すると、次に気になるのは「How（どのように）」、つまりこうした原則を実装するための手法とテクノロジです。

広い視野で見ると、ゼロ トラスト原則は、システムの設計、使用するハードウェア プラットフォーム、調達手順を含む、アプリケーション開発ライフサイクル全体に適用できますが²、このホワイト ペーパーでは、実行時にアプリケーションとデータを防御するためにゼロ トラストを実装する場合の運用面について説明します。

大まかに言うと、ゼロ トラスト セキュリティとはテクノロジを使用して、次の3つの明確な目標のいずれかを達成することです。

1. トランザクションの制約を適用する：Who（誰が）、What（何を）、Whom（誰に対して）行うことができるか。
2. 人間のシステム オペレータが状況を認識できるようにする。
3. 機械学習（ML）支援により得られた、疑いのある指標と、問題のトランザクションのリスク/リターン プロファイルに基づいて、より高度なリスク軽減/修復を行う。

次の図は、この全体的なゼロ トラストセキュリティのトランザクション モデルを示しており、以下のセクションで各クラスのテクノロジについて詳しく説明します。

最初の2つのテクノロジである認証とアクセス制御は密接に関連し、「明示的な検証」と「最小権限」の原則によって直接動機付けられています。なぜなら、「Who（誰が）What（何を）行うことができるか」を決める中核をこれらのテクノロジが担うからです。より高度な認証の実装では、行為者の継続的な行動を監視し、「継続的に評価する」という考え方を取り入れます。

認証技術とは、証明済みIDに対する信頼性を構築することです。つまり、Who（誰が）トランザクションで行為を行っているかです。認証プロセスには、次の3つの要素があります。

1. 行為者のIDを示す、その行為者による証明または主張。
2. 通常は行為者が提供する、証明の信ぴょう性の証拠を示す何らかのデータ。
3. 証明が正しい、つまり、行為者が主張している本人である可能性についてシステムが行う判定または決定。次の図は認証のさまざまな側面とそれぞれの成熟度モデルを示しています。各側面について図の後で詳しく説明します。

最も基本的な形式の証明は「ユーザー」と呼ばれることが多く、これはトランザクションの実行を希望する人間、または人間の代理を務めるエージェントを意味します。ただし、アプリケーション内で使用されるゼロ トラストの場合、行為者はワークロード（プロセス、サービス、コンテナなど）である可能性があるため、IDの一般概念には、そのような行為者を含める必要があります。また、Who（誰が）の概念には、人間やワークロードだけでなく、その他の考慮事項やIDの側面が含まれる場合もあります。その観点から見ると、IDの側面にはさらに、ユーザー/ワークロードのデバイスやプラットフォーム、やり取りに使用されるエコシステム、エージェントの場所なども含めることができます。例えば、ユーザー「Alice」が、IPv4アドレス10.11.12.13をソースとするフィンガープリント ブラウザ インスタンスを使用して、「ABC-0001」とタグ付けされたPCで操作している場合が考えられます。

一部のシステムでは、未認証のユーザー（「ゲスト」または「匿名」ユーザーとも呼ばれる）による、限られた一連のトランザクションの実行を許可します。こうしたシステムでは、IDの証拠を示す追加の手順と、判定するシステムは、無関係です。ただし、証明済みのIDに対しては、その証明を裏付けるために次の方法が一般的に使用されます。

• パスワードなどの共有シークレットの知識。
• 署名付き証明書など、信頼できる第三者が提供する何らかの資格情報。
• ユーザー、ワークロード、またはプラットフォームの自動化された調査（デバイスの指紋認証機能など）またはアクティブな調査（CAPTCHAチャレンジなど）。
• 位置情報、IPレピュテーション、アクセス時間などの行為者に関連するメタデータ。
• パッシブ生体認証分析やアプリケーションのやり取りのワークフロー パターンなどの行動分析。

高度な信頼性が必要な場合の多くは、複数の方法が使用されます。これは、Google BeyondCorpモデル³で証明されており、より高額なトランザクションを許可する前に多要素認証（MFA）を要求します。より高度な認証ソリューションでは、「信頼度」を各IDに関連付け、トランザクションの価値とリスクに基づいて、トランザクションのタイプごとに信頼度の最小値を指定します。

最後に、これらの方法のいくつかは、静的な1回限りのアクションではなく、「継続的に評価する」という原則に従って継続的に行うことができ、また行うべきであることに注意してください。このような場合、ID証明に割り当てられた信頼度スコアは、時間の経過とともに上下する可能性があります。例えば、ブラウザのフィンガープリントやIPアドレスは、単一のユーザー セッション内で変わる場合がありますが、これは疑わしいと見なされ、信頼度が低下する可能性があります。また、あるセッションでの行為者の行動について収集されたデータが増えれば、現在の行動を過去の観察と比較した結果に応じて、信頼度スコアが上下する可能性があります。

動的認証は、より高度なシステムでアクセス制御と連動することができます。この連動の最初のレベルとして、アクセス制御ポリシーによって、前述したさまざまなクラスのトランザクションの信頼度スコアの最小値を指定できます。次のレベルでは、アクセス制御サブシステムから認証サブシステムにフィードバックを提供できます。通常は、信頼度スコアを最小しきい値まで上げるために追加認証を要求します。

認証技術を使用してWho（誰が）トランザクションで行為を行っているかを確認したら、次に問題となるのは、その行為者がWhat（何を）Whom（誰に対して）行うことが許可されているかです。これはアクセス制御技術の管轄になります。

物理的なセキュリティに例えるなら、軍事基地を訪れたいとします。警備員はあなたが民間人、政治家、または兵士かを自信を持って判断した後、その判断に基づいて、あなたがどの建物に入場できるか、また、入場が許可される建物にカメラを持ち込んでよいかどうかを決めます。これらの決定を管理するポリシーは、非常に粗く、すべての建物に適用される場合（「政治家はどの建物にも入場できる」など）もあれば、よりきめ細かく適用される場合（「政治家は建物とにのみ入場できるが、カメラはにのみ持ち込むことができる」など）もあります。

サイバーセキュリティの文脈に当てはめると、アクセス制御技術によりゼロ トラストの「最小権限」の原則を具体化する必要があります。つまり、最適なアクセス制御ポリシーは、行為者が必要とする権限のみを許可し、他のすべての権限を許可しません。さらに、理想的で堅牢なポリシーは、許可された各権限の粒度で指定された信頼度しきい値を使用して、行為者のIDの真正性に対して最小レベルの信頼度があることを条件とします。

したがって、アクセス制御ソリューションの価値は、これらの理想にどれだけ近いかによって判断できます。特にゼロ トラスト セキュリティ ソリューションにはアクセス制御を含める必要があり、以下で説明する側面に沿ってアクセス制御技術を評価する必要があります。

1. アクセス制御権限はどのくらい細かいですか？

1. アクション、つまりトランザクションでWhat（何を）行うかについての粒度は次のうちどれですか？

1. 2択：トランザクションを「すべて許可する」か、「すべて許可しません」。軍事基地の例えでは、これは「すべての兵士はどの建物にも入場でき、行動に制限はない」や「民間人はどの建物にも入場できない」に相当します。
2. 粗い：APIエンドポイントまたはトランザクションの「タイプ」（ファイルI/O、ネットワーク通信、プロセス制御など）で分けます。軍事基地の例えでは、この場合、「政治家は建物に入場できるが、写真を撮ることはできない」など、許可されるアクションに関するニュアンスのレベルを指定できます。
3. 細かい：サブAPI（つまり、パラメータやAPIのバージョンに依存）またはトランザクションの「サブタイプ」（ファイルI/O読み取り専用、TCP受信専用など）。軍事基地の例えをもう一度使うと、「民間人は兵士を伴う場合にのみ建物に入場できる」など、より細かい制御が可能になります。

2. アクションのターゲット、つまりトランザクションでWhom（誰に対して）アクションを行うかについての粒度は次のうちどれですか？

1. ターゲットに対する粒度はない：アクセス制御ポリシーは、アクションのターゲットを考慮しません。軍事基地の例でこのアプローチは、一部の建物への入場は許可するが、他の建物への入場は許可しないという粒度に相当し、建物が「入場」アクションのターゲットとなります。
2. ターゲットの粒度はインフラストラクチャ レベル：アクセス制御ポリシーにアクションのターゲットを含めることができますが、ターゲットのIPアドレス、DNS名、Kubernetes（K8S）コンテナ名など、インフラストラクチャ固有のタグ/ラベルを使用します。これにより、ポリシーを建物ごとに細かく設定できますが、軍事基地ごとに建物の命名規則が異なる可能性があります。
3. ターゲットの粒度はID認識：アクセス制御ポリシーにアクションのターゲットを含めることができ、行為者（Who（誰が））に使用されるものと同じID名前空間（SPIFFEなど）を使用してターゲットを識別します。前のアプローチより優れている点は、すべての軍事基地が建物の識別方法に同じスキームを使用するため、ポリシーの移植性が高まることです。

2. アクセス制御ソリューションで、低リスクと高リスクのアクションの概念をどのように扱いますか？

1. リスクを認識しない：アクセス制御ソリューションは、アクションを許可するかどうかの決定に関して、すべてのアクセス制御権限を同じように扱います。
2. MFAによるリスク管理：アクセス制御ソリューションは、トランザクションに関与する行為者（Who（誰が））、アクション（What（何を））、またはターゲット（Whom（誰に対して））に基づき、一部の許可されたトランザクションでも多要素認証を求めるようにポリシーで指定してリスクを管理します。
3. 信頼度によるリスク管理：アクセス制御ソリューションは、トランザクションのアクション（What（何を））とターゲット（Whom（誰に対して））に基づき、行為者の真正性について最小限の信頼度を求めるようにポリシーで指定してリスクを管理します。MFAは、信頼性を高めますが、他の手段を使用することもできます。一方、トランザクションが高額で、行為者の真正性を十分に確信できない場合、トランザクションがまったく許可されない可能性もあります。

「継続的に評価する（そして再評価する）」という原則に注目し、行為者の真正性に対する評価は、時間の経過とともに調整する必要があります。単純なソリューションでは、単にタイムアウトになる場合があり、より高度なシステムでは、時間の経過に伴う行為者の行動の観察に基づいて信頼度が変わる可能性があります。

認証とアクセス制御が「常に検証する」と「最小権限」という考え方の実装であるとすれば、可視化とコンテキスト分析は、「継続的に評価する」と「侵害を想定する」という原則の土台となります。

可視化は、分析に必要な前提条件です。システムは、見えないものを軽減することはできません。したがって、ゼロ トラスト セキュリティ ソリューションの有効性は、システム運用と外部コンテキストから収集できるテレメトリの深さと幅に正比例します。ただし、最新の可視化インフラストラクチャは、支援ツールを持たない普通の人間がタイムリーに処理できる量よりもはるかに多くの有用なデータ、メタデータ、コンテキストを提供できます。より多くのデータと、そのデータからより迅速にインサイトを抽出する能力を求めた結果、人間のオペレータに対する機械支援が重要な要件となっています。

この支援は、通常、ルールベースの分析から統計的手法、高度な機械学習アルゴリズムに至る、広範な自動化アルゴリズムを使用して実装されます。これらのアルゴリズムは、生データの消防ホースを、消費可能で運用可能な状況認識に変換する役割を果たし、この状況認識に基づいて人間のオペレータが評価し、必要に応じて修復することができます。このため、ML支援型分析は可視化と密接に関係しているのです。

生データ（可視化）からアクション（修復）までの一般的なパイプラインを以下に示します。

可視化とは、「継続的に評価する」ゼロ トラスト原則の実装（「方法」）です。これには、利用可能なデータ入力のインベントリ（カタログ）とリアルタイムのテレメトリの維持と履歴データの保持（収集）が含まれます。

ゼロ トラストの可視化の実装の成熟度には、4つの要素が考慮されます。

1. 遅延：データはどの程度リアルタイムに近いか？

遅延により、潜在的な脅威にどれだけ迅速に対応できるかの下限が決まります。ゼロ トラスト ソリューションの遅延は秒単位以下である必要があります。それ以上かかると、分析がどれほど正確であっても、データ流出/暗号化やリソースの枯渇による利用不能といったエクスプロイトの影響を防ぐには遅すぎる可能性が高くなります。より高度なシステムでは、同期と非同期の両方の緩和が可能な場合があります。同期緩和は、可視化と分析がすべて完了するまで、トランザクションの完了を抑制します。同期緩和はトランザクションの遅延を増大する可能性が高いため、この動作モードは特に異常または高リスクのトランザクション用であり、他のトランザクションはすべて、テレメトリを送信し、非同期に分析します。

2. 消費可能性：データをどの程度容易に消費できるか？
   

この問題が関係するのは、データを複数のソースまたは複数のタイプのデータ センタから収集した場合ですが、これは一般的なシナリオです。この要因は通常、次の2つの問題に分けられます。

• 構文レベルでは、データをどのように抽出して表現できるかが問題になります。例えば、ソースのIPレピュテーションが、あるソースのsyslogメッセージではテキスト フィールド（「悪意のある」、「疑わしい」、「不明」など）として届き、別のソースのデータ ファイルでは数値のバイナリ エンコード フィールドとして届いた場合、正準表現を特定する必要があります。受信データを抽出してその表現に変換するには、データのシリアル化が必要です。

• セマンティック レベルでは、ソースが異なると、その構文とトランスポートだけでなく、セマンティックも変わる場合があります。再びIPレピュテーションの例を使用すると、あるプロバイダは脅威スコアを数値として提供し、別のプロバイダはIPを「TORノード」、「DNSコントロール」、「フィッシング」などのバケットに分類している場合があります。可視化ソリューションは、受信データを一貫した構文に正規化するメカニズムも提供しなければなりません。

3. 完全性：利用可能なデータの幅と深さとは何か？

高品質の可視化ソリューションがもたらす重要な価値の1つが、侵害の可能性の指標として疑わしい活動を検出できることです。これを効果的に行うには、ソリューションは、アプリケーション配信の関連するすべての「レイヤー」でテレメトリを受信する必要があります。これにはアプリケーション自体はもちろん、アプリケーション インフラストラクチャ、ネットワーク インフラストラクチャ、アプリケーションに適用または使用されるサービス、さらにはクライアント デバイス上のイベントも含まれます。例えば、これまで検出されたことのない新しいデバイスを使用するユーザーを識別することは、それ自体が多少、疑わしい場合があります。しかしこれに、海外を経由したGeoIPマッピングなどのネットワーク情報が組み合わさると、疑いはより深刻になります。この疑いのレベルは、ユーザーのIDの信頼度スコアの低下として表れます。この行為者が高額のトランザクション（海外の口座への送金など）を試みた場合、ゼロ トラスト セキュリティ ポリシーという観点から、アクセス制御ソリューションは、低い信頼度に基づいてトランザクションをブロックすることができます。

これは、ゼロ トラストの考え方に関連しているため、可視化ソリューションがより深く完全になるほど、システムはトランザクションを適切に制限し、違反を検出する点においてより効果的なものになります。

4. ガバナンス：法令やライセンスに基づくデータ使用要件をどの程度満たしているか？

最後に、データの収集は、データのセキュリティ、保持、使用に関する法定要件とライセンス要件に準拠している必要があります。したがって、堅牢な可視化ソリューションは、これらの各要件に対応している必要があります。ガバナンスが意味するデータ使用の制約を理解することが、ゼロ トラスト可視化ソリューションに含まれていなければなりません。例えば、IPが個人情報（PII）と見なされる場合、分析を目的としたIPアドレスの使用と長期保持は、IPアドレスの許容される使用の条件を満たしている必要があります。

可視化に加え、「継続的な評価」を実装するために必要な手段として、有意な評価、つまり、ゼロ トラスト ソリューションで運用可能な評価を行うための分析ツールがあります。

分析の考慮事項の1つに、入力データの範囲と幅があります。分析アルゴリズムへの入力データは、1つのソースからの1つのデータ ストリームに限定することも、さまざまなデータ ソースや、インフラストラクチャとアプリケーションのすべてのレイヤーからの複数のストリームを調べることもできます。

• 最も基本的なコンテキスト化は、単一の「タイプ」または「ストリーム」のデータ（「時間とソースIPアドレスを含むユーザー ログイン情報」イベントのストリームなど）の範囲内で行われ、通常は複数のユーザーにわたる履歴コンテキスト/データを使用します。この分析により、「このユーザーはこの時間帯にログインしたことがない」、「このユーザーは常に他のユーザーの直後にログインしているようだ」など、いくつかの基本的なインサイトを得ることができます。前者はIDの信頼度を低下させる可能性があり、後者はおそらく悪意のある高レベルのパターンを示している可能性があります。
• より高度なコンテキスト化では、データの単一の「タイプ」だけでなく、データのさまざまな「タイプ」または「ストリーム」にわたり時間的な関連付けを行い、時間に基づいたマルチインスタンスの範囲が考慮されます。例としては、ユーザーのログイン データを、アプリケーション レイヤーでのアクション（送金やメールの連絡先の更新など）やネットワーク レイヤーでのアクション（IPベースのジオロケーション検索など）と関連付けます。

ゼロ トラスト フレームワークにおける分析の2つ目の特に重要な側面は、取り込まれたデータの量と速度に対処することであり、これは人間が処理できる能力を超えています。そのため、人間が利用できるインサイトを形成するための何らかの機械支援が必要です。繰り返しになりますが、この支援の高度化はさらに進んでいくでしょう。

• 可視化のみ：最初のステップは通常、管理ポータルで利用できるダッシュボードを介して、統計とイベントをそのまま表示することです。表示されるデータは、収集されたデータ ストリームに基づいています（通常は、一定の時間枠内の複数のユーザー/トランザクションにわたる時系列または横断的な断面のいずれか）。より高度なダッシュボードは、データの並べ替えとグループ化、さらにフィルタリングによるドリルダウンの機能を備えています。このモデルでは、人間がすべてのデータ探索、イベントの優先順位付け、分析、修復を行い、自動化は主にデータ探索に利用されます。
• 可視化と静的ルールの構成：可視化の次に一般的な拡張機能は、人間がアラートまたは修復の静的なルールを定義できる機能です。このようなルールの例としては、「<CPU負荷が5分間で80％を超えた場合>は担当者<John>に通知する」や「<API ［Y］が呼び出され、国が［米国］でない場合>は、<メールでMFA>を要求する」などがあります。こうしたルールは、ソリューション プロバイダが指定した事前定義済みのルールに限定される場合があります。また、より高度なルールベースのサブシステムでは、SecOpsエンジニアがカスタム ルールを作成できる場合もあります。いずれの場合も、適用されるルールは通常、構成によって制御（および必要に応じて定義）されます。
• 可視化とML支援：次のレベルでは、以前に特定された悪意のあるトランザクションのパターンと一致する異常な行動やトランザクションを見つける、より高度な手法が使用されます。使用される手法は多岐にわたりますが（技術とビジネスのトレードオフに関する詳しい説明は、このホワイト ペーパーの範囲外です）、考慮すべき重要な点がいくつかあります。

• 人間の労力を必要とする：一部のML手法には「学習」（教師あり学習とも呼ばれる）が必要です。つまり、ある程度のサイズのデータ コーパスを、信頼できる「分類子」を使用して事前に分類する必要があります。多くの場合、信頼できる分類を行うには、1人または複数の人間が「分類子」になります。その場合、人間の労力が必要であることを考慮しなければなりません。他の手法（教師なし学習とも呼ばれる）は、人間の労力なしで、独自に異常を検出したり、パターンを認識したりします。
• 説明可能性：機械学習システムの出力は、入力データをあるモデルに照らして評価した結果です。このモデルは、「このユーザーは過去1か月間にこのデバイスを使用したか？」など単純で答えやすい一連の質問に基づいている場合も、「このユーザーは、勤務時間中にログインしないユーザーの一般的なパターンに該当する」など、簡単に説明できる類似性に基づいている場合もあります。一方、入力データに複雑な一連のベクトル代数演算を適用したモデルもあり、この場合は高度なロジックを簡単に識別することはできません。この最後のケースは、前の2つの例よりも明らかに説明が難しく、より「ブラック ボックス化」しています。場合によっては、説明可能であることが人間の理解や監査可能性にとって重要な要素となり、こうした場合、説明できないモデルよりも説明可能なモデルが強く望まれます。
• 信頼度スコアの可用性：前述のように、意思決定に対するモデルの信頼度を示すメトリック、つまり、偽陽性または偽陰性の相対的な感覚は多くの場合、非常に役立ちます。一部のアルゴリズムでは、信頼度メトリックの出力が必然的に得られますが、ルールベースなどその他のアルゴリズムでは、出力の1つとして信頼度を明示的に指定する必要があります。どちらの場合でも、信頼度スコアを提供できるアルゴリズムは、提供できないアルゴリズムよりも堅牢です。

ルールベースのアプローチと同様に、ML支援は検出のみを目的とすることも、自動修復に関連付けることもできます。さらに、ML支援はルールベースのシステムと組み合わせて使用できます。この場合、MLの「判定」（または意見や信頼度）を、「、アクションを実行する」などのルールへの入力として使用できます。

ゼロ トラストの考え方の最後の柱が「侵害を想定する」ことです。見通しを明確に示す上で、認証とアクセス制御方法を適切に実装することは、悪意のあるトランザクションの大部分を防ぐのに効果的です。しかし、念には念を入れて、十分な動機を持つ攻撃者や幸運な攻撃者によって認証とアクセス制御の実施メカニズムが破られることを想定しておく必要があります。こうしたメカニズムの回避にタイムリーに対応するために違反を検出するには、可視化と機械支援型の分析が必要です。したがって、他の実施メカニズムが破られるからこそ、リスクベースの修復というゼロ トラスト セキュリティ バックストップ ソリューションを提供するために、ML支援型のコンテキスト分析を可能にする可視化のテクノロジが不可欠なのです。

実際の悪意のあるトランザクションが認証とアクセス制御を破った「偽陰性」のケースでは、リスクベースの自動修復メカニズムを最終手段として使用する必要があります。しかしこのテクノロジは、以前に実施されたチェックに合格したトランザクションに対する最終手段として使用されるため、実際には「真陰性」のトランザクション（有効で望ましいトランザクション）に誤って「偽陽性」のフラグ（悪意のあるトランザクションを示す誤ったフラグ）を付ける懸念が高まっています。この懸念を軽減するため、何らかの理由で認証やアクセス制御で捕捉できない、悪意がある可能性があるという判定により行われる修復アクションは、次の3つの要素に基づいて行われる必要があります⁴。

• トランザクションのビジネス価値：トランザクションによって、リスクとリターンのレベルは異なります。例えば、銀行口座を表示するトランザクションは、海外の口座に送金するトランザクションよりもリスクが低くなります。同様に航空会社の場合、航空券の購入は、現在のフライトの遅延を一覧表示するトランザクションと比べると、ビジネス上のリターンがより高くなるでしょう。ビジネス価値とは、トランザクションのリスク プロファイルに照らして重み付けされた、潜在的なビジネス上のリターンがもたらす利益です。推測的な修復が低リターン/高リスクのトランザクションにもたらす「偽陽性」の影響は、ビジネス価値の高い高リターン/低リスクのトランザクションに比べて、より許容されると考えられます。
• 「悪意」の判定への信頼度：もちろん、推測的な修復のすべての提案が同等であるわけではありません。具体的には、前述のリスクとリターンに加えて、行為者の証明済みIDの信頼度など、そのトランザクションに関する判定への信頼度も重要な要素になります。大まかに言えば、「偽陰性」の可能性、つまり、実施メカニズムがトリガーされなかったが、トリガーされるべきだった可能性は、行為者の信頼度に反比例します。また、「偽陰性」の削減がリスクベースの修復の目標であるため、信頼度が低いほど、システムは修復を適用する方向に偏ります。
• 修復の影響：最後に、すべての修復が、許可するか、ブロックするかの2択で決定されるわけではありません。実際、ユーザーが認識できるもの（追加の資格情報/MFAを要求する、CAPTCHAなどのチャレンジを提供するなど）から、ユーザーはほとんど認識しないもの（DLPなどのより詳細なトラフィック検査を行う、より高度な計算集約型の分析を行うなど）まで、さまざまなリスク軽減手法が可能です。したがって、ユーザーが経験する摩擦とアプリケーション（DLPやコンピューティング負荷の高い分析など）の運用コストで測定される、こうしたリスク軽減策が追加される影響を、3番目の要素として考慮する必要があります。影響が小さく、顧客に透過的な修復は、影響が大きく顧客が認識できるチャレンジよりも優先されます。また、トランザクションを完全にブロックすることは、選択肢として最も好まれません。ただし、信頼度が高い場合や、他のリスク軽減メカニズムでは信頼度を十分に高めることができない高リスクのトランザクションの場合は、ブロックが適切である場合もあります。

ゼロ トラスト セキュリティは、多層防御などのセキュリティに対する従来のアプローチをより現代的にしたものであり、セキュリティにおいて、Who（誰が）、What（何を）、Whom（誰に対して）行おうとしているかという、トランザクション中心の見方をすることで従来のテクノロジを発展させたものです。このアプローチは、アプリケーションへの外部からのアクセスだけでなく、アプリケーション内部の保護にも適用できます。5 この基本的なトランザクションの考え方を前提として、ゼロ トラスト セキュリティは、今日のより複雑で困難な環境でアプリケーションを保護するための一連の基本原則に根ざしており、これらの原則は、それらを具体化する一連のサブシステムレベルのソリューションやメソッドに対応付けられています。基本原則と、それらがソリューションやメソッドにどのように対応しているかを以下にまとめます。

これらのツール、すなわち認証、アクセス制御、可視化、コンテキスト分析、リスク認識型修復の各手法は、さまざまな攻撃を防ぐ上で必要かつ十分なものです。

レポートのダウンロード