ゼロトラストの原則によるエンドポイントセキュリティの強化:Gartner Insights Pickup(374)
クラウドアプリケーションの利用拡大や現代の仕事環境により、エンドポイントの脅威リスクが高まっている。企業のセキュリティを侵害しようとする攻撃者にとって、エンドポイントは格好の標的だ。本稿では、エンドポイントデバイスにゼロトラストの原則を導入する際のポイントを紹介する。
クラウドアプリケーションの利用拡大や進化する現代の仕事環境により、全てのエンドポイントの脅威リスクが著しく高まっている。エンドポイントを暗黙のうちに信頼することはもはや許されない。悪意ある組織がその信頼を簡単に悪用できるからだ。そのため、エンドポイントは、保護対策の不備を突いて企業のセキュリティを侵害しようとする攻撃者にとって、格好の標的となっている。
管理対象デバイスの保護だけを推進しても、脅威の増大と暗黙の信頼の問題に対処するには不十分だ。企業リソースにアクセスする管理対象外デバイスにもセキュリティ対策を適用し、これらのデバイスの可視性を維持することが極めて重要だ。ゼロトラストは、アイデンティティーとコンテキストに基づいてリスクと信頼レベルを継続的に評価することで、暗黙の信頼を排除して明示的な信頼を確立するセキュリティパラダイムだ。
現代の仕事環境におけるエンドポイントの脅威エクスポージャ(脅威のリスクにさらされている度合い)と暗黙の信頼の増大を抑制するために、セキュリティとリスク管理(SRM)のリーダーは、企業リソースにアクセスするエンドポイントにゼロトラストの原則を適用する必要がある。
また、デバイス、ユーザー、構成、アイデンティティーの権限を継続的に検証することで、攻撃対象領域を減らし、リソースへの制限された安全なアクセスを管理対象外デバイスに提供しなければならない。そのためにはエンタープライズブラウザ、クライアントレスZTNA(ゼロトラストネットワークアクセス)、VDI(仮想デスクトップインフラストラクチャ)/DaaS(サービスとしてのデスクトップ)などの技術を利用する。
エンドポイントセキュリティを担当するSRMリーダーは、エンドポイントデバイスにゼロトラスト原則を導入する際、以下のポイントを押さえる必要がある。
まず現在のセキュリティシステムを評価する
ゼロトラストは、単なる技術やツールではなく、暗黙の信頼モデルから明示的な信頼モデルへの移行戦略だ。明示的な信頼モデルでは、アクセス要求が逐一認証、検証される。ゼロトラストは、こうしたリスクベースの適応型アクセスと継続的な検証によって、攻撃対象領域を縮小する。企業は、自社のセキュリティ戦略をゼロトラスト原則に整合させることから、ゼロトラストの取り組みを始めなければならない。
ゼロトラスト態勢に移行するために、セキュリティリーダーは、自社が必要なインフラとツールを備えているかどうかを評価する必要がある。まず、以下の手順で既存のインフラとセキュリティツールを継続的に評価する。
- 企業リソースにアクセスする、全てのエンドポイント資産のインベントリを作成する。この資産には、管理対象デバイスと管理対象外デバイスが含まれる
- 全ての管理対象デバイスについて、承認されているアプリケーションとインストールされているアプリケーションのリストを作成する
- 管理対象デバイスに組み込みセキュリティ機能(ホストベースのファイアウォール、認証、アクセス制御、デバイス制御、暗号化など)を強制する
- エンドユーザーのエンドポイントに対する永続的な管理者権限を削除し、制限された管理者権限を必要な場合にのみ付与する
- 管理対象エンドポイントデバイスに対する永続的な管理者権限を文書化して削除し、制限された管理者権限を必要な場合にのみ付与する
- 社内に導入済みのエンドポイントセキュリティ技術とエンドポイント管理技術を、それぞれの能力および機能とともに特定し、文書化する
CIS(Center for Internet Security)などの業界フレームワークを使用して、セキュリティ対策の設定基準の有効性をゼロトラストの観点から評価する。ゼロトラストは継続的な改善プログラムであるため、企業は現在の投資の有効性を監視し、時間をかけてプロセスと対策を微調整し、取り組みの成熟度を高めていく必要がある。
EPPとUEMを他のセキュリティツールと統合する
エンドポイントセキュリティツールとエンドポイント管理ツールを統合することは、ゼロトラストアプローチの実装を成功させるために不可欠だ。
エンドポイント保護プラットフォーム(EPP)とユニファイドエンドポイント管理(UEM)ツールを組み合わせることで、ユニファイドエンドポイントセキュリティ(UES)が実現し、企業は管理対象エンドポイントを包括的に可視化し、より良く管理できる。こうして可視化されるのは、デバイスの健全性、OSとソフトウェアの構成、ユーザーとアプリケーションの挙動などだ。
エンドポイントの全体像を把握することで、企業はリスクエクスポージャをよりよく理解し、十分な情報に基づいて意思決定をし、潜在的な脅威を軽減できる。
管理対象外デバイスをゼロトラスト戦略に取り込む
個人所有のデバイスから企業アプリケーションにアクセスすることが、当たり前になりつつある。ユーザーは、いつでもどこからでもSaaSベースのアプリケーションに接続できる柔軟な仕事環境を求めている。
だが、管理対象デバイスに適用されるセキュリティツールやコントロールは、管理対象外のデバイスには実装できない。企業はゼロトラスト戦略において、こうした管理対象外デバイスも考慮し、企業の管理対象デバイスとは別個のポリシーを確立する必要がある。
多くの場合、管理対象外のエンドポイントデバイスは従業員やサードパーティーの請負業者が使用する個人所有デバイスであり、企業は直接管理したり、保護したりしない。管理対象外デバイスについては、ゼロトラストアプローチではデバイスの所有者や場所にかかわらず、リソースとデータの安全かつ厳密なアクセス制御を伴う本人確認に重点を移す。
ゼロトラスト戦略と他のセキュリティ戦略を統合する必要性
ゼロトラストアプローチは、包括的なセキュリティ戦略ではなく、完全な保護を提供することはできない。だが、他のセキュリティ対策と統合することで、その限界を補える。セキュリティ対策は、急速に進化するサイバー脅威の状況に適応できる必要がある。さまざまな戦略を組み合わせることで、企業は新しいタイプの攻撃に迅速に対応できる。
エンドポイントでは、さまざまな戦略によって異なるリスク領域に対処する。例えば、パッチ管理はソフトウェアの脆弱(ぜいじゃく)性リスクを軽減し、ゼロトラスト戦略は不正アクセスリスクを管理する。これらの戦略を組み合わせることで、より効果的かつ包括的なセキュリティリスク管理が可能になる。
出典:Strengthen Endpoint Security with Zero-Trust Principles(Gartner)※この記事は、2024年8月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。