信頼性の高いアプリケーションセキュリティのための「ゼロトラスト」

ペリメータ(境界)サイバーセキュリティは、古代都市を囲む城壁のようなものだ。何千年もの間、これらの城壁は馬や徒歩でやってくる侵略者に対して堅固に防御してきた。

このような防御は時代遅れだ。古代都市は城壁の枠をはるかに超えて広がり、人々や商業は古い境界を自由に移動する必要がある。脅威も変化している。脅威は、車両や航空機、あるいはテロ攻撃などによってやってくる。

同様に、ペリメータセキュリティは、境界がなくなっているため、今日のサイバー攻撃の防衛にはほとんど役に立たない。現代の企業は、クラウドプロバイダー、API(アプリケーションプログラミングインターフェース)、マイクロサービス、コンテナ、複数のデータセンター、SaaS(Software as a Service)などに分散されたテクノロジを利用している。これらの資産をすべて境界線で囲むことは不可能だ。

もう内側も、外側もない。境界線が無いからだ。

境界の防御の代わりに、企業は「ゼロトラスト」のセキュリティ体制を導入する必要がある。

ゼロトラストは、不正な動作の受信を検知・防御しようとする境界線やファイアウォールの境界という古いモデルに取って代わるものだ。ゼロトラスト・セキュリティモデルは、ワークロードがどこで実行されているかを考えないことを意味する。 むしろ、公共なインターネットを経由して全てにアクセスできると想定されている。大事な社内アプリケーションでさえ、今や誰にでも公開されていることが前提となっているのだ。

フォレスター・リサーチは、ゼロトラストをアプリケーションやデータへのアクセスをデフォルトで拒否する情報セキュリティモデルと定義している。アプリケーションやデータにアクセスするには、認証されなくてはならない。

ゼロトラストは、企業の資産を守るための強力なセキュリティモデルである。 また、サイバーセキュリティと俊敏性の大幅な向上を目的とした米国政府の指令によって義務化されている。

とはいえ、従来の境界ベースのセキュリティに慣れている企業にとっては大変な作業だ。

データは金なり

ゼロトラストの生みの親であるJohn Kindervag氏が指摘したように、今日のハッカーの目的はデータである。ハッカーは個人やネットワーク、デバイスを標的にするが、実際にそれらに関心はない。ハッカーが本当に狙っているのは、標的となった人物、ネットワーク、デバイスがアクセスするデータなのだ。

データは金(ゴールド)であり、その金を守るためにはアプリケーションセキュリティが不可欠だ。

残念ながら、ほとんどの政府機関はデータとアプリケーションのセキュリティを優先していない。その代わりに、これまでペリメータセキュリティが優先されてきたため、ネットワークとIDのセキュリティに重点が置かれている。新たな課題に直面しても、慣れ親しんだ道を歩み続けるのが人間の性である。

最近まで、企業や政府機関にはアプリケーションを守るためのツールがなかった。 よく知られたアプリケーションセキュリティ各社が提供しているSAST(静的アプリケーションセキュリティテスト)やDAST(動的スキャン)は、基本的に単なる品質保証レポートに過ぎない。 問題があり、それを修正する方法を知ることはできるが、問題が修正されるわけではない。

一方、Contrast Securityのランタイムプロテクションは、問題を検出して報告し、防御することができる。

ゼロトラストの第4の柱「アプリケーション」の実現

米サイバーセキュリティ・インフラセキュリティ庁(CISA)のゼロトラスト成熟度モデルに反映されているように、ゼロトラストを実現するには、アプリケーションとAPIのセキュリティが不可欠だ。このモデルには、ゼロトラストのための5つの柱、アイデンティティ、デバイス、ネットワーク、アプリケーション、データがある。

Contrast Securityは、第4の柱である「アプリケーション」に焦点を当てている。

アプリケーションこそがContrastのターゲット

アプリケーションとAPIがセキュアでなければ、他は崩れてしまう。

‘Explode, offload, reload’

• まず、モノリシックなワークロードを複数のサービスに分解
• 次に、オフロード(サービスをクラウドに移行)
• そして、リロード：クラウド環境で動作する最新のテクノロジを使用して、ワークロードを保護するための新しいセキュリティ防御を実装

旅路で満たされる空のワゴン

ゼロトラストを導入するのは大きな仕事だ。今あるものから始めよう。これは、米商務省国際貿易局のCIO、Gerald Caron氏からの良いアドバイスだ。

• 全面的な見直しは必要なく、ちょっとした微調整からゼロトラストの導入を開始する。
• 数年にわたる漸進的なプロセスになることを承知の上で、小さなステップの棚卸しをする。
• 計画を立てて実行し、必要に応じて修正する。
• 急いで大きな買い物をしても、結局はうまくいかない。
• パイロットプロジェクトを早期に実施し、チームを編成し、アプリを少しづつ変革する。
• 学んだことを広めて、標準化する。

つまり、スピードを落とせば速く進める、ということだ。ペリメータセキュリティからゼロトラストへの移行は、ゆっくりとした漸進的なプロセスだ。 しかし、ゼロトラストによって、迅速な開発とイノベーションが可能になり、顧客への価値展開が迅速にできるようになる。

ゼロトラストに向けた企業の変革は、旅の始まりには空になっているワゴンのようなものだ。人々(従業員)がこれに乗り込んできて、すぐに文化的にゼロトラストな企業となる。そして、従業員もそれを理解する。それが成功への道なのだ。

ペリメータセキュリティを最新のゼロトラスト・セキュリティに置き換えることで、企業は最も価値のある資産、つまりビジネスの運営に必要なアプリケーションのデータを保護できるのだ。

ゼロトラストやCISAの第4の柱、またContrastでどのようにゼロトラストを実現できるかについては、Contrast Securityの連邦政府向け営業スペシャリストであるJames Kovachとの最近のLinkedInライブセッションの録画で確認できる：「What’s your Zero Trust strategy? What’s your Pillar 4 solution?」(御社のゼロトラストの戦略は？第4の柱の対策は？)

Contrastによりアプリケーションセキュリティ要件(第4の柱)にどう対応できるかについての詳細は、このレポートを参照のこと。

第4の柱を含むCISAのゼロトラスト成熟度モデルのダウンロードはこちらから。

Read more:

• • What's your Zero Trust strategy? What's your Pillar 4 solution? (LinkedIn Live session recording)
  • Report: Contrast Security and zero trust
  • This Is Where To Focus Security, Fed CTOs! (podcast)
  • ​​Cybersecurity priorities for federal government CTOs
  • CISA Zero Trust Maturity Model
  • Contrast Security and Microsoft Drive Commitment to Institute Zero-Trust Architectures at the Application Layer