ゼロトラスト・アイデンティティ：最新のセキュリティフレームワーク

従来のネットワークセキュリティモデルは、ネットワーク境界の内側にあるすべてのものを信頼するという前提で動作します。この「城と堀」のアプローチは、今日のクラウドネイティブで分散された環境ではますます効果が薄れています。リモートワークの普及、洗練されたサイバー攻撃、および企業リソースにアクセスするデバイスの増加により、境界はほとんど重要ではなくなっています。そこで登場するのがゼロトラストセキュリティモデルです。このブログ記事では、ゼロトラスト・アイデンティティの中核となる原則、特に継続的な認可、適応型認証、きめ細かなアクセス制御について探ります。

重要なポイント1：ゼロトラストは、「決して信頼せず、常に検証する」という原則に基づき、ユーザーまたはデバイスがネットワーク境界の内側にあるか外側にあるかに関係なく機能します。

重要なポイント2：継続的な認可はゼロトラストの中核であり、コンテキスト要素に基づいてアクセス要求を常に検証します。

重要なポイント3：ゼロトラストの実装には、アイデンティティ、デバイス、ネットワーク、アプリケーション、およびデータを網羅する階層的なアプローチが必要です。

重要なポイント4：効果的なゼロトラストは、堅牢な身元確認と強力な認証メカニズムに大きく依存しています。

従来のIDおよびアクセス管理の限界

従来のIDおよびアクセス管理 (IAM) システムは、多くの場合、静的なルールとワンタイム認証に依存しています。ユーザーが認証されると、長期間にわたってリソースへの広範なアクセス権が付与される場合があります。これは、侵害された資格情報やインサイダーの脅威が広範囲に及ぶ被害につながる可能性があるため、大きなリスクをもたらします。さらに、従来のIAMは、ユーザーの役割、デバイスの状態、および脅威の状況が常に変化する動的な環境に適応するのに苦労します。

たとえば、ユーザー名とパスワードで認証されたユーザーは、その日の間、機密性の高い顧客データを含むデータベースへのアクセス権が付与される場合があります。そのユーザーのデバイスが日中に侵害された場合、攻撃者はユーザーのセッションが期限切れになるまで、またはログアウトするまで無制限にアクセスできます。ゼロトラストアプローチは、ユーザーの身元とアクセス要求のコンテキストを継続的に検証することで、このリスクを軽減します。

ゼロトラスト・アイデンティティフレームワークのコア原則

ゼロトラスト・アイデンティティフレームワークは、いくつかの重要な原則に基づいて構築されています:

• 侵害を想定 (Assume Breach): 攻撃者がすでにネットワーク内に存在すると常に想定します。
• 最小特権アクセス (Least Privilege Access): ユーザーに、職務を遂行するために必要な最小限のアクセス権のみを付与します。
• 継続的な検証 (Continuous Verification): ユーザーの身元とデバイスのセキュリティ状態を継続的に検証します。
• マイクロセグメンテーション (Microsegmentation): ネットワークをより小さく、独立したセグメントに分割して、潜在的な侵害の被害範囲を制限します。
• データ中心のセキュリティ (Data-Centric Security): ネットワーク境界だけでなく、データ自体を保護することに焦点を当てます。

継続的な認可と適応型認証

継続的な認可はゼロトラストの基盤です。これは、ワンタイム認証を超えて、ユーザーの身元、デバイスの状態、場所、時間帯、アクセスされるリソースの機密性など、多数の要素に基づいてアクセス要求を常に評価することです。これは、定義されたポリシーに対してアクセス要求を評価するポリシー決定ポイント (PDP) を通じて行われることがよくあります。

適応型認証は、リスクに基づいて異なるレベルの認証を要求することでセキュリティを強化します。たとえば、認識されていないデバイスまたは場所から機密データにアクセスするユーザーには、多要素認証 (MFA) を求められる場合がありますが、信頼されたデバイスから非機密データにアクセスするユーザーにはパスワードのみが必要な場合があります。タイピング速度、マウスの動き、さらには歩行などの行動バイオメトリクスを活用して、適応型認証に異常なアクティビティを検出することもできます。

きめ細かなアクセス制御と動的ポリシー

ゼロトラストはきめ細かなアクセス制御を重視しており、アクセスは広範なネットワークセグメントではなく、個々のリソースレベルで付与されます。属性ベースのアクセス制御 (ABAC) は、きめ細かなアクセス制御を実装するための強力なメカニズムです。ABACは、ユーザー、リソース、および環境の属性を使用して、アクセスを許可するかどうかを決定します。たとえば、特定の役職とセキュリティクリアランスを持つユーザーのみが、特定のファイルにアクセスでき、かつ営業時間中にのみアクセスできるというポリシーを定義することができます。

動的ポリシーは、変化する状況に適応するために不可欠です。これらのポリシーは、脅威インテリジェンス、ユーザーの行動、およびその他のコンテキスト要素に基づいて自動的に更新できます。たとえば、ユーザーのデバイスがマルウェアに感染していることが検出された場合、機密リソースへのアクセス権は自動的に取り消されます。

Diditがゼロトラスト・アイデンティティの実装を支援する方法

Diditは、ゼロトラスト・アイデンティティフレームワークを構築するための堅牢なプラットフォームを提供します。当社のコア機能は、ゼロトラストの原則と直接一致しています:

• 強力な身元確認: DiditのAIを活用した身元確認チェックにより、正当なユーザーのみがシステムにアクセスできるようになります。
• API統合による継続的な認可: DiditのAPIを既存の認可ワークフローに統合して、ユーザーの身元を継続的に検証します。
• リスクベースの認証: Diditの不正シグナルとリスクスコアを活用して、適応型認証チャレンジをトリガーします。
• 再利用可能なKYC: ユーザーは一度身元を確認し、複数のアプリケーションで再利用できるようにすることで、摩擦を軽減し、セキュリティを向上させます。
• AMLスクリーニング: ユーザーをグローバルな制裁リストおよび監視リストに対して継続的に監視します。

Diditのモジュール式アーキテクチャにより、特定のニーズに合わせてカスタマイズされたIDフローを構築できます。ワークフロービルダーを使用すると、検証ステップを視覚的にオーケストレーションし、条件付きロジックを設定し、決定を自動化できます。

始める準備はできましたか？

ゼロトラスト・アイデンティティフレームワークの実装は、目的地ではなく旅です。現在のセキュリティ体制を評価し、重要な資産を特定し、ゼロトラストの原則を実装するためのロードマップを開発することから始めましょう。

Diditがゼロトラスト・アイデンティティフレームワークの構築をどのように支援できるかについて詳しく知りたいですか？

デモをリクエスト | ドキュメントを見る