ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
Icon Rounded Closed - BRIX Templates

アイデンティティ

ゼロトラストの考え方をセキュリティに取り入れることで、オンラインの脅威がユーザーに届かないようにします。その結果、心配は一切ありません。

__wf_リザーブド_デコラティブ

アイデンティティは、より大きなゼロトラスト戦略にどのように当てはまるのでしょうか?

ゼロトラストアイデンティティは、信頼性に基づいてネットワーク全体へのアクセスをきめ細かく許可する方法です。ゼロトラストは、最初はデフォルトでアクセスなしの状態から始まり、ユーザー、アプリケーション、データ、デバイスなど、特定のエンティティにさまざまなレベルのアクセスをインテリジェントに提供します。そして、このアクセスは事前に設定されたルールに基づいて提供されます。ただし、これを機能させるためには、組織は誰がアクセスを求めているのか、アクセスできたら何をするつもりなのかを間違いなく正確に特定する必要があります。

ゼロトラストは企業のアイデンティティを評価するのにどのように役立ちますか?

ゼロトラストIDは、ユーザー名、パスワード、多要素認証(MFA)だけではありません。ユーザー、アプリケーション、またはデバイスが本人であること、または本人が言うとおりの人物であることを確認するには、別のレベルのセキュリティチェックが必要です。これには、デバイス情報、物理的な位置、そして最終的には行動など、その他の手がかりも含まれます。

なぜ従来のアイデンティティツールではこのレベルの細分性を提供できないのでしょうか?

従来のIDツールは、強化されたファイアウォールの外にあるいくつかのエンティティがVPN経由でネットワークに接続するハブアンドスポークモデル向けに設計されていました。すべてのトラフィックはデータセンターに逆流し、そこで監視とポリシーの適用が可能でした。組織はファーストタッチでエンティティを認証するだけで、東西トラフィックの監視や保護について心配する必要がなくなりました。このアーキテクチャでは、ユーザー名、パスワード、MFA による認証がうまく機能しました。

しかし、私たちはもうその世界には住んでいません。今日の高度に分散された企業では、ユーザー、アプリケーション、デバイス、データがプライベートデータセンター、パブリッククラウドインフラストラクチャ、SaaS(Software as a Service)プラットフォームに分散しており、ネットワークは分散しすぎ、複雑すぎ、サードパーティのエンティティとの相互接続が多すぎます。ユーザーは最初にアクセスできたとしても、ネットワークの他の部分には自由にアクセスできる場合があります。継続的に認証したり、きめ細かなレベルでアクセスを制限したりできないことは、脅威アクターが大きな成功を収めている大きなセキュリティギャップです。

ゼロトラストネットワークアクセス

分散型ワークフォース向けの、きめ細かで適応性の高いコンテキスト対応型セキュリティ

ゼロトラストのアイデンティティはどのようにしてこのギャップを埋めることができるのでしょうか?

重要なのは、事業体のアイデンティティをどの程度確信しているかを評価し、その評価を利用してアクセシビリティを提供または制限することです。たとえば、既知のユーザーが正しい認証情報を使用してアプリケーションにログインし、MFA に合格する可能性があります。しかし、そのユーザーがアルバニアなどの国に住んでいると判明した場合はどうなるでしょう。この場所は、特定のユーザーにとっては奇妙な場所であるだけでなく、ハッカーの活動の温床としても知られています。さらに、マーケティング担当役員であるユーザーが給与計算アプリにアクセスしようとしています。これもまた異常な動作です。

アクセスを提供するか、提供しないか?ゼロトラストアイデンティティを使用すると、認証されたユーザーにはアプリケーションへのアクセスを許可するが、ユーザーは読み取り専用に制限するポリシーを適用できます。このようなきめ細かな制御により、ユーザーがアルバニアの給与計算にアクセスする正当な理由がある場合に備えて、ユーザーの生産性を損なうことなく、潜在的に悪意のあるアクティビティからアプリケーションを保護できます。ゼロトラストアイデンティティにより、信頼性のレベルを評価し、きめ細かなアクセシビリティを提供し、これらのポリシーをグローバルに適用することができます。

ゼロトラストアイデンティティの構成要素とは?

すべてのエンティティのカタログから始める

知らないものは保護できません。ゼロトラストのアイデンティティ戦略は、まずアプリケーションをカタログ化して、ネットワーク内のどこにあるのか、どのユーザーがアクセスする必要があるのかを把握することから始まります。次に、アクセシビリティのレベルを定義して、フルアクセス権限を持つユーザー、読み取り専用にするユーザー、およびユーザーにアップロード権限またはダウンロード権限を与えるかどうかを決定できます。

ID ポリシーの設定

持っているものがわかれば、ゼロトラスト戦略にさまざまなレベルのコントロールを組み込むことができます。リスクスコアを計算するようなものです。上の例では、ユーザーは正しいユーザー名とパスワードを入力し、MFA に合格しましたが、危険な場所から異常な動作をしていました。結果は読み取り専用で、データのダウンロードやデータ漏洩はできません。ゼロトラストポリシーでは、ID と事前に設定されたルールに基づいてさまざまなレベルのセキュリティを設定し、グローバルに適用できます。

デフォルトではクライアントレス

ネットワークをカタログ化し、信頼性とそれに対応するアクセシビリティレベルを決定するためのアイデンティティポリシーを設定したら、今度はアプリケーションを悪意のある脅威にさらすことなく、実際にユーザーをつなげましょう。これは VPN などのクライアントを使用して行うことも、理想的にはクライアントレスアーキテクチャで行うこともできます。デバイスにソフトウェアをインストールする必要がないため、IT のオーバーヘッドが軽減され、ゼロトラスト ID をパートナー、サプライヤー、請負業者、従業員の個人デバイスなどの管理対象外のデバイスにも適用できます。

アプリケーション側では、信頼できるユーザーにアクセス権を付与するコネクタをデプロイする必要があります。これらのコネクタは、データセンターでもパブリッククラウドでも、アプリケーションが置かれている場所ならどこにでも存在し、認証されたユーザーにアクセスを許可するゲートウェイの役割を果たします。しかし、今日の分散型企業では、パブリックインターネットを介してユーザーとアプリケーションに直接アクセスする必要があり、アプリケーションを公開することが求められています。この重大なセキュリティギャップを埋めるには、すべてのトラフィックが流れる中央制御ポイントが必要です。これにより、認証されたユーザーだけがアクセスできるインターネット上のプライベートトンネルを実現できます。

なぜMenlo Securityはゼロトラストアイデンティティの約束を果たすのに良い立場にあるのでしょうか?

アクセスは、ネットワーク全体ではなく、ユーザーの職務に必要な特定のアプリケーションにのみ許可されます。ゼロトラストの原則は Menlo Secure Application Access の基盤に組み込まれているため、分散の激しい従業員や第三者に対しても、きめ細かなアクセスポリシーと条件付きアクセスポリシーの両方に適用できます。組織は、ユーザー、グループ、ソース IP、地域ごとにアクセスを定義できます。ブラウザベースではないポリシーの場合、組織はユーザーがアプリケーションにアクセスする前にエンドポイントのポスチャチェックを有効にできます。

ゼロトラストアクセスについて詳しく見る

ゼロトラストアクセスを簡単にする