リモート ワークやハイブリッド ワーク、BYOD (Bring-Your-Own-Device)、クラウドベースのインフラといったデジタル企業のトレンドにより、デバイスやユーザーと企業ネットワークとの関わり方が進化するにつれ、ネットワーク セキュリティも進化を続けています。
最近、ゼロ トラストはサイバーセキュリティの大きな話題となっており、 サイバーセキュリティの會議や大統領の記者會見場でも議論されています。ゼロ トラストは、継続的な再認証の要求や自動ログアウトなど、ユーザー體験に障害や時間、フラストレーションを與える摩擦の大きい手段を取り入れると解釈されることが多いようです。
しかし、ゼロトラストの原則を活用することは、デジタル リソースにアクセスするために、それらを使用するのと同じくらいの時間を費やすような世界にユーザーを追いやることを意味するものではありません。詳細は、ゼロ トラスト アーキテクチャをご覧ください。
この記事では、ゼロ トラストに関する混亂を解消し、思慮深いサイバーセキュリティ チームが、ユーザーとデータを安全に保ち、シームレスなユーザー體験を維持するゼロ トラスト システムを構築する方法について説明します。
ゼロ トラストとは?
ゼロ トラストの原則をどのように活用するのが最善かを評価する前に、一歩下がってゼロ トラストを定義してください。ゼロ トラストは継続的な検証を行うネットワーク セキュリティのフレームワークで、「靜的なネットワークベースの境界線から、ユーザー、資産、情報に焦點を當てた防衛策」であると、ゼロ トラスト アーキテクチャの論文で述べられています。
「信頼するが検証する」ようにデバイスが認証されたときにユーザーにネットワーク全體にアクセスさせたり、「境界セキュリティ」のようにファイアウォールを通過したデバイスを信頼するのではなく、ゼロ トラスト セキュリティ戦術では、ユーザーとデータがネットワークを移動するときに継続的に追跡する「決して信頼せず、常に検証する」アプローチを取ります。
今日のゼロ トラストの仕組み
典型體なゼロ トラスト戦略では、ネットワーク上を移動するデータを保護するために継続的な本人確認と暗號化技術を重ね、上記のような高い軋轢の環境を作り出しています。
多要素認証 (MFA) のような技術はアクセスや認証を制限するために実裝され、暗號化技術はネットワークを通過する前と通過中にデータを暗號化します。実際、これらの戦術はゼロ トラストに関する大統領令で具體的に言及されています。
これらは保護的な行動ですが、これらの戦術には大きなマイナス面も考慮しなければなりません。
MFA による継続的な認証、再ログイン要求の常時表示、頻繁なタイムアウトの発生
これらの戦術は、企業のユーザー體験に悪影響を及ぼします。認証は、ユーザーの作業を遅らせ、デバイスを常に利用可能な狀態にしておくことを強います。このような軋轢は、一人のユーザーが複數のデバイス (電話、ノート PC、タブレット) を利用する場合、ますます大きくなります。
最も心配なのは、こうした努力の積み重ねが「認証疲れ」を引き起こし、ユーザーが認証を求められることが多くなり、通知に注意を払わなくなることです。これは、それ自體が重大なセキュリティ ギャップであり、情報漏えいの可能性を高めることになります。
すべてを暗號化する、常に
この戦術は、有用なセキュリティ層に過度に依存し、陳腐化する危険性があります。すでに、コンピューター技術の進歩は、私たちが知っているような暗號化を破壊したり、著しく制限したりする可能性を持っています。
さらに、暗號化の安全性はその鍵によって決まることを考えると、世界の立法府がエンドツーエンドの暗號化システムへのバックドアを義務付けることで、暗號化を破って攻撃の道を開く可能性が高くなります。このため、企業は暗號化以前と同じように脆弱な狀態に置かれる可能性があります。
ゼロ トラストの真の可能性を実現するためには、原則をより全體的、拡張的、かつ持続的に解釈することが必要です。
包括的なゼロ トラスト
その核心は、効果的なゼロ トラスト戦略によって、高いレベルのセキュリティを確保しながら、ポジティブなユーザー體験を可能にすることです。ネットワークにおける不審な行動を監視し、それに対処するための分析および自動化技術を使用することで、軋轢を減らすことができます。
ゼロ トラスト原則に基づく包括的なセキュリティ アーキテクチャを実現するためには、以下の要素が鍵となります。
強力な認証機能を確保するために、 ユーザーの行動に関する自動データ収集により、ネットワークを継続的に監視する必要があります。 このデータは、繰り返される本人確認要求を実用的な情報に置き換え、分析し対処できる情報のリアルタイムな基盤を形成します。
アクセス プロトコルを確立するために、データに基づいてコンテキストの手がかりとなる複數の変數を使用し、AI で學習することで、疑わしい行動に対してより良く、より速く判斷するために、?ネットワーク アーキテクトは UBA (User Behavioral Analytics) を組み込む必要があります 。これにより、システム設計における煩雑なルールを回避し、認証リクエストをデフォルトではなく、ターゲットを絞ったアクセス ツールとして位置づけることができます。
UBA の約束は、ログインするデバイス、NIC、演算ノード、ストレージ ノードを活用し、分析機能を高速化するために、環境を通して演算を分散することによって実現することができます。詳細については、NVIDIA Morpheus サイバーセキュリティを參照してください。
侵入された場合にデータを保護するために、境界線に焦點を當てるのではなく、データ センターの構造全體に防御を配置するようにシステムを設計する必要があります。ネットワーク アーキテクチャは、悪意のある行為者がネットワークから出るのを防ぐことに重點を置きがちですが、これは「境界セキュリティ」とは逆のものです。ネットワーク內部での橫方向の動きを制限することも同様に重要です。
暗號化も有効ですが、より大規模なアーキテクチャのネットワーク調整、機器の変更、追加を主要な戦略として取り入れるべきです。このアプローチにより、収集、分析、自動化されたセキュリティ システムに含めるべきデータが桁違いに増えることになります。
これらの戦術は、企業のニーズに応じて拡張し、進化するように設計されています。現在のインフラで大規模なデータ収集、分析、対策を実現することは、困難なことのように聞こえるかもしれません。NVIDIA は、この取り組みをサポートするために、この取り組みを支援するため、NVIDIA ゼロ トラスト サイバーセキュリティ プラットフォームは、3 つの技術 –? NVIDIA BlueField DPU、NVIDIA DOCA、NVIDIA Morpheus を組み合わせ、開発パートナーが、データ センターに新しいレベルのセキュリティを導入できるようにしています。
まとめ
NVIDIA ゼロ トラスト プラットフォームは、高速化されたコンピューティングとディープラーニングの力をもたらし、継続的に脅威を監視して検出し、アプリケーションをインフラから分離して橫方向の侵入を制限し、 NVIDIA による高速化のないサーバーに比べて最大 600 倍の速度で動作します。このインフラ、強力なデータ管理、AI 技術により、ゼロ トラストの約束は、次世代のサイバーセキュリティで実現することができます。
ゼロ トラストの詳細については、 ゼロ トラストの再考: AI を活用したサイバーセキュリティへのアプローチ のウェビナーをご視聴ください。NVIDIA のゼロトラスト プラットフォームが公共部門のサイバーセキュリティにどのように対処できるかを解説しています。
翻訳に関する免責事項
この記事は、「Enhancing Zero Trust Security with Data」の抄訳で、お客様の利便性のために機械翻訳によって翻訳されたものです。NVIDIA では、翻訳の正確さを期すために注意払っておりますが、翻訳の正確性については保証いたしません。翻訳された記事の內容の正確性に関して疑問が生じた場合は、原典である英語の記事を參照してください。
