城と堀のモデルは、従来のネットワークセキュリティモデルであり、ネットワーク内のすべての人間とデバイスはデフォルトで信頼される一方、ネットワーク外のエンティティが内部のデータにアクセスすることは困難です。
クラウドコンピューティング、人工知能(AI)、リモートワーク政策の普及に伴い企業IT環境が進化する中、従来のITセキュリティモデルは不十分であることが明らかになり、ゼロトラストセキュリティが進化を遂げました。
ゼロトラストは、複数の異なる原則と技術を統合した包括的アプローチである。2023年には組織の61%が定義されたゼロトラストセキュリティイニシアチブを有しており、定義済みイニシアチブがわずか24%だった2021年から大幅な増加を示している。
ゼロトラストエンドポイントセキュリティとは?
エンドポイントは攻撃対象領域の拡大に最も寄与し、保護が最も困難なIT資産です。組織のIT環境における最も脆弱な部分です。脅威アクターがエンドポイントを利用してITインフラやアプリケーションに二次被害をもたらすのを防ぐため、エンドポイントの安全性とセキュリティを確保する必要があります。
ゼロトラストエンドポイントセキュリティの根幹となる原則は、ネットワーク内外を問わず、すべてのユーザーとデバイスが組織のITインフラストラクチャ、アプリケーション、データへのアクセスを許可される前に検証されなければならないという点です。ゼロトラストをエンドポイントに拡張することで、エンドポイントセキュリティとネットワークセキュリティを統合することで、組織のための包括的なセキュリティアーキテクチャを構築します。これにより、エンドポイントで得られたインテリジェンスを活用し、セキュリティイベントが発生した特定のエンドポイントを隔離するファイアウォールポリシーを設定できます。
ゼロトラストエンドポイントセキュリティには、エンドポイントセキュリティと VPN(仮想プライベートネットワーク)セキュリティの統合も含まれます。これにより、セキュリティポリシーがユーザーとエンドポイントとともにグローバルに移動し、エンドポイントの場所に関係なく保護することが可能になります。
エンドポイントセキュリティにおけるゼロトラストの主要原則
従来のセキュリティモデルは、信頼された境界という概念を中心に構築されていました。しかし、クラウドコンピューティングとリモートワークポリシーの普及により、このモデルは意味をなさなくなっています。ゼロトラストモデルは、リソースへのアクセスを許可する前に、すべてのユーザーとデバイスを検証することに重点を置いています。エンドポイントセキュリティに適用されるゼロトラストの主な原則は以下の通りです。
-
信頼せず、常に検証する
組織のネットワークへの接続や機密情報へのアクセスを求めるすべての要求は、ユーザーやデバイスの場所に関係なく検証されます。アクセス要求は、MFA(多要素認証)などの方法と、ユーザーID、デバイスの健全性、コンテキストデータなどの要素を活用して精査されます。
-
最小権限アクセス
最小権限アクセス原則により、ユーザーとデバイスにタスク遂行に必要な最小限のアクセス権限のみを付与できます。ユーザーとデバイスを継続的に監視し、過剰な権限を持つIDを特定・最適化することで、侵害やセキュリティインシデントの可能性を制限します。
-
侵害を前提とする
堅牢でテスト済みのインシデント対応 計画を構築し、エンドポイント攻撃が発生した際にチームが迅速に対応できるようにすべきです。この計画は、マイクロセグメンテーションなどのネットワーク原則を通じて、組織が攻撃の標的領域と影響範囲を縮小するのにも役立ちます。
-
マイクロセグメンテーション
マイクロセグメンテーションでは、ネットワークを小さなセグメントに分割し、潜在的なセキュリティ侵害を隔離して被害を限定します。これにより、攻撃者のネットワーク内での横方向の移動を制限し、無制限な移動を防止することで被害の封じ込めを支援します。
-
自動化されたコンテキスト分析
ゼロトラストアーキテクチャは、自動化されたシステムを用いてユーザー行動やエンドポイントの健全性に関するコンテキスト情報を収集します。このコンテキストデータにより、アクセス権限に関する情報に基づいた判断が可能となり、エンドポイント全体で発生する不審な活動に迅速に対応できます。
ゼロトラストがエンドポイントを保護する仕組みとは?
ゼロトラストは、組織のインフラストラクチャ、アプリケーション、データにアクセスするユーザーやデバイスといったエンティティへの信頼を最小限に抑えることを重視します。ゼロトラストセキュリティモデルでは、ユーザーとデバイスは組織のITシステムへのアクセスを得るために、継続的に認証情報と信頼性を証明する必要があります。
-
ユーザーデータの評価
最近の 調査 によると、2022年に実際に発生したデータ侵害の主な原因の上位2つはフィッシングと認証情報の窃取であり、これらは主に侵害されたエンドポイントから発生しています。これらの脅威に対する防御は、組織のIT資産とデータセキュリティにとって不可欠なものとなっています。ゼロトラストセキュリティでは、エンドポイントが各リクエストごとにユーザーデータを収集・評価し、組織のシステムへのアクセス権限を持つ正当な認証情報をユーザーが保持していることを確認する必要性を強調しています。
-
ネットワークとデバイスの包括的な可視性と監視
ゼロトラストにより、ネットワークと接続デバイスを包括的に把握できます。ゼロトラスト原則を適用することで、リソースにアクセスする全デバイスとアクセスポイントの可視化が可能になります。これにより、1人のユーザーが使用する複数のエンドポイントにまたがるリスクを監視できます。エンドポイント全体のすべてのアクティビティをリアルタイムで監視し、不審な行動や潜在的な脅威を検知します。これにより、新たなリスクにリアルタイムで対応し、重大なセキュリティインシデントや侵害に発展するのを防ぎます。
-
デバイスデータの評価と保護
デバイスは、悪意のあるアプリやランタイム悪用などの脅威に対して脆弱です。ゼロトラストは、デバイスの健全性、ユーザーID、地理的位置、アクセス時間、アプリケーション活動などのコンテキスト情報を使用したエンドポイントの継続的な監視を可能にします。これにより、セキュリティチームにシステム全体の広範な可視性が提供され、デバイスデータが保護されます。
-
内部脅威の無力化
外部脅威に加え、ゼロトラストは意図的・偶発的な内部脅威も考慮します。最小権限アクセスと多要素認証を実施することで、信頼されたエンドポイント上であっても内部者脅威による潜在的な損害を最小限に抑えます。
ローカルおよびリモートリソースへのアクセス規制
ゼロトラストは、きめ細かなアクセス制御と最小権限アクセスをサポートし、エンドポイントがデバイス上のローカルリソースおよびリモートリソースへのアクセスを規制し、それらを保護するのに役立ちます。
ゼロトラストエンドポイントセキュリティの仕組み
ゼロトラストエンドポイントセキュリティの中核となる価値提案は、ネットワークやアプリケーションへのアクセスを試みるすべてのユーザーやデバイスを厳格に検証することです。ネットワーク内のユーザーやデバイスであっても検証は必須です。ゼロトラストエンドポイントセキュリティは以下のように機能します。
-
本人確認
すべてのエンドポイントは検証されなければならず、これにはMFA(多要素認証)、デバイスのデジタル証明書など、異なる認証レイヤーが含まれます。システムは、ユーザーの役割、デバイス、場所、要求しているデータなどのコンテキストに基づいてアクセス権と特権を検証します。コンテキストが変化するにつれて、検証とユーザーアクセス権限を継続的に評価します。
-
最小権限アクセス
ユーザーとデバイスが検証されると、その機能を実行するために最低限の特権が付与されます。これにより、攻撃対象領域のリスクが制限され、マルウェアや不正なユーザーによる機密情報へのアクセスリスクが低減されます。
-
継続的な監視と分析
ゼロトラストセキュリティモデルでは、エンドポイントを継続的に監視して異常な活動を検知し、ユーザー行動を分析して異常なパターンを検出します。これには、EDR(エンドポイント検知・対応)、UEBA(ユーザー・エンティティ行動分析)、AAC(適応型アクセス制御)などのツールを活用します。
-
マイクロセグメンテーション
ネットワークトラフィックを小さなセグメントに分割することで、いずれかのエンドポイントが侵害された場合でも、特定のネットワークセグメントを隔離することで侵害を封じ込めることができます。
-
データ暗号化
エンドポイントに保存されるすべての静的データおよびエンドポイントから送信されるデータは、傍受や盗難から保護するために暗号化されます。
-
構成管理
エンドポイントは継続的に監視され、セキュリティパッチが適用されます。また、構成がセキュリティポリシーを満たしていることを確認するために検証が行われます。セキュリティ要件に準拠していないエンドポイントがある場合、問題が解決されるまでそのアクセス権を無効化できます。
セキュリティポリシーは、場所や所有状況に関係なく、すべてのエンドポイントに対して一元的に管理・適用されます。これにより、脅威に対するエンドポイントの保護が一貫して確保されます。
A Four-Time Leader
See why SentinelOne has been named a Leader four years in a row in the Gartner® Magic Quadrant™ for Endpoint Protection Platforms.
Read Report
ゼロトラストエンドポイントセキュリティにおけるIAMの役割
IAM(Identity and Access Management)は、データやアプリケーションへのアクセスを制御し、最小権限の原則を適用することを可能にする、ゼロトラストセキュリティの不可欠な構成要素です。
-
継続的なアイデンティティ検証&
IAMにより、ユーザーやデバイスがネットワークにアクセスしデータやアプリケーションを利用する際、事前にその身元を検証できます。ゼロトラストセキュリティでは、許可されたユーザーを一貫して検証する必要がありますが、これはIAMによって実現されます。
-
きめ細かなアクセス制御と最小権限アクセス
IAMはユーザーロールに基づく厳格なアクセス制御ポリシーを適用し、最小権限アクセス原則を強制することで、不正アクセスや潜在的なデータ侵害のリスクを最小限に抑えます。攻撃者がシステムを操作するために悪用できる攻撃対象領域を縮小できます。
-
アクセス権限の動的調整
IAMは、ユーザーの行動、デバイスの健全性、位置情報などのコンテキスト要因を活用し、アクセス権限を動的に調整します。これにより、潜在的な脅威にリアルタイムで対応し、その影響を制限することが可能になります。
-
セキュリティツールおよびシステムとのシームレスな統合
IAMはEDR(エンドポイント検知・対応)ソリューション、SIEM(セキュリティ情報イベント管理)などの他セキュリティシステムと連携します。相互運用性により、ID関連イベントを他のセキュリティパラメータと関連付け、脅威の事前検知と対応管理を実現します。
エンドポイントセキュリティにおけるゼロトラストの利点
エンドポイントセキュリティ向けにゼロトラストを活用した統合セキュリティソリューションは、ユーザーとデバイスを包括的に保護します。エンドポイントセキュリティにおけるゼロトラスト導入の主な利点は以下の通りです。
-
ネットワークとデバイスへの可視性の向上
エンドポイント向けゼロトラストは、エンドポイント活動の継続的な監視を促進し、ネットワークトラフィック、ユーザー行動、デバイスへの可視性を高めます。可視性の向上により、組織は異常をリアルタイムで検出できます。自動化されたシステムがアラートを送信するため、セキュリティチームは脅威に迅速に対応できます。
-
エンドポイントの統合セキュリティ
アイデンティティアクセス管理によるゼロトラストは、セキュリティを合理化し、セキュリティソリューションを統合システムに集約します。ユーザーは要求時に一度認証を行い、付与された権限に基づいてネットワークを移動します。統合セキュリティソリューションにより、ユーザーとデバイスは、一度アイデンティティが検証・承認されれば、繰り返しのチェックを回避できます。
-
規制コンプライアンスの強化
エンドポイント向けゼロトラストは厳格なアクセス制御を実施し、デバイス活動を継続的に監視します。このモデルは機密データの適切な保護を確保し、監査プロセスを簡素化することで、PCI DSSやGDPRなどの規制への準拠を支援します。&
さらに、ゼロトラストはコンテキストとマイクロセグメンテーションに基づくユーザーアクセス制限により攻撃対象領域を縮小します。エンドポイント向けゼロトラストは、従来のネットワークセキュリティ境界外にある全エンドポイントがアプリケーションやデータにアクセスする前に精査・認証されることを保証し、リモートワークポリシーの実現を支援します。&
エンドポイントセキュリティにおけるゼロトラストの課題
エンドポイントセキュリティ向けのゼロトラストには、実装計画策定時に考慮すべき固有の課題が存在します。主な課題は以下の通りです。
-
技術的課題
レガシーセキュリティシステムを使用している多くの組織では、統合が困難な場合があります。古いシステムは、ゼロトラストの原則で要求される動的なアクセスルールをサポートしていない可能性があるためです。レガシーシステムのアップグレードや置き換えには多大なコストとリソース、時間を要するため、移行が困難になります。
-
相互運用性の課題
相互運用性を実現するため、ゼロトラストセキュリティソリューションを企業の技術スタックに統合する際、追加の技術的課題に直面する可能性があります。導入プロセスの早い段階で課題を特定し対処するためには、本格的な展開前に徹底的なテストとパイロット運用を実施する必要があります。
監視と可視性の課題
断片化されたデータソースと多様な環境管理の複雑さが、監視と可視性の課題を引き起こします。組織が複数のセキュリティツールに依存しているため、特に常に社内ネットワークに接続されているとは限らないリモートユーザーやデバイスにおいて、監視の死角が生じます。この断片化により、エンドポイントの活動を把握することが困難になり、リアルタイムの脅威を検知できなくなります。
-
変化への抵抗
従来のセキュリティモデルに慣れた従業員や関係者は、継続的な検証を特徴とするゼロトラストアプローチが既存のワークフローを妨げるため、変更に抵抗を示す可能性があります。共同での導入アプローチ、包括的なトレーニングプログラム、効果的なコミュニケーションにより、懸念を緩和し、新たなセキュリティモデルへの信頼を構築できます。
-
セキュリティとユーザー体験の適切なバランスを取る
ゼロトラストが重視する継続的な検証は、追加の認証ステップを導入し、ユーザー体験に悪影響を与える可能性があります。セキュリティとユーザーの利便性のバランスを取ることは、ユーザーの抵抗を防ぎ、ゼロトラストセキュリティの導入を促進するために不可欠です。
-
スケーラビリティとパフォーマンスの問題
すべてのアクセス要求に対する監視の強化は、プロセスの速度低下を招き、効率性に悪影響を及ぼす可能性があります。ゼロトラストの導入は、業務の規模拡大に伴い、組織のパフォーマンスに影響を与える可能性があります。
ゼロトラストエンドポイントセキュリティのベストプラクティス
エンドポイントセキュリティにおけるゼロトラストの導入を成功させるには、方法論的なアプローチが必要です。エンドポイントセキュリティにゼロトラストの原則を適用するために従うべきベストプラクティスの一部を以下に示します。
-
セキュリティ態勢評価
評価の最も重要な成果は、サーバー、従業員のワークステーション、モバイル端末など、攻撃に対して脆弱なネットワーク上の中核エンドポイントを特定することです。ポネモン研究所の報告によると、回答者の55%が携帯電話やノートパソコンなどのデバイスが最も攻撃を受けやすいと感じています。さらに、これらすべてのデバイスにおけるパッチ管理を維持することは非常に困難です——企業内のAndroidデバイスでは、更新の即時適用率はわずか21.2%であり、驚くべきことに48.5%の更新はまったく管理されていません。&組織の現在のセキュリティ態勢を詳細に評価する必要があります。これによりネットワークアーキテクチャの理解、潜在的な脆弱性の特定、既存セキュリティ対策の有効性検証が可能となります。
可視性はゼロトラストの重要な要素であることを忘れないでください。セキュリティ態勢評価では、エンドポイント保護と主要な脆弱性を検証する必要があります。これにより異常な動作や不審なアクセスを即時検知できると同時に、検証されるまで一切のアクションを信頼しないというゼロトラストの中核原則を確保します。
-
ゼロトラスト導入ロードマップ
従来のセキュリティモデルからゼロトラストエンドポイントセキュリティシステムへの移行に必要な基本手順とマイルストーンを明示したロードマップを作成する必要があります。ネットワーク中心のアプローチから、ユーザーとデバイスをエンドポイントセキュリティ対策の中心要素とするアイデンティティ中心のアプローチへの転換が必要です。
構造化されたゼロトラスト導入ロードマップには、評価、計画、実装、監視の各フェーズが含まれます。
-
IAMの実践とマイクロセグメンテーション
アイデンティティとアクセス管理(IAM) は、ゼロトラストセキュリティモデルの基盤となる要素です。このモデルは、ネットワーク内外の誰に対してもデフォルトで信頼を置かないという原則に基づいて動作します。IAMを実装することで、すべてのユーザーの身元が検証されます。アクセス権は役割に応じて厳格に制御されます。最小権限アクセスを適用することで、ユーザーやデバイスにはその機能に必要な最小限のアクセス権のみが付与されます。
多要素認証(MFA)もセキュリティ層を追加し不正アクセスのリスクを大幅に低減します。このアプローチは、侵害発生時の潜在的な被害を最小限に抑えるだけでなく、攻撃者が利用できるアクセスポイントを制限することで全体的なセキュリティを強化します。また、これらの実践により認証済みユーザーのみが特定のリソースにアクセスでき、ユーザーの権限をその役割に必要な範囲に限定するため、潜在的な攻撃ベクトルを減らし、組織はゼロトラストを確保します。
侵害発生時に重要なネットワーク資産やエンドポイントを横方向の移動から隔離するには、マイクロセグメンテーションを活用する必要があります。マイクロセグメンテーションはゼロトラスト原則と極めて相補的です。考えてみてください。ゼロトラストは限定された権限環境をもたらし、あらゆるアクセス要求を厳しく精査します。マイクロセグメンテーションソリューションはクラウドワークロードや仮想マシンを識別・分離し、PoLPポリシーやアクセス制御を実施するための細粒度制御を提供し、侵害を個々のワークロードに隔離します。
-
エンタープライズ統合
エンドポイントにおけるゼロトラストの成功は、現行のセキュリティスタック全体にその原則をシームレスに適用できるかどうかにかかっています。これには、既存ツールのアップグレードや、ゼロトラストフレームワークに沿った新しいツールの導入が必要になる場合があります。また、エンドポイントを保護するためのリアルタイムのインテリジェンスと対応能力を獲得するために、EPP(エンドポイント保護プラットフォーム)および EDR(エンドポイント検出および対応)ソリューションを導入する必要があります。
-
部門横断的な連携
エンドポイント向けゼロトラストの導入には、IT(情報技術)、セキュリティ、法務、コンプライアンスの各チームとの部門横断的な連携が必要です。
さらに、組織のユーザーに対してエンドポイント向けゼロトラスト導入の重要性を説明し、最小限の混乱で新たなセキュリティモデルへの移行を支援するためのトレーニングおよび変更管理プログラムを作成する必要があります。
-
トレーニングと変更管理プログラムエンドポイント向けゼロトラスト導入の重要性を説明し、混乱を最小限に抑えながら新たなセキュリティモデルへの移行を支援するトレーニングおよび変更管理プログラムを作成する必要があります。
-
AIパッチ管理の活用
自動化されたパッチ管理システムにより、すべてのエンドポイントデバイスでパッチを迅速に特定、ダウンロード、展開でき、攻撃者が悪用できる脆弱性を最小限に抑えます。セキュリティ担当者が中~低優先度の脆弱性にパッチを適用するのに151日を要することを考慮すると、組織にとって大幅な時間とリソースの節約につながります。さらに、脆弱性へのパッチ適用時には他部門との調整が必要であり、パッチ適用までに追加で12日を要します。
SentinelOneのようなAI(人工知能)搭載エンドポイント保護プラットフォームは、脆弱性の迅速な特定とパッチ適用を支援します。 60%の組織が、既知の脆弱性に対するパッチが存在しながら適用されなかったことが原因で発生した可能性がある侵害が3件に1件あると述べています。自動化されたシステムは、セキュリティ担当者の生産性に影響を与えることなく、エンドポイントの増加に合わせて拡張します。
SentinelOneによるゼロトラストエンドポイントセキュリティ
SentinelOneは統合型エンドポイント保護プラットフォームを提供し、組織のエンドポイントを保護します。このプラットフォームは、Singularity™ XDR(拡張検知・対応)技術と組み合わせることで、エンドポイント、クラウドワークロード、IDシステム全体にわたる包括的な保護を実現します。
Singularity™ XDRは、すべてのエンドポイント活動に関する単一の情報源であり、潜在的な脅威を完全に可視化します。可視性、分析、自律的な対応機能を提供し、組織がゼロトラストセキュリティモデルへ移行するのを支援します。
SentinelOne は、主要なアイデンティティおよびネットワークベンダーと連携し、検証済みのゼロトラスト機能を提供することで、組織がゼロトラストセキュリティモデルを成功裏に採用できるように支援しています。主要なIDおよびネットワークベンダーと連携し、組織がゼロトラストセキュリティモデルを成功裏に導入できる検証済みのゼロトラスト機能を提供します。セキュリティチームは、ゼロトラスト戦略の一環として、IT環境全体の衛生状態、リスク、強化を継続的に監視・管理できます。SentinelOneの特許取得済みオンエンドポイント行動AIは、既知および未知の脅威の影響をリアルタイムで予測、阻止、修正します。SentinelOneは、組織がエンドポイント中心型のゼロトラストセキュリティモデルへの移行を支援し、エンドポイントセキュリティ態勢を強化するとともに脅威の拡大を防止します。
比類なきエンドポイントプロテクション
SentinelOneのAIを搭載したエンドポイントセキュリティが、サイバー脅威をリアルタイムで防止、検出、対応するためにどのように役立つかをご覧ください。
デモを見る結論
マルチクラウド環境やリモートワークポリシーの導入に伴い、エンドポイントセキュリティリスクが増大しています。ネットワークにアクセスするデバイスの数と種類が増えるにつれ、エンドポイントは組織のサイバーセキュリティフレームワークにおける最も脆弱な部分となっています。このような状況では、信頼できる境界という概念を基盤とした従来のセキュリティはもはや適切ではなく、暗黙の信頼を排除するゼロトラストセキュリティに取って代わられつつあります。
ゼロトラストセキュリティでは、ネットワーク内外を問わず、ユーザーとデバイスは継続的に検証・認証されます。エンドポイントにゼロトラストの原則を適用することで、ユーザー行動とデバイスの可視性が向上し、異常をリアルタイムで検知可能になります。これにより攻撃対象領域を縮小し、規制コンプライアンスを確保できます。SentinelOne for Zero Trustを活用すれば、エンドポイントをゼロトラストで保護し、可視性・分析・対応能力をエンドポイント、ID、クラウド、ネットワーク全体に拡張可能です。詳細はこちらのデモ予約からご確認ください。
-
FAQs
ゼロトラストは暗黙の信頼を排除し、新たなリクエストごとにユーザーとデバイスの継続的な検証を要求します。このアプローチにより、多様な信頼できないデバイスの管理を伴うリモートワークポリシーのもと、マルチクラウド環境で運用する際のリスク軽減が可能となります。
"ゼロトラストエンドポイントセキュリティの3つの主要構成要素は、継続的検証、最小権限アクセス、インシデント対応計画です。各企業にはゼロトラスト導入の異なる推進要因と優先順位があり、これらの原則により、固有のエンドポイントセキュリティ要件を満たす形でゼロトラストを採用できます。
"ゼロトラストは「信頼せず、常に検証する」という原則に基づいています。つまり、ネットワーク内外を問わず、すべてのエンドポイントを継続的に検証・認証します。このアプローチでは、ユーザー、デバイスタイプ、ステータスに関わらず、統一されたセキュリティポリシーを適用します。組織リソースへのアクセス要求はすべて新規と見なされ、ユーザーとデバイスはアクセス許可前にIAMとMFAを通じて認証されます。
"ゼロトラストセキュリティは、絶えず変化するサイバーセキュリティ環境に対応できるよう、拡張性と適応性を備えて設計されています。これにより組織は、クラウドコンピューティングと同等の速度と規模で新たな脅威や脆弱性に対応することが可能となります。
"