Zero Trust
ゼロトラストで機密データをロックダウン
ゼロトラストとは
ゼロトラストアーキテクチャは、デジタルトランスフォーメーションや従来のネットワーク境界の喪失に直面する現代の企業や政府機関にとって、機密データを保護するための有力な手段となっています。
Forrester Research がゼロトラストフレームワークを導入したのは約 10 年前のことです。このフレームワークの考案者は、同社の主要アナリストである John Kindervag 氏です。1 ゼロトラストは、信頼された内部ネットワークゾーンと信頼されていない外部ネットワークゾーンという概念を排除すべきだと提唱しています。つまり、どのデータトラフィックも信頼できないということです。データがネットワークを通過する際には、すべてのアクセスが、制限、再認証、および検証を受けることが重要です。
「セキュリティ専門家は、パケットをまるで人間のように信頼するのを止める必要があります」
Forrester Research 社、John Kindervag 氏1
5 つの基本原則:
ゼロトラスト
ゼロトラストのメリット
攻撃者はネットワークの侵入に定期的に成功します。ゼロトラストアーキテクチャは、攻撃者のネットワークの偵察や保護されたデータ、知的財産へのアクセスを最小限に抑えることができます。また、攻撃の進行を遅らせ、サイバーキルチェーンの初期段階で攻撃者の存在を検出するのにも役立ちます。攻撃者が標的とするデータや資産を盗み出す前に特定し、防ぐことで、サイバー防衛戦略で優位に立つことができます。ゼロトラストは、損失のリスクを減らし、人材を効率的に活用することで、リスク軽減、経費削減、セキュリティアーキテクチャの全体的な有効性向上を図ることができます。
DNS とゼロトラストを使用した
基礎セキュリティ
Domain Name System(DNS)は、現在の情報技術とネットワークアーキテクチャのコアとなります。一方で、デジタルトランスフォーメーションを支えるために必要な変更を迅速にデプロイする一方で、DNS の制御、管理、運用をサイバーセキュリティ戦略に組み込んでいない企業は多く存在します。これらの機能は ISP、オンプレミス、オフプレミスのローカルハードウェアやクラウドベースの複数の異種機能に混在しているのが一般的です。こうした分散した多様な DNS 機能は、通常、最新のサイバーセキュリティ脅威に関するインテリジェンス、Web フィルタリング、その他の重要な防御機能と統合されていません。また、これらの機能のほとんどは、最も一般的なサイバー脅威や分散型サービス拒否(DDoS)攻撃に対する統合サポートを欠いています。さらに、企業のゼロトラストの基盤に DNS と基礎セキュリティを組み込むために必要不可欠な一元的可視性も不足しています。
こうした基礎セキュリティサービスは、DNS、DHCP、IPアドレス管理(DDI)など、すべてのIPベースの通信に不可欠です。さらに、DNS を活用した基礎セキュリティは、ゼロトラストの理念に従い、すべてのコンピューティングリソースを一元的に可視化し、制御する絶好の機会を提供します。DNS はテレメトリのソースとして、異常行動(例えば、通常利用しているものとは異なるサーバーへのデバイスアクセスなど)を検出し、ネットワーク末端から末端へのトラフィック(東西トラフィック)を分析するのに役立ちます。また、DNS は C&C 接続を継続的にチェック、検出、ブロックすることも可能です。企業が使用するすべてのクラウドとオンプレミスのデータセンターにおいて、DNS は可視性を提供し、リスク削減を担う中心的なポイントとなります。
関連製品
BloxOne®
Threat Defense
オンプレミス、クラウド、ハイブリッドの DNS レイヤーセキュリティをどこでも迅速に導入
BloxOne® Threat Defense
オンプレミス、クラウド、ハイブリッドの DNS レイヤーセキュリティをどこでも迅速に導入
サイバーセキュリティ
エコシステム
高度な統合により SecOps の対応と効率を自動化
サイバーセキュリティエコシステム
高度な統合により SecOps の対応と効率を自動化
Advanced
DNS Protection
企業の DNS インフラを保護し、最大限の稼働率を確保
Advanced DNS Protection
企業の DNS インフラを保護し、最大限の稼働率を確保
脅威インテリジェンス
DNS と複数の情報源から得られる脅威インテリジェンスを活用して、総合的なセキュリティスタックの有効性を向上
脅威インテリジェンス
DNS と複数の情報源から得られる脅威インテリジェンスを活用して、総合的なセキュリティスタックの有効性を向上
