/ コンプライアンスにおいてゼロトラスト アーキテクチャーが果たす役割とは
コンプライアンスにおいてゼロトラスト アーキテクチャーが果たす役割とは
デジタル トランスフォーメーションにより、データ プライバシーとセキュリティはこれまで以上に重要となっています。その理由は簡単で、機密データの量が増えるにつれて、それに対する攻撃の量も増えるためです。現在、世界中の産業や地域で、データの取り扱い、ガバナンス、同意などに関する規制が施行されています。ゼロトラストは現代のコンプライアンス戦略の一角を担い、アイデンティティーの検証、アクセス制御、監視、その他の主な要件への準拠を支援します。
要旨
• ゼロトラストは、内部脅威、資格情報の悪用、侵害の影響を軽減することでリスクを最小化します。
• ゼロトラストは、厳格なアクセス制御と監査を通じて、GDPR、HIPAA、CPRAなどの要件への準拠を支援します。
• ゼロトラストにおける継続的な監視とマイクロセグメンテーションによって、侵害防止と対応の効果が改善します。
• ゼロトラストは、地域や業界を超えて重なり合い、進化する規制フレームワークの管理を簡素化します。
• ゼロトラストは、AIや越境データなどに関連する新たな法律やテクノロジーに適応することで、将来にわたるコンプライアンスの確保を可能にします。
ゼロトラスト アーキテクチャーの基本原則
従来の「城と堀」のセキュリティ モデルは、許可されていないユーザーやデバイス、サービスがネットワーク境界内に侵入しないようにすることを目的としています。しかしこのモデルでは、すでに境界内に存在するエンティティーに暗黙の信頼が与えられ、場所のみに基づいてアクセスが許可されます。
ゼロトラスト アーキテクチャーは、暗黙の信頼を否定し、代わりにすべての通信を潜在的なリスクとして扱います。システムやデータにアクセスする際、各エンティティーをコンテキストに基づいて検証し、新たなアクセス要求は都度再評価します。このアプローチにより、内部脅威、資格情報の悪用、ラテラル ムーブメントのリスクを最小化します。
ゼロトラスト アーキテクチャーは、以下の要素を組み合わせることでこれを実現します。
- アイデンティティーの検証:アクセスを要求する各エンティティーは、多要素認証(MFA)を受ける必要があります。これにより、場所やデバイスに基づく信頼を前提とした方法に比べ、アイデンティティーの悪用リスクを大幅に軽減します。
- 最小特権アクセス:許可されたエンティティーは、特定の業務に必要なものだけにアクセスできます。これにより、機密性の高いシステムに対するリスクを最小化し、悪意によるものか偶発的なものかによらず、内部脅威の可能性を抑制します。
- マイクロセグメンテーション:システムとデータは、それぞれが固有のセキュリティ ポリシーを持つ分離されたゾーンに存在します。たとえば、顧客の個人データを日常的なIT資産から分離することで、ラテラル ムーブメントや潜在的な侵害の影響範囲を制限します。
- 継続的な監視:脅威は常に進化しているため、セキュリティも進化し続ける必要があります。ゼロトラストでは、アクティビティーを継続的に監視し、必要に応じて保護手段を調整できます。従来の静的なネットワーク セキュリティのような制約は存在しません。
これらの原則によって、複雑化する現代の規制環境の要件を満たすためのアーキテクチャーが形成されます。
コンプライアンス:主な要件と課題
規制フレームワークによって正確な要件は異なるものの、その目標は大部分で共通しています。大まかに言えば、各規制の要件は、個人の機密データとその権利を保護し、データ侵害や悪用を防止し、信頼と説明責任を促進することを目的としています。コンプライアンス違反は、信用の失墜、収益の低下、罰金など、多額の潜在的損失につながるため、多くの組織にとって許容できるものではありません。データ侵害による損失は、さらに大きなものになる可能性があります。
ただし、コンプライアンスには課題が伴います。新しいテクノロジーや脅威、地政学的な懸念などに対応するために、ルールは常に変化しています。複数の地域や業界で活動する組織は、重複または相反する複数のフレームワークの対象となることもあります。たとえば、GDPRではEU市民のデータの越境移転に関して契約などの保護手段が求められる一方、PIPLでは中国国民のデータの国外移転に関して政府の承認が必要となります。
こうしたさまざまなガイドラインによって、組織は現地のインフラや地域固有のガバナンスに合わせた調整を求められる場合があります。さらに、同意の収集、監査証跡の維持、侵害への対応、サードパーティーのリスク管理も必要となるため、そのプロセスはいっそう複雑なものになります。
ゼロトラスト アーキテクチャーがコンプライアンス要件の順守を支援する仕組み
ゼロトラストはコンプライアンスと密接に関係しており、厳格な規制に則したITポリシーの確立と新たなルールへの適応を支援します。ここで、ゼロトラストの基本原則を改めて振り返り、世界中のフレームワークに見られる制御とどのように重なり合っているかを見てみましょう。
アーデンティティ―の検証では、データ プライバシー規制で要求される厳格なアクセス制御を適用します。MFAなどのツールは、ログインのたびにユーザーとデバイスを検証することで、資格情報の窃取や機密データへの不正アクセスのリスクを軽減します。また、アイデンティティー ソリューションは正確なアクセス ログを生成するため、監査や調査に役立ちます。
最小特権アクセスは、個人データや保護対象のデータを厳格に処理するための法的要件に準拠しています。自動化されたロールベースのアクセス制御(RBAC)により、ユーザーがアクセスできる範囲を各自の業務に必要なデータのみに制限して、エクスポージャーを限定し、リスクを軽減できます。データ取り扱い時の誤用や権限の乱用を防ぎ、コンプライアンスの証明と監査を円滑化します。
マイクロセグメンテーションは、全体的な侵害リスクを軽減し、侵害の潜在的な影響範囲を制限します。役割に基づいてアクセスを制限し、高リスク領域には暗号化などの保護手段を適用することで、機密性の高いシステムを保護します。攻撃者がネットワークを侵害した場合、セグメンテーションによってラテラル ムーブメントを防止し、侵害の封じ込めと対応に関する要件を満たします。
継続的な監視により、リスクや脆弱性を能動的に管理し、きめ細かな可視性を提供します。ツールは、外部資産をスキャンし、設定ミスや資格情報の露出などの欠陥がないかを確認することで侵害を防止します。リスク評価によって脅威に優先順位を付け、影響の大きい問題に集中できるようにすると同時に、監視システムによって不審なアクティビティーを早期に検出します。
ゼロトラストがGDPR、HIPAA、CPRAなどの主要コンプライアンス フレームワークに適合する仕組み
さまざまな法規制にわたるコンプライアンスの確保は複雑になる場合がありますが、幸いなことに、多くのフレームワークの基本要件はゼロトラスト アーキテクチャーによって簡単に満たすことができます。ここでは、世界の主要な規制への対応においてゼロトラストがどのように役立つかを紹介します。以下の各項目を展開して詳細をご確認ください。
CPRAは、データのプライバシーと透明性のある使用に関するカリフォルニア州居住者の権利に焦点を当てています。ゼロトラスト アーキテクチャーは、厳格なアクセス制御の確保、データ使用の追跡、潜在的な侵害の隔離を通じてユーザーの権利を保護し、この規制の順守を支援します。
CMMCは、政府の機密データを扱う米国国防総省(DoD)の請負業者向けのセキュリティ標準を定めるものです。ゼロトラスト アーキテクチャーは、厳格なアクセス制御、継続的な監視、データの暗号化、侵害の封じ込めを確保することで、管理された非機密情報(CUI)を保護します。
インドのDPDP法は、同意に基づくデータ使用と個人データのリスク最小化に焦点を当てています。ゼロトラスト アーキテクチャーは、厳格なアクセス制御の適用、機密データの暗号化、アクセスの監視によって透明性とセキュリティを確保し、コンプライアンスを支援します。
詳細:Decoding the DPDP Act: What’s Required and How DSPM Simplifies Compliance
FedRAMPは、米国連邦機関が使用するクラウド サービスのデータ保護、リスク管理、継続的な監視の標準を規定しています。ゼロトラスト アーキテクチャーは、きめ細かなアクセス制御、クラウド データの暗号化、リアルタイムの脅威検出、きめ細かなマイクロセグメンテーションを提供することで準拠を支援します。
EUの代表的な法律であり、EU市民の個人データを非公開かつ安全に保つことに重点を置いています。ゼロトラスト アーキテクチャーは、厳格なアクセス制御、常時の監視、暗号化を通じて、許可されていないエンティティーから機密性の高い個人データへのアクセスを防止し、この法律の要件に対応します。
HIPAAは、米国における患者の健康情報(PHI)の安全な取り扱いを規定するもので、患者が米国外に居住している場合も対象としています。ゼロトラスト アーキテクチャーは、通信の暗号化、アクセスの監視、電子カルテの厳格な監視によってこの規制の順守を支援します。
NIST CSFは、全体的なサイバー リスク管理フレームワークを提供するものであり、米国連邦政府機関では準拠が義務付けられています。ゼロトラスト アーキテクチャーは、アクセス制御、継続的な監視、マイクロセグメンテーションなどのツールを日常のセキュリティ運用に組み込むことで、これを補完します。
PCI DSSは、世界中の取引で使用されるカード会員データのセキュリティに関する規制を定めたものです。ゼロトラスト アーキテクチャーは、MFAの適用、決済データの暗号化、脅威の継続的な監視、決済システムの分離により、データの露出と侵害の影響を軽減することで、この規制の順守を支援します。
PIPLは、特に国際的なデータ移転にあたってデータのセグメンテーションと暗号化を求めるものです。ゼロトラスト アーキテクチャーは、高度なマイクロセグメンテーションと安全な処理プロセスを通じてその順守を支援し、国境を越える運用上のリスクを軽減します。
SOC 2は、テクノロジー サービス プロバイダーに対して、顧客データの安全性、可用性、機密性の確保を求めるものです。ゼロトラスト アーキテクチャーは、詳細なアクティビティー監査、最小特権アクセスの適用、リアルタイムの脅威検出の展開を通じて順守を支援します。
Regulation S-PやSCIなどのSEC規則は、米国の金融機関に対して、投資家データの保護とシステムの完全性の確保を求めています。ゼロトラスト アーキテクチャーは、可視化、エンドポイントのセキュリティ、継続的な監視を促進することで、機密性の高い金融データを保護し、不正行為を防止します。
詳細:What Are the SEC’s New Rules for Cybersecurity Disclosures?
コンプライアンスにとどまらないゼロトラストのメリット
ゼロトラストは規制要件の準拠に役立つだけでなく、以下を通じて長期的な成功を支援します。
- 運用の改善:セグメンテーションと継続的な監視を通じて脆弱性を軽減することで、迅速かつ予防的な侵害検出とリスク管理を促進します。
- 評判の向上:ゼロトラストは、プライバシーが最優先事項であることを顧客に示し、信頼を築き、代理店やブランドに対する世間の評価を向上させます。
- コストの削減:データ侵害の防止、ダウンタイムの最小化、罰金やその他の制裁の回避により、コストを節約し、収益を保護します。
コンプライアンスとゼロトラストの未来
AI、データ共有、分析が進化するなか、新規の規制や改訂によって新たなリスクに焦点が当たるようになります。GDPRやCPRAなどのフレームワークにより、AIを活用した意思決定と越境データの取り扱いに関するルールが厳格化されることが予想されます。
ゼロトラスト アーキテクチャーは、これらの変化に対応する柔軟性を提供します。AIを活用した脅威検出や自動コンプライアンス追跡などのツールにより、適応が容易になり、新たな要件に対応する形でセキュリティを確保できます。ゼロトラストをすでに組み込んでいる組織は、将来の課題に対応する態勢を整え、コンプライアンスを義務から強みに変えることができます。
Zscalerのソリューション
Zscalerのゼロトラスト アーキテクチャーは、運用のあらゆるレイヤーにセキュリティを組み込み、組織が世界標準に簡単に対応できるよう支援します。ISO 27001、SOC 2、FedRAMPなどのフレームワークと連携したZscalerのソリューションは、機密データを強力に保護します。
Zscalerプラットフォームは、独自のプロキシベースのゼロトラスト アプローチを通じて、機密情報のシームレスで安全な交換を可能にし、以下を実現します。
- 機密性の高いシステムの露出の軽減
- リアルタイムの脅威検出
- 潜在的な侵害の分離
- 進化する要件への適応
Zscalerは、複雑さを最小化しながら運用を保護できるよう世界中の組織を支援します。投資家データの保護や機密情報の取り扱いのいずれにおいても、Zscalerは信頼を育み、運用の回復力を強化し、リスクを軽減しながら、コンプライアンスを確保します。
