Zpedia 

/ ゼロトラスト データ セキュリティと従来のデータ セキュリティの比較

ゼロトラスト データ セキュリティと従来のデータ セキュリティの比較

リモート ワーク、モバイル デバイス、AI、クラウドの普及に伴い、機密データの保護はいっそう難しくなっています。従来のデータ セキュリティ モデルは、ネットワーク境界の保護を目的に構築されており、現代のデータ環境の複雑さと規模に対応できません。ゼロトラスト データ セキュリティは、デフォルトでは一切のエンティティーを信頼せず、あらゆる場所のデータに対するアクセスを継続的に検証する新たなアプローチを提供します。

データ セキュリティに関するリソースを確認する
ゼロトラストデータ セキュリティ
  1. 要旨
  2. データ セキュリティとは
  3. ゼロトラスト データ セキュリティとは
  4. 従来型とゼロトラストの比較
  5. ゼロトラスト データ保護のユース ケース
  6. ビジネスへの影響
  7. Zscalerのソリューション
  8. よくある質問
  9. 関連するトピック

データ セキュリティとは

データ セキュリティとは、機密データを不正アクセス、悪用、または侵害から保護することです。現代のデジタル主導の環境において事業運営を保護し、顧客の信頼を維持しながら、コンプライアンスを確保するためには、強力なデータ セキュリティが不可欠です。

このトピックに関する記事全文を読む

従来のデータ セキュリティ モデルでは不十分な理由
従来のデータ セキュリティは、境界ベースの防御、広範なアクセス制御、システムレベルの暗黙の信頼など、古い前提や手法を用いています。これらのアプローチは、ほとんどのデータとユーザーが物理的に1か所に存在した時代には機能していたものの、現代の複雑な分散環境では機密データを危険にさらすことになります。

ゼロトラスト データ セキュリティとは

ゼロトラスト データ セキュリティの基盤となるのは、「決して信頼せず、常に検証する」というシンプルな前提です。ゼロトラスト モデルにおいて、ユーザー、デバイス、アプリ、トランザクションなどのすべてのエンティティーは、認証されるまで潜在的な脅威として扱われます。

このトピックに関する記事全文を読む

ゼロトラストがデータ セキュリティを強化する仕組み
ゼロトラストは、ネットワーク境界を防御するのではなくデータそのものを保護します。データがデバイスやクラウド ストレージ バケットに存在する場合も、エンドポイント間で転送中の場合も同様で、あらゆる段階でデータを検査することで一貫した保護を確保します。

従来のデータ セキュリティとゼロトラスト データ セキュリティの比較

従来のデータ セキュリティ

ゼロトラスト データ セキュリティ

機密データへのアクセス

広範なアクセス

ユーザーやアプリケーションは、必要な範囲を超えてシステム間でデータに無制限にアクセスできます。これは徐々に過剰な露出につながり、内部脅威、資格情報の窃取、ラテラル ムーブメント、データ流出のリスクを高めます。

最小特権アクセス

最小特権アクセスにより、ユーザーは必要なときに必要なものにだけアクセスでき、それ以上のアクセスは許可されません。ロールベースの権限により、機密データの露出を軽減し、悪用や偶発的な漏洩の経路を遮断します。

セキュリティ アプローチ

受動的かつ静的

静的なルールは、アクセス制御が適用されている限りデータは安全であると想定します。しかし、このアプローチでは悪用や傍受などの進化するリスクに対応できず、保存データも転送中データも、ネットワーク境界の内外に対して脆弱な状態になります。

能動的かつ動的

ユーザーのアイデンティティー、振る舞い、デバイス ポスチャーに基づいてアクセスを継続的に検証することで、保存データと転送中データを保護します。このアプローチは境界を越えて拡張し、クラウド、エンドポイント、ハイブリッド環境など、保存場所や転送先に関わらず機密データを保護します。

データの使用状況の可視化

限定的な可視性

各エンティティーがどのように機密データにアクセスし、共有しているかについて、完全な可視性を得られない場合、不正アクセスや悪用に関する死角が生じます。こうした脅威が検出されない期間が長くなるほど、侵害やデータ漏洩を防ぐことは難しくなります。

詳細な可視性

データのやり取りを継続的に監視、記録し、高度な分析を組み合わせることで、異常なデータ アクセス パターンにフラグを立てます。これにより、通常とは異なる時間帯での大規模なダウンロードなど、侵害の兆候を示す不審なアクティビティーを早期に検出できるようになります。

暗号化されたトラフィックの検査

限定的な検査

暗号化(TLS/SSLなど)は、システムやアプリケーション間で転送されるデータの内容を秘匿化します。一方、暗号化を悪用して攻撃を隠すことも可能です。従来のデータ セキュリティ ツールでは、暗号化されたトラフィックを大規模に検査することは困難であり、脅威を隠すことのできる死角が生まれます。

リアルタイムの分析

最も効果的なゼロトラスト アーキテクチャーは、暗号化されたトラフィックを大規模かつリアルタイムで検査し、攻撃者による死角の悪用を防ぎます。高度な検査ツールは、クラウド、エンドポイント、ネットワーク チャネルとシームレスに統合し、脅威を監視します。

信頼モデル

境界内の暗黙の信頼

従来のモデルでは、認証された従業員やサードパーティー ユーザーは機密データを適切に扱うことを前提にしています。しかし、悪意によるものか偶発的なものかによらず、内部脅威はデータ侵害の主要な原因の一つとなっています。

デフォルトでは何も信頼しない

ユーザーの行動や意図に基づいてアクセスを継続的に検証、制限することで、内部脅威の影響範囲を最小化できます。大量のデータのダウンロードを試みるなどの不審な行為があった場合、アラートの発動やアクセスの取り消しが自動的に行われます。

関連コンテンツ

Why Modern Data Protection Demands a Shift from On-Premises Solutions
ブログを読む(英語)
Top 10 Data Protection Best Practices for Your Data Program
ブログを読む(英語)

ゼロトラスト データ保護の主なユース ケース

1. データ アクセスの制御

問題:従来のシステムでは、ユーザーがログインした後に広範なアクセスを許可するために、パスワードなどの静的な資格情報を利用します。これらの資格情報は盗まれやすく、また過剰な権限は機密データの悪用や漏洩のリスクにつながります。

解決策:ゼロトラストは最小特権アクセスを適用し、ユーザーに必要な特定のデータのみへのアクセスを許可します。権限は制限され、動的に更新され、すべてのアクセス要求は発生時に検証されます。多要素認証(MFA)とアイデンティティーベースの制御により、盗まれた資格情報の悪用を阻止し、全体的なリスクを軽減します。

2. データの露出の管理

問題:従来のシステムはネットワーク防御に重点を置いている一方で、多くの場合、ネットワーク内のデータは保護できません。データの共有方法を監視や制限するツールが不足しているため、機密データが誤って公開されたり、攻撃者に悪用されたりする可能性があります。

解決策:ゼロトラスト アーキテクチャーは転送中データを暗号化するため、許可されていないユーザーがデータを読み取ることや使用することはできません。また、ネットワーク内の可視性を制限するためにマイクロセグメンテーションも適用します。アプリやデバイスでの統合された制御により、クラウド アプリやメール添付ファイルでもデータ共有のリスクを軽減します。AIツールは機密データを特定し、露出リスクが発生した際にフラグを立てることができます。

3. ラテラル ムーブメントの防止

問題:従来のセキュリティ対策では、ネットワークへの侵入に成功した攻撃者は、多くの場合システム間を自由に移動することが可能です。不十分なセグメンテーションや検出のギャップにより、システム間を移動して価値の高いデータを発見し、悪用することが可能になります。

解決策:ゼロトラストはシステムをセグメント化し、すべてのステップで検証することで、ラテラル ムーブメントを防止します。ユーザーは自分の権限範囲外のシステムにアクセスできないため、たとえハッカーが1つのアカウントやシステムに侵入しても、他へのアクセスはブロックされます。マイクロセグメンテーションで攻撃の影響範囲を制限すると同時に、継続的な監視を通じて異常な振る舞いにフラグを立て、脅威が深刻化する前に阻止します。

4. 二重脅迫型ランサムウェアの阻止

問題:従来のツールはネットワークからランサムウェアを排除することを目的としていますが、多くの場合、これでは実際に攻撃が発生した際にデータを保護できません。データを暗号化して脅迫する基本的な戦略を発展させ、二重脅迫型ランサムウェアはファイルを暗号化し、さらにはデータを持ち出して、追加の脅迫材料として使用します。

解決策:ゼロトラストは、アクセス ポイントと機密データの両方を保護します。暗号化により、盗まれたデータは攻撃者にとって無価値になります。マイクロセグメンテーションと強力なアクセス制御により、ランサムウェアの拡散や価値の高い資産の暗号化を制限します。AIを活用した監視により、ランサムウェアの挙動を早期に特定し、被害が拡大する前に迅速に阻止します。

ゼロトラスト データ セキュリティがビジネスにもたらす効果

ゼロトラスト データ セキュリティは、リスクの軽減以外にも大きなメリットをもたらします。ゼロトラストは現代の事業運営を変革し、以下のようなことを実現します。

コンプライアンスの改善
ゼロトラストは、あらゆる環境における機密データを保護し、継続的な監視を提供することで、GDPR、HIPAA、CCPAなどの規制の順守を支援します。きめ細かなアクセス制御と監査証跡により、コンプライアンス要件を満たすことが容易になります。

コストの削減
ゼロトラストは、脅威が深刻化する前に阻止することで、大きな損失をもたらすデータ侵害やランサムウェア攻撃などのインシデントを防止します。合理化されたアプローチによって複数のセキュリティ ツールをリプレースし、時間とコストを節約します。

効率性の向上
ゼロトラストは、脅威への対応やアクセス検証などのプロセスを自動化することで、管理負荷を軽減し、効率性を向上させます。統合されたポリシーにより、セキュリティ管理を簡素化し、デバイスや環境全体でシームレスな保護を提供します。

ハイブリッド ワークとリモート ワークの保護
ゼロトラストは、暗号化されたトラフィックの検査、動的な権限管理、エンドポイント全体での一貫した保護の適用によってあらゆる場所の機密データを保護し、リモート ワークやBYODポリシーを展開するうえで理想的なアプローチを提供します。

顧客の信頼強化
ゼロトラストを採用する組織は、機密データの保護、顧客の信頼とロイヤルティーの強化への取り組みを示すことができます。この予防的なアプローチは、データ主導の業界における競争力の強化にもつながります。

Zscalerのソリューション

Zscaler Data Securityプラットフォームは、あらゆるチャネルにおけるすべてのデータに対して、統合されたクラウド ネイティブの保護を提供します。世界最大のセキュリティ プラットフォームであるZscaler Zero Trust Exchange™の一部として、グローバルな可視性を拡張し、死角を排除します。

  • AIを活用した検出:デバイス、SaaSアプリケーション、クラウド環境の機密データを自動的に検出、分類します。
  • 完全なTLS/SSLインスペクション:TLS/SSLで暗号化されたトラフィックを大規模に100%検査し、ユーザー エクスペリエンスを損なうことなく隠れたリスクを明らかにします。
  • インラインの情報漏洩防止:Web、メール、BYOD、生成AIアプリ向けのインラインDLP、およびネイティブに近いブラウザー分離を提供します。
  • 統一されたセキュリティ ポリシー:保存データ、使用中データ、転送中データを保護するための一元的なポリシーにより、断片的なツールを排除します。

よくある質問

ゼロトラストは、不正アクセス、偶発的な露出、ラテラル ムーブメント、ランサムウェアの脅威をはじめとする現代のデータ セキュリティ上の問題を解決します。また、アプリ、クラウド、デバイス全体でセキュリティ ポリシーを統合することで、コンプライアンス対応も簡素化します。静的な信頼ではなく継続的な検証に重点を置くことで、分散環境やクラウド中心の環境におけるリスクを排除します。

従来のデータ セキュリティは境界ベースの保護に依存しており、ネットワーク内のユーザーやシステムにリソースへの広範なアクセスを許可します。ゼロトラストはより厳格なアプローチを採用しており、アクセスを継続的に検証し、特定のタスクに必要なデータのみに制限します。データの保存場所や転送先を問わず、データを直接保護することに重点を置き、侵害のリスクを軽減します。

ゼロトラストは、最小特権ポリシーによるアクセス制限、不正なデータ共有の阻止、脅威のラテラル ムーブメントの防止、ランサムウェアのリスク軽減により、データ保護を強化します。コンプライアンスを簡素化し、暗号化されたトラフィックの可視化を可能にします。この保護はクラウド アプリ、エンドポイント、リモート ワークにまで及び、あらゆる場所で機密データの安全を確保します。