一部の組織でゼロトラストとセグメンテーションが失敗している理由

アプリケーションは現代のあらゆる企業の中心にあります。それらは革新的な顧客体験の創出を促進し、従業員の生産性をサポートします。しかし、アプリ間のトラフィックが増加し、環境がより分散されるにつれて、可視性、制御、セキュリティは低下しています。これが、セグメンテーションベースのゼロトラストアプローチが作られた新しい現実です。しかし、すべてのセグメンテーションが同じように作られているわけではありません。

アナリストの企業戦略グループ（ESG）による新しいレポート 企業のITセキュリティリーダーに重要な教訓を提供します。肝心なのは、これらのツールはワークロードレベルに焦点を当てるべきであり、従来のネットワークベースのセグメンテーションの制限を回避するために、セグメンテーションをネットワークインフラストラクチャから切り離す必要があるということです。

なぜゼロトラストなのか？

それから10年が経ちました マーク・アンドリーセンの有名な論説 「ソフトウェアは世界を食べている」と主張した。今日、多くのクラウドベースのアプリケーションが一般的な組織を支え、従業員のコラボレーション、顧客ロイヤルティ、利益を促進しています。ESG によると、現在 88% の組織が少なくとも 100 のビジネスアプリをサポートしています。しかし、クラウドプラットフォームはこれらの企業が独自のソフトウェアを開発するのに役立ちましたが、複雑さと潜在的なサイバーリスクももたらしています。

従来のセキュリティツールは、南北交通、つまり境界での保護に重点を置いていました。一方、アプリケーション間、つまり東西のトラフィック量が急増し、保護に危険なギャップが生じています。これがゼロトラストの出番です。

ゼロトラストは基本的に「決して信用せず、常に検証する」という原則に基づいています。基本的かつ根底にある前提が 2 つあります。ネットワーク侵害はすでに発生しており、ユーザー、リソース、デバイスは盲目的に信頼されるべきではないということです。その代わり、ユーザーは継続的に認証され、リソースへのアクセスは以下によって制限されるべきです。 最小権限の原則。ゼロトラストが意図したとおりに機能すれば、今日のアプリとクラウド中心の時代に適した、非常に効果的で適応性の高いサイバーセキュリティの基盤となります。

しかし、 ESGの調査でも明らかになっているように、多くのITおよびセキュリティリーダーは、ゼロトラストは組織的および技術的な観点の両方から導入するには費用がかかり、複雑であると誤って考えています。こうした否定的な認識の多くは、市場の混乱とベンダーのあいまいなメッセージに端を発していますが、そこには真実の核心が含まれています。ESGの世論調査では、過去にゼロトラストプロジェクトを一時停止または中止せざるを得なかった人の半数が、原因として「組織上の問題」を挙げています。

真のセグメンテーションへの道

ESGがさらに説明しているように、セグメンテーションはゼロトラストプロジェクトの「基本要素」でなければなりません。なぜなら、ゼロトラストは基本的に、ネットワーク化されたエンティティを分離して、ポリシーが許す場合にのみ他者と通信できるようにすることだからです。

問題は、すべてのセグメンテーションアプローチが今日の組織が必要とする属性を提供するわけではないということです。たとえば、アクセス制御リスト (ACL) や VLAN などの静的な方法では、通常、クラウドベースの環境に必要なスケーラビリティが欠けています。ネットワークデバイス上に存在する何千もの ACL ルールをプログラミング、管理するユーザーフレンドリーな方法を提供していません。また、ネットワークの再構築が必要になることもあり、これは大掛かりな作業になる可能性があります。

ESGによると、肝心なのは、組織はネットワークからセグメンテーションを抽象化し、ワークロードレベルに焦点を当てたソリューションを選択する必要があるということです。その理由は?そうすることで、こうした従来の課題を克服し、保護する環境と同じくらい動的でスケーラブルなセグメンテーションを実現できるからです。

ESGレポートの全文を読むことができます ここに。

この2部構成の第2部では、組織がセグメンテーションプロバイダーに求めている5つの主要な属性と、イルミオが提供するサービスの違いについて見ていきます。