ゼロ トラストは、今日のテクノロジ業界で最も注目されている用語の1つです。これは、当社の2022年版アプリケーション戦略の状況の調査で注目を集めているテクノロジの3つ目に指定され、組織スタックの上下でかなりのマインドシェアを獲得しています。
見落とされている真実の1つに、ゼロ トラストは、実際にはマインドセットであり、テクノロジやソリューションではないということが挙げられます。私が以下のようなゼロ トラストに関する当社の中核的な信念に繰り返し触れるのはそのためです。
そのため、セキュリティ ルール ゼロを再考することが重要です。
「ルール ゼロ」の概念をよく知らない方のために言うと、これはルールが非常に重要な役割を果たすロール プレイング ゲームに由来します。ルールによって、インタラクションの順序、サイコロを振った結果の解釈、および許可される動作と許可されない動作が決定されます。現実の世界も同様です。しかし、ロール プレイング ゲームではルール ゼロがあり、その他のすべてのルールに優先します。つまり「GMがゲームでのすべての最終決定者です。」これは本質的に、GMがいつでもルールを変更、追加、削除できることを意味します。実際、GMは多くの場合、これを行います。
一部の方は驚くかもしれませんが、セキュリティにルール ゼロがあることは、次のことを意味します。
「ユーザー入力を絶対に信頼するべからず」
これは新しいルールではなく、以前にも何度となく注目されてきました。これがセキュリティのベスト プラクティスの中核をなすものであることを伝えるために、ルール ゼロについて私も何度も記事を書いてきました。このルールに従わないと、広範に及ぶ危険な悪用に発展する可能性のある脆弱性につながります。
セキュリティ ルール ゼロは、今日もなお有意義であるだけでなく、おそらくこれまで以上に大きな意味を持つと言えるでしょう。APIの拡散とデジタル サービスの急増に伴い、ボット、スクリプト、攻撃者もこれまで以上に増えています。クレデンシャル スタッフィングは、今でも最もよく使われる攻撃手口で、セキュリティ ルール ゼロに準拠していないデジタル サービスやAPIの悪用に関するニュースは後を絶ちません。
ユーザー入力を信頼することは、ゼロ トラストの概念そのものにとって受け入れがたいことです。ユーザー入力は、ユーザーが人間、ソフトウェア、システムのいずれであっても、検査なしで安全に処理できると見なすべきではありません。これは断言できます。
ゼロ トラストの中核となる原則の1つである信念は、セキュリティ侵害を想定することです。セキュリティ侵害は、マルウェアの存在、または攻撃者によって制御されていることを意味する可能性があります。これはシステムの状態です。その結果は、そのシステムから発信されるデータ(メッセージ)には悪意がある可能性があるということです。
そのため、ユーザーからの入力は絶対に信頼してはなりません。
前述のように、この基本的なルールは、広範な攻撃の検出と無効化に使用できる戦術(検査)およびテクノロジ(WAAP、WAF、NGF)につながります。
セキュリティ ルール ゼロは、ゼロ トラストの中核的なコンポーネントです。これを採用することで、より効果的な戦術とセキュリティの強化がもたらされます。
セキュリティ確保のためにぜひご検討ください。