ブログ | CTO オフィス

ゼロ トラストの採用がボット保護と Web および API セキュリティにつながる 3 つの理由

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2022年10月12日公開


今日、ゼロ トラストは誰もが取り入れたいと願う新しいホットなトレンドです。 これは、当社の「アプリケーション戦略の現状 2022」レポートで特定された「最もエキサイティングな」トレンドのトップ 3 の 1 つであり、過去 12 か月間の Google トレンドでは一貫して高い関心を集めています。

その結果、ゼロ トラストは、「シフト レフト」が導入されて以来、最も話題になり、最も誤解されているセキュリティ アプローチの 1 つとなっています。 多くの場合、ゼロ トラストは、ソフトウェア定義境界 (SDP) などの特定のテクノロジーや、ID およびアクセス管理 (IDAM) などの市場セグメントと同一視されます。

これは本当に驚くべきことではありません。 クラウド コンピューティングが導入されたときも、特定のテクノロジーや製品を「最新のトレンド」と同一視しようとする同様の動きが見られました。 クラウドウォッシングは定期的に行われていたもので、新製品の実際の「曇り具合」に対する軽蔑的な意見としてよく使われていました。

したがって、ゼロ トラストの定義から始める必要があります。 私は、このトピックに関する素晴らしいガイドをすでに出版している同僚の Ken Arora と Mudit Tyagi の言葉を引用して、それを実行します。

「ゼロトラスト セキュリティは、本質的には考え方、つまり信念体系であり、そこからテクニックや戦術が生まれ、特定のテクノロジーを活用し、幅広いセキュリティ脅威に対処するために適用できると私たちは考えています。」

これは重要なポイントなので、もう一度繰り返しますが、ゼロ トラスト セキュリティは、本質的には考え方です。

その考え方には一連の仮定が含まれており、テクノロジーの使用はそれらの仮定の結果です

つまり、SDP や API セキュリティなどのテクノロジーを実装しても、ゼロ トラストを採用したわけではありません。 導入した単一の製品が突然「ゼロ トラスト準拠」となり、攻撃、侵害、または悪用から免れることを意味するわけではありません。

真実なのは、SDP と API セキュリティが、ゼロ トラスト アプローチを採用するための適切な戦術的対応である可能性があるということです。 しかし、そこに到達するには、まずいくつかの中核となる仮定から始めて、そこから論理的に導き出される最適なツールとテクノロジーを決定する必要があります。

これを詳しく説明するために、タイトルにあるように、ボット保護と Web および API セキュリティが「ゼロ トラスト」ツールボックスの一部であるという結論に導くいくつかの例を見てみましょう。

  1. ゼロ トラスト アプローチでは妥協が前提となります。 実際には、許可されたアクセス権を持つ正当なユーザーが侵害を受ける可能性があり、その結果、意図しない、そして非常にコストのかかる脅威となります。 攻撃者は、通常、正面玄関(企業ネットワーク)よりも窓(ユーザー)から侵入する方が簡単であることを理解しています。 ユーザーは常に侵害される脅威にさらされているため、すでに侵害されていると想定するのが最も安全な方法です。 侵害された企業のラップトップや携帯電話から実行できる可能性のあるアクションの範囲は多岐にわたり、悪質なウェア (マルウェア、ランサムウェア、その他あらゆる次世代ウェアを含む) の共有を試みる Web サイトやアプリへの攻撃や、脆弱性を悪用してアクセスを取得する攻撃も含まれます。 API により、モバイル アプリや Web ベースのアプリが企業のアプリやシステムにアクセスする「方法」が増えているため、正当な認証済みユーザーからのコンテンツであっても検査して悪意のあるコンテンツかどうかを判断することが重要になります。 そのため、このリスクに対する保護を実装するには、Web および API セキュリティが論理的な選択となります。

  2. ゼロトラスト このアプローチでは、資格情報だけでは不十分であると想定しています。 ユーザーが人間、マシン、ソフトウェアのいずれであっても、ゼロ トラスト アプローチでは、正当な資格情報が提示されたとしても、実際のユーザーは正当ではない可能性があると想定されます。 結局のところ、クレデンシャル スタッフィングは、正当ではあるが盗まれたクレデンシャルを悪用する継続的な懸念事項です。 平均して毎日 100 万件のユーザー名とパスワードが漏洩または盗難されていると報告されていることはよく知られています。 F5 の分析によると、侵害された認証情報リストの 0.5%~2% が、標的の Web サイトまたはモバイル アプリで有効であると結論付けられています。したがって、ゼロ トラスト アプローチでは、認証情報だけでなく、ユーザーの ID そのものを検証する手順を踏む必要があります。 これには、正当なユーザーを装ったボットの発見も含まれます。 戦術的には、ボット保護(ボット検出とも呼ばれる)がゼロ トラスト アプローチで重要な役割を果たすことになります。

  3. ゼロ トラスト アプローチでは、変化は一定であると想定します。 ゼロ トラストは、ユーザーが検証され、リソースへのアクセスが承認されるとリスクはなくなるという前提を否定します。 すべてのトランザクションはリスクがあると見なされ、そのトランザクションが運ぶコンテンツとそれを送信するユーザーに応じて評価されます。 セッションハイジャックは実際の攻撃方法である、 結局。 常に警戒することがゼロ トラストのモットーです (そうあるべきです)。つまり、常に悪意のあるコンテンツに注意を払うことを意味します。 これにより、Web および API セキュリティとボット検出がゼロ トラスト アプローチの重要な要素になります。

現在、このアプローチは、SDP や ID およびアクセス制御、ネットワーク ファイアウォールや CASB などの他のツールやテクノロジー、およびそれらの前提から自然に生じる既知のリスクを軽減する他の多数のソリューションにもつながっています。 しかし、そのうちの 1 つだけを実装して、ゼロ トラスト イニシアチブが完了したと見なすことはできません。 それは、医者に行く代わりに、骨折した足を治療するためにタイレノールを飲むようなものです。 はい、痛みを和らげる効果はありますが、問題の残りの部分を実際に解決する効果はありません。

軽減につながる考え方の転換としてゼロ トラストを採用することは完璧ではありません (完璧な方法などありません)。しかし、これにより、適応性が向上し、新たに出現する攻撃に迅速かつ確実に対処できるようになります。

気をつけてお過ごしください。

ゼロ トラスト アプローチによるセキュリティの最新化の詳細については、弊社の書籍『デジタル ビジネス向けエンタープライズ アーキテクチャ』の第 5 章をご覧ください。