ゼロ・トラスト、ウィンドウズ・アプリケーション・セキュリティ、そしてGO-Global

ゼロ・トラスト（Zero Trust）」という言葉は、2010年にForrester Researchのアナリスト、ジョン・キンダーヴァグ（John Kindervag）氏によって作られた造語で、ユーザー・アクセス制御とサイバーセキュリティ態勢に対する、当時一般的に行われていたものよりかなり厳格な新しいアプローチを表す。この言葉は、ロナルド・レーガンが大統領在任中に採用し、しばしば繰り返したロシアのことわざ「trust, but verify（信頼するが、検証せよ）」に由来する。

ゼロ・トラスト・セキュリティ・モデルは、ITシステムの戦略、設計、実装に対するアプローチである。このことわざのように、ゼロ・トラストの基本は、場所や過去の信頼関係に関係なく、ユーザーやデバイスをデフォルトで信頼すべきではないということです。

この用語が最初に使われたのは2010年だが、ゼロ・トラスト・コンピューティング・アーキテクチャが従来のサイバーセキュリティやユーザーアクセスの慣行よりも優勢になるには10年かかった。従来、ユーザーやデバイスがネットワークにアクセスすると、通常は大きな信頼が与えられ、広範なアクセス権限が与えられていた。

しかし、クラウド・コンピューティングの台頭、モバイル・デバイスの普及、ネットワーク・タイプの増加、そしてパンデミック時にユビキタス化した「どこからでも仕事ができる」ユーザー・シナリオにより、従来のアプローチは、今日の高度な脅威に対しては残念ながら不十分であることが判明した。

クラウドからどこにいる顧客にもアプリケーションを提供するWindows® ISVは、何年もこのシナリオで運用してきました。しかし、攻撃がより洗練され広まるにつれ、Windows ISVにとって、アプリケーション、顧客データ、アプリケーションデリバリーインフラストラクチャを保護することが非常に重要になってきています。ここGO-Globalでは、Windowsアプリケーションセキュリティのためのゼロトラストイニシアチブの一環としてGO-Global®を含むWindows ISVの著しい増加を目にしてきました。

ゼロ・トラスト・イニシアティブには何が含まれ、GO-Globalはどのように支援できるのか？

信頼ゼロの原則

かつて、境界のセキュリティは、包括的なITセキュリティ計画の焦点であった。しかし、ゼロ・トラストは、ITが戦略の一環として採用すべき5つの原則を明らかにしている。

表面を保護する：

すべてのユーザー、デバイス、アプリケーション、データ、サービス、および機密データが転送されるネットワークから構成される。パンデミックの影響により、現在ではユーザーが分散しているため、組織の保護対象は社内LANをはるかに超えて広がっている。

このカテゴリのサイバーセキュリティ・ツールには、ネットワーク・エッジを越えてアプリ、データ、デバイスに可能な限り接近し、セキュリティ・チームがセキュリティ保護が必要なアプリ、データ、デバイス、ユーザを特定し、優先順位を付けられるようにするものが含まれる。さらに、セキュリティ・アーキテクトは、最も適切なソリューションを実装するために、重要なリソースの場所と、誰がそれらにアクセスすべきかを理解する必要がある。

現在のサイバーセキュリティ管理

プロテクトサーフェスをマッピングした後、セキュリティチームとITチームは、すでに導入されているコントロールを特定する必要がある。それらは最適な場所に配置されているか。再展開、再利用、または交換する必要があるか。

アーキテクチャを近代化し、新しいサイバーセキュリティツールを活用する：

更新されたプロテクトサーフェスと現在のサイバーセキュリティツールのセットを特定した後、組織はギャップを埋めたり、古くなったツールを置き換えたりするために何を適用する必要があるのだろうか。

ゼロ・トラスト・モダナイゼーションの一環として使用されるツールの例としては、ネットワークのマイクロセグメンテーション、シングルサインオンや多要素認証を使用したアプリやデータのセキュアなアクセス制御などがある。新たな脅威を特定するために、AIがサポートする新しい高度な脅威防御ツールは、セキュリティ・ポリシーを保護サービス全体で必要な場所にプッシュすることができる。

詳細なゼロ・トラスト・ポリシーを適用する：

必要な技術を導入した後、セキュリティ管理者は、絶対に必要な場合にのみアクセスを許可する「最小特権」に基づく厳格な一連の基準を作成する必要がある。この最小特権ポリシーでは、どのユーザやデバイスがどのアプリケーションやサービスにアクセスするべきか、どのアプリケーションがどのデータにアクセスするべきか、そしてそのアクセスはいつ許可されるのかを正確に記述します。

これらのポリシーが構築された後、管理者は規定のポリシーに従うようにデバイスやツールを設定することができる。

継続的なモニタリングとアラート

ゼロ・トラスト・フレームワークを導入しても、完全に安全なものはない。ITセキュリティ・チームは、ポリシーが機能しているかどうか、既存のセキュリティの枠組みに亀裂が生じ、それが悪用される危険性がないかどうかを確認するために、モニタリングやアラート・ツールを採用しなければならない。

悪意のある活動が発生した場合、チームは直ちに活動を停止し、根本原因分析を実施して原因を特定し、脆弱性を生み出した欠陥を修正しなければならない。ネットワーク検知と対応のような最新のセキュリティ・ツールは、この活動の多くを自動化し、必要な時間と人的投資を削減することができる。

ゼロ・トラスト達成への課題

ゼロ・トラスト・セキュリティ・モデルは大きなROIをもたらす可能性がある一方で、完全な導入は難しい。Gartner®社によると、多くの組織がサイバーセキュリティ戦略の一環としてゼロトラスト・セキュリティ・モデルを導入しているものの、「ゼロトラストの定義を満たす成熟したプログラムを持っている組織は、現在わずか1%に過ぎない」という。

ガートナーが定義したゼロ・トラスト・アーキテクチャーの完全な実装を達成するための重要な課題には、以下のようなものがある：

• システム・アーキテクチャにわずかな欠陥があったとしても、ゼロ・トラスト・モデルは無効となる。
• ゼロトラストを実現する万能の製品は存在しない。むしろ、ゼロトラストを達成するために、各組織は自社のITインフラやアーキテクチャと連動するソリューションやプラクティスの組み合わせを決定する必要がある。
• レガシーな企業システムやテクノロジーに依存している組織は、時代遅れのインフラのためにゼロ・トラストモデルを適応できない。
• ゼロトラストを採用するには、監視すべきアプリケーション、ユーザー、デバイスを直ちに増やし、ソフトウェアとハードウェアの更新と保守を綿密に順守し、定期的に監査する必要がある。
• 上述したように、組織はゼロトラストを単に導入して「よし」とすることはできない。信頼ゼロを実施するためには、IT部門は上記の原則を循環させる継続的なプロセスモデルに従わなければならない。
• ゼロ・トラスト・モデルは、脅威、テクノロジー、ビジネス目標や慣行が時間とともにどのように変化するかに対応するために、継続的に進化しなければならない。モデルの変化の速さの一例として、米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）は、2021年8月に最初のゼロトラスト成熟度モデルの参考文書を発表し、2022年3月に改訂版を発表し、2023年4月に2回目の改訂版を発表している。

多くの組織にとって、Gartner社が定義するゼロ・トラスト・アーキテクチャーを完全に導入することは、そのために必要なコスト、労力、激変のために不可能に近い。例えば、ある企業組織は、ビジネス・クリティカルなレガシー・アプリケーション、システム、テクノロジーに依存してビジネスを運営しており、そのレガシーへの投資なしでは機能し続けることができないかもしれない。WindowsのISVは、SSOを有効にするために、そのアプリケーションをWebベースのアプリケーションとして書き直すことによって、Windowsアプリケーションのセキュリティを確保するための時間、帯域幅、または人員を持っていないかもしれません、またはWebアプリケーションに置き換えることによって、そのままのアプリケーションを愛し、依存している顧客を潜在的に疎外することを嫌がるかもしれません。

しかし、ゼロ・トラストモデルでかなりの割合のコンプライアンスを達成することは絶対に可能である。Go-Globalがお手伝いいたします。

GO-Globalはどのようにゼロ・トラスト・モデルをサポートしているか

Windows ISVはGO-Globalを活用することで、いくつかの分野でゼロ・トラストモデルに合わせることができる：

表面/ネットワークの保護

GO-グローバル・セッション・プロトコル：

GO-Globalの基盤となっているのは、RapidX Protocol (RXP)と呼ばれる、シリアル回線での接続のための独自の低帯域幅プロトコルです。RXPは適応性があり、多層圧縮を使用し、可能な限り低い帯域幅利用を確保するように最適化されている。RXPはクローズドソースであるため、セキュリティ上の弱点が発見され悪用されているMicrosoft® RDPのようなオープンソースのプロトコルに比べ、攻撃者に対する防御が強化されています。

クライアントセッションの暗号化：

デフォルトでは、GO-Globalはすべてのクライアントセッション接続に56ビットキー強度のDES（DataEncryption Standard）を使用してセッションを暗号化し、基本的なパケットスニッファーやクライアントが生のデータ通信を傍受することから保護します。これは高速で信頼性が高く、GO-Global経由のLANベースの接続に即時レベルのセキュリティを提供します。

インターネット通信のために、GO-Globalは128ビットRC4、168ビット3DES、256ビットAESの暗号化アルゴリズムでTLSベースのトランスポートを提供します。これらの高い暗号化アルゴリズムでは、管理者がホスト上に署名されたTLS証明書を適用する必要があります。管理者は、GO-Globalホストが公に登録されたDNSアドレスを持っている場合、管理コンソールのホストオプションダイアログのセキュリティタブを通してGO-Globalホストの信頼されたTLS証明書を生成することもできます。これにより、管理者はサードパーティの認証局から証明書を購入することなく、強力な暗号化とTLSセキュリティを有効にすることができます。

プロキシサーバー・トンネリング：

GO-GlobalはHTTPコネクトとしても知られるプロキシサーバートンネリングをサポートしています。これにより、ウェブプロキシサーバー経由でインターネットにアクセスするユーザーは、インターネット上のGO-Globalホストに接続することができます。プロキシサーバーを使用する場合、デフォルトではすべてのホストポートですべてのトラフィックが拒否されることに留意してください。

統合された Windows 認証：

管理者は、管理コンソールのホストオプションダイアログの認証タブで標準認証（ユーザー名とパスワードのプロンプト）を無効にし、統合Windows認証を有効にすることにより、GO-Globalエンドユーザーのネットワークセキュリティを強化することができます。この設定では、すべての非WindowsクライアントはGO-Globalホストへのアクセスを拒否されるため、GO-GlobalエンドユーザーはGO-Globalホストが信頼するActive DirectoryアカウントでWindowsクライアントOSにログオンする必要があります。さらに、GO-Globalホストにローカルなユーザーアカウントはアクセスを許可されません。ユーザーはNETWORKグループのメンバーとして認証され、GO-Globalホストからのネットワークリソースへのアクセスは制限されます。

サーフェス/ユーザーとデバイスのアクセスを保護する

前述したように、ゼロ・トラストは、内部および外部ネットワークが危険にさらされる可能性があり、いかなるユーザーやデバイスも自動的に信頼されるべきでないことを前提としている。ゼロ・トラストは、ユーザがITシステム、アプリケーション、データにログインし、利用するためには、ユーザとそのデバイスの検証、認証、認可が 適用されなければならないことを指示している。

ゼロ・トラスト・アーキテクチャーにおける各コンセプトの定義は以下の通り。

検証とは、クレームの正確さ、たとえばユーザーの身元を確認するプロセスである。ユーザーが名前とパスワードを入力すると、システムはそのユーザー名とパスワードが特定のアカウントに関連付けられていることを検証する。

認証とは、システムにアクセスする際に身元を証明することである。ゼロトラスト以前は、認証は通常、ユーザー名とパスワードのような基本的なものであった。ゼロ・トラストでは、認証はユーザー名とパスワードにとどまらず、多要素認証（MFA）、ワンタイムパスワード、PIN、スマートカード、バイオメトリクスを含む。

認可は、ユーザーのアクセス権、つまり、ユーザーやデバイスがシステム内でアクセスしたり、実行したりすることが許可されていること、例えば、ユーザーが開いて使用することが許可されているアプリケーションを決定する。

シングルサインオン（SSO）と多要素認証（MFA）技術は、ゼロトラストアーキテクチャでユーザーとデバイスのアクセスを可能にする場合に最も一般的に適用されます。GO-Globalはその両方を可能にします。

GO-Global二要素認証は、ユーザー名とパスワードに加えて、スマートフォン認証アプリ（Google Authenticator、Authy、Microsoft Authenticatorなど）から6桁のコードを入力するようユーザーに要求することで、セキュリティの追加レイヤーを提供する高度な認証機能です。これにより、ユーザーのパスワードが漏洩した場合でも、ユーザーのロック解除された携帯電話にアクセスしなければ、攻撃者はホスト・システムにアクセスできない。これにより、総当たりや辞書を使ったパスワード検索は役に立たなくなり、脆弱なリモート・デスクトップ・クライアントを使用するリモートワークが一般的になった場合には、特に重要な意味を持つ。2FAはまた、複雑なパスワード・ポリシーを強制する負担を軽減する。

GO-Global+ SSO： GO-GlobalのOpenID Connectのサポートにより、Windows ISVはOkta™、OneLogin、Microsoft Active Directory Federated Services（ADFS）、およびMicrosoft Azure® ADシームレスSSOのような最新のIDプロバイダを使用して、GO-Global® Windowsホストへのシングルサインオンを可能にします。

GO-Globalにより、IT部門はOpenID ConnectをサポートするあらゆるIDプロバイダーをホストに直接統合することができ、すでにウェブアプリケーションで認証しているユーザー間でWindowsホストを共有することができます。GO-GlobalのOpenID Connectのサポートにより、企業ネットワーク上のドメインコントローラー、強力な認証のためのカスタムクレデンシャルプロバイダー、およびインタラクティブなログインが不要になります。

GO-Globalがなければ、SSOを追加したいWindows ISVはCitrix Hypervisor®と統合されたCitrix NetScaler® Unified Gatewayのような高価で複雑なソリューションを購入しなければならないでしょう。

サーフェス/アプリケーション・セキュリティの保護

GO-Globalは独自のユーザーまたはアプリケーションデータベースをインストールまたは維持しません。その代わりに、Windows Server®オペレーティングシステムからユーザーとデータのセキュリティのすべての側面を継承します。ユーザーとアプリケーションのセキュリティ設定はWindows® OSレベルで構成され、ログオンプロセス中にGO-Globalに渡されます。

さらに、Windowsのファイル、フォルダ、共有、プリンタ、およびレジストリの権限はすべてGO-Globalによって尊重され、あらゆるWindowsシステムのセキュリティの中心です。エンドユーザーに管理者権限または昇格権限が与えられていない限り、システムフォルダーにアクセスしたり、サーバーを破損または破壊したり、その他のセキュリティ上の脅威を引き起こすことはできません。

GO-Globalは、すべてのホスト間で一貫性を確保するために、特に負荷分散されたサーバーファームでは、すべてのシステム側のセキュリティ設定にWindowsグループポリシーを使用することを推奨いたします。

詳細なゼロ・トラスト・ポリシーの適用

基本的なインストールとデフォルト設定：GO-Globalは、GO-Globalソフトウェアのインストールまたはアップグレードを行うホスト上の単一のインストーラー実行ファイルを使用して簡単にインストールできます。インストールが完了したら、レジストリ設定を初期化し、GO-Globalソフトウェアとドライバーを有効にするためにホストを再起動する必要があります。

設計上、サーバーまたはクライアントリソースの共有を有効にするすべてのGO-Global設定オプションは無効になっています。さらに、GO-Globalはデフォルトアプリケーションを発行しません。GO-Globalホストの設定、管理、およびセキュリティ関連の機能は、管理コンソールの［ホストオプション］メニューからアクセスできます。管理者はこのメニューを使用して、アプリケーションの公開、ユーザーとホストのアクティビティの監視、クライアント印刷、クライアントクリップボード、暗号化、認証などの機能の有効化を行うことができます。

アプリケーションを顧客に提供するためのゼロトラストアーキテクチャを可能にするソリューションをお探しのWindows ISVの方は、SSOとMFAを含むGO-Globalとその多層セキュリティシステムをご検討ください。

GO-GlobalのSSO付き同時ユーザー価格をご覧になり、お客様の推定GO-Global価格を計算するには、ここをクリックしてください。

デモのご依頼はこちらをクリックしてください。GO-Globalの30日間無料トライアルはこちらをクリックしてください。

‍