ゼロトラスト アーキテクチャでは、人、デバイス、ネットワークは暗黙的に信頼されません。従来の境界ベースの方法とは対照的に、データ保護に対してきめ細かく動的なアプローチを提供します。

セキュリティ フレームワークでは、リソースまたはアプリケーションにアクセスする前に、ユーザーとデバイスがその ID を認証することが義務付けられています。

たとえば、多要素認証システムでは、ユーザーがパスワードとスマート カードまたは指紋など、少なくとも 2 種類の ID を提供した場合にのみアクセスが許可されます。

ゼロトラスト アーキテクチャにより、ハッカーは本物のユーザーを装ってネットワークを侵害することはできません。その結果、データ侵害の可能性が低くなります。

ネットワーク セグメンテーション、マイクロ セグメンテーション、多要素認証はすべてゼロトラスト アーキテクチャで使用されます。

さらに、ネットワークアクティビティと潜在的なセキュリティリスクに関する最新情報を提供することで、可視性と監視の重要性を強調します。

米国国立標準技術研究所 (NIST) によると、ゼロトラスト アーキテクチャは次の重要な原則で定義されています。

• 厳格なアクセス制御: ポリシーにより、許可されたユーザーおよびデバイスのみが機密データまたはリソースにアクセスできるようになります。
• 継続的な監視: 潜在的な脅威を検出し、迅速に対応します。
• 侵害を想定する: ネットワークがすでに侵害されており、攻撃者が境界内に存在する可能性があると考えます。
• 最小権限: ユーザーとデバイスは、タスクを実行するために必要なデータのみにアクセスできます。
• マイクロセグメンテーション: 排他的なセキュリティ制御を備えた、より小規模で管理しやすいネットワークを作成します。
• 自動化: アクセス ポリシーを適用し、異常を検出し、リアルタイムのセキュリティ インシデントに対応します。

ゼロトラスト アーキテクチャを実装する一般的な方法は次のとおりです。

• Identity and Access Management (IAM) ソリューションは、複数のアプリケーションやシステムにわたるユーザーのアクセス、認証、認可を一元管理する方法を提供します。
• 多要素認証 (MFA) 多要素認証 (MFA) ソリューションでは、リソースまたはアプリケーションにアクセスする前に、ユーザーにパスワードと指紋などの少なくとも 2 つの ID を提供することが要求されます。
• ネットワークのセグメンテーションは、ネットワークをより小さく制御しやすい部分に分割します。これにより、セキュリティ ポリシーを適用し、潜在的な脅威を発見することが容易になります。
• データを暗号化すると、データを参照すべきでない人がデータを読み取ることができなくなり、保存中と転送中の両方でデータが保護されます。
• セキュリティ分析では、機械学習と人工知能を使用してネットワーク トラフィックを分析し、異常を発見し、リアルタイムのセキュリティ インシデントに対応します。
• クラウド アクセス セキュリティ ブローカー (CASB)、セキュア Web ゲートウェイ (SWG)、クラウド セキュリティ体制管理 (CSPM) ツールなどのクラウド セキュリティ ソリューションは、クラウド内のデータとアプリを保護する方法を提供します。