ゼロ トラストの ID
コンピューティングの意味では、ID にはユーザー、デバイス、またはアプリケーションなどがあります。 成功につながるゼロ トラスト アプローチの最初のステップは、これらの ID をセキュリティで保護できるようにすることです。
機密データへのアクセスを制御するには、デジタル資産内のリソースへのアクセスを要求するユーザーを知ることが不可欠です。 ユーザーまたはデバイスが認証されると、適切な承認が与えられ、リソース、資産、およびデータへのアクセスが許可されます。
ID 管理とも呼ばれるゼロ トラスト アプローチを使用して ID をセキュリティで保護する場合、ユーザーを継続的に検証するという原則が適用されます。 アクセスを許可する前に、組織は、ユーザーの ID とその他のプロパティ (場所、デバイスの正常性、組織内での役割、アクセスしようとしているデータの種類など) を検証する必要があります。 この最終状態を実現するために、ゼロ トラスト戦略は、セキュリティを確保し、優れたユーザー エクスペリエンスを提供するために、自動化されたテクノロジとポリシーの適用に大きく依存しています。
ゼロ トラスト アプローチでは、すべての接続、デバイス、ユーザー、またはネットワーク フローの認証と承認に焦点を当てています。
認証と承認
ゼロ トラスト戦略の一環として、ユーザー、アプリケーション、デバイスは、厳密に認証および評価されてから、リソースにアクセスするための承認が付与される必要があります。
- 認証は、ユーザーが自ら主張する人物であることを確認することをユーザーに求めるプロセスです。
- 承認は、各ユーザーに付与するアクセスのレベルをシステムが決定する自動化されたプロセスです。
認証方法
組織がユーザー、デバイス、アプリケーションの ID を確立することが重要です。 認証プロセスには、ユーザーの初期 ID を決定し、さまざまな手法を使用してバインドする作業が含まれます。 組織が実行する一般的な認証方法の一部を次に示します。
パスワード: パスワードの使用は、ユーザーが知っていること (たとえば、文字列、数字、または特殊文字など) に基づく認証の最も基本的な形式です。 資格情報が盗まれたり、攻撃者によって推測されたりする可能性があるため、この種の認証には制限があります。
多要素認証 (MFA): この手法では、ユーザーが自ら主張する人物であることを証明するために、複数の異なる要素が必要になります。 多要素認証では通常、次の 1 つ以上を使用します。
- ユーザーが知っていること (ユーザー名やパスワードなど)。
- ユーザーが持っているもの (セキュリティ トークンなど)。
- ユーザーの特徴を示すもの (指紋、網膜、声紋など)。
これらの 1 つ以上を使用して、要求が本物であることを確認できます。
- 生体認証: この手法では、指紋、顔、声紋、または網膜認識などの生体特性を使用して、ユーザーの ID を確認します。 生体認証を使用すると、パスワードを入力する負担が軽減され、攻撃者によるショルダー サーフィンの可能性が減ります。
- パスワードレス: この認証は、パスワードの使用を排除する最新のテクノロジです。 生体認証、多要素認証、モバイル アプリを組み合わせて、パスワードの必要性を排除します。
強力な認証と弱い認証の違い
強力な認証は、2 つ以上の要素を組み合わせてユーザーまたはデバイスの ID を確認する方法です。 たとえば、多要素認証は、2 つ以上の独立した要素を組み合わせてユーザーの ID を確認します。 これにより、特定の詳細 (デバイスや場所など) に基づいてユーザーの ID が評価されるため、セキュリティ層が強化されます。 資格情報が侵害されても、承認されていないユーザーは 2 番目または 3 番目に必要になるレベルの認証を満たすことができません。
弱い認証は、使用される手法の強度に欠陥があり、不確実な方法です。 パスワードが簡単に解読されるシナリオや、攻撃者が楽々と認証をバイパスしてアクセスできるシナリオにつながる可能性があります。