“Investec is Leveraging PAM as the Key to Their Zero Trust Strategy—Here’s How“ June 22, 2023 by Astrid Kechichianより
インテリジェントなアイデンティティとアクセスセキュリティのソリューションのリーダー的存在であるBeyondTrustは、最近、南アフリカの優秀な銀行兼資産管理会社の一社であるInvestecと協力して、BeyondTrust Privileged Access Management(PAM)ソリューションを活用したInvestecのゼロトラスト達成の道のりを紹介するハイブリッドイベントを開催しました。このイベントの目的は、セキュリティ全体を強化しようとする企業にとってゼロトラストの重要性を教育し、認識を高めること、そして成功するゼロトラスト戦略を実現するために特権アクセス管理(PAM)を優先する重要性についてのものでした。
このイベントでは、Investecのグローバルプラットフォームセキュリティ担当のBrandon Haberfeld氏とBeyondTrustのCSOのMorey J. Haber氏が、Investecがゼロトラストの目標を達成する方法、直面した課題、使用した手法と戦略、回避すべき一般的なミスについて調査した、公平で正直かつ包括的な分析が行われました。
このブログでは、Brandon Haberfeld氏とMorey J. Haber氏の講演のキーポイントをまとめて紹介します。Investecがゼロトラストの目標を達成した方法、直面した課題、使用した手法と戦略、回避すべき一般的なミスに関するアドバイスについて紹介します。
このブログを通じ、世界中の企業に成功するゼロトラスト戦略の始め方に必要な知識を提供することを目指します。また、ゼロトラストは実現可能であることを示すことで、世界中の企業に安心感を与えることも目指しています。
ゼロトラストから求める結果は、侵害が起きる日において、脅威の行為者が成功するのが明らかに困難なことから、彼が諦めて他の場所を選ぶようになることです。
Brandon Haberfeld氏
Investec社 プラットフォームセキュリティのグローバル責任者
Investecにとって、ゼロトラストとは何を意味するのか?
米国立標準技術研究所 (NIST) は、ゼロトラスト (ZT) を「防御を静的なネットワーク ベースの境界からユーザー、資産、リソースに重点を置く、進化する一連のサイバーセキュリティパラダイム」と定義しています。 これは、「ネットワークが競合していると見なされる場面でも、情報システムとサービスにおいてリクエストごとに正確かつ最小限の権限によるアクセス決定を実施する際の不確実性を最小限に抑える」ことを目的とした概念の集合です。
このゼロトラストの定義が示す課題は、その意味が組織の特定のニーズや成果と結び付いていることです。「ゼロトラストの定義は個々の人によって異なり、ゼロトラストをどのような視点で見るかによって、旅の進み方が確定されます」とHaberfeld氏は述べています。「ゼロトラストがあなたにとって何を意味し、私にとって何を意味するかは、業界における私たちの位置に対して相対的でしょう。私たちが特定の技術バイアスをどのように見るかは、どのようにそれを見るかを決定します。しかし、それは道であり、どれくらい進むかが重要な問題です。」
Investec にとって、ゼロトラストを達成するということは、単一のIDに基づいて、認証および認可された承認の背後にあるきめ細かい管理者権限を確保することを意味しました。 どこでも。
「どこでも」というコンセプトはInvestec にとって重要です。「ゼロトラストの総合的な”どこでも”戦略を立てるつもりがないのであれば、それはゼロトラスト戦略ではありません。 1% や5% など、ユーザーが許容できる信頼度であれば、脅威の行為者はユーザーがゼロトラストをどう定義するかは気にしません。 「彼らはどこに侵入できるか、どこに侵入できないかだけを気にしています。彼らを阻止したいなら、どこでも阻止する必要があります。」
ゼロトラストは、組織が脅威を防ぐのにどのように役立つのでしょうか?
ゼロトラストのスタンスは、組織が以下のような方法で脅威を防ぐのに役立つことがあります。
- やり方の標準化
- 特権のセキュリティ確保
- レガシーポリシーの洗練
- リアルタイムなアクセス許可の実現
- 最小権限適用の強制
- 単一のアイデンティティの実現
- マシン対マシンおよびヒト対マシンの識別と認可の強制
Investecのゼロトラストへの道のり
2011年 – 「単一のアイデンティティ」への道のり
Investecのゼロトラストへの道のりは、ローカルアカウントの廃止とアイデンティティの分離の決定から始まりました。これを達成するために、Active Directory Bridgeを導入しました。この目標を達成するためには、すべてのLinuxシステムにログインする各人物に対して1つのアイデンティティを持つことが目標でした。この目標から生まれたルールは、もはやローカルアカウント・データベース内に人間のアカウントを持つことはできないというものです。もはやサーバー上には人間またはメタヒューマンのアイデンティティを持つことはできません。アイデンティティプロバイダーである必要があり、ローカルマシンに残されるのは通常、アプリケーションを実行するために必要なアカウント(通常はサービスアカウント)だけです。
2015年 – 最小権限への道のり
2015年時点では特権の制御にはSudoが最適でしたが、Sudoはいくつかの課題を抱えていました。まず、Sudoの環境は非常に複雑であり、InvestecではActive Directoryの統合によりさらに複雑になりました。また、Sudoを使用して特権を制御する一般的な方法は、ユーザーをグループに割り当て、各グループに特定の特権レベルを与えることでした。しかし、これはしばしば他のグループの定義でユーザーに権限が与えられていることに気付かないという問題を引き起こしました。Investecにとって、Sudoの内部の複雑さは非常に巨大になり、人間による管理が不可能になりました。これが彼らの代替解決策の探索を始め、結果的にBeyondTrustのエンドポイント特権管理ポートフォリオにたどり着くことにつながりました。
Sudoの代替手段を探し始めました。私には知らされていませんでしたが、実際にはゼロトラストへの道のりで最小権限の進展をしていました。
Brandon Haberfeld氏
Investec社 グローバルプラットフォームセキュリティ責任者
2017年、Investec は Unix および Linux 向けの Privilege Management と Password Safe を並行して導入しました。 従来の実装では製品ごとの垂直展開が必要でしたが、Investec は最小権限を最も重要なコンポーネントにすることでプロジェクト モデルを垂直方向に転換しました。 その結果、両方のソリューションを同時に実装することがプロジェクトの最大の実現要因であることがわかりました。 最小限の権限を最も重要な部分とすることで、パスワード管理とアカウント制御はほぼ補助的なものになりました。
Investecが2020年になった時点で、彼らはUnixとLinuxの最小権限適用の展開を美しくエレガントに行いました。このプロジェクトは成熟までに約3年かかると予想されていましたが、彼らは全体的を9〜10ヶ月で完了しました。
2020年: 最小権限から完全なゼロトラストの形式的戦略へ
2017年から2020年までの間に、Haberfeldにとって明らかになったのは、彼らの旅がホストへの最小権限適用の強制に関すること以上のものだったということでした。これはあらゆる場所での最小権限を意味していました。その結果、Investecは組織内のすべてを最小権限モデルに組み込むための形式的な戦略を構築し始めました。データベース接続やAPI、クラウドの特権まで、ゼロトラストはすべてに関わるものとなりました。
2011年に私たちが想像していたのは、ゼロトラストへの旅路ではなかったです。私たちは必ずしもゼロトラストへの旅に乗り出しているとは気づいていませんでした。しかし技術が進み、環境での展開が進化し、変化に対する抵抗が薄れるにつれて、実際にはゼロトラストへの旅路に乗っていることがより明確になりました。そして今では公式にアナウンスされて定義されていることで、組織内の誰もが「乗りたい」と思っています。
Brandon Haberfeld氏
Investec社 グローバルプラットフォームセキュリティ責任者
2021年: ゼロトラストへの旅路
2021年、Investecはゼロトラストを最終目標とした旅路のための戦略全体を整理しました。プロジェクトが進行するにつれて、彼らはますます多くの要素をゼロトラストの世界に統合していきました。現在、HaberfeldはInvestecのゼロトラストモデルの実装率を約60〜70%と推定しており、彼らは次のステップに進む準備を整えています。拡大するインフラストラクチャ全体において、各レベルとスタックのすべての要素にゼロトラストを展開するためのロードマップを進めています。
ゼロトラストの実装にはどのような課題があるのでしょうか?
1. 理論に合致するツールを選択する必要性 – 実現したい目標を可能にするツールと技術から始める必要があります。実装の障害や成功への障壁を作らないようにするためです。また、運用目標を十分に満たす必要もあります。さもなければ人々が望まず使用しないことになり、残念ながらそれを拒否する権限も持っていることになります。市販のゼロトラストツールは、謳われているほど優れたものではありません。
2. ツールはシームレスに統合される必要性 – ゼロトラストが最小の、最も原子的なレベルで具現化する必要がある場合、セキュリティ上のゴールとのギャップが生じないように、ツールを微細なレベルで結びつけることができる必要があります。複数のツールが一つのプラットフォームに収束できることが重要です。同じアカウントを複数の異なる製品や環境で管理しようとすることで、支出や混乱が倍増することは避けたいです。ゼロトラストの目標と運用ニーズの両方に適した単一の製品にすべてを統合することが望ましいです。
3. 単一のアイデンティティを実現する必要性 – Investecにとって、最小権限は単一のアイデンティティの上に構築されたものであり、ゼロトラストへの道です。そのアイデンティティに関連付けられた特権を持つアカウントの数を最小限にする必要があります。その後、残りのゼロトラストモデルを使用して、そのアイデンティティが何を、どこで、いつ行えるかを強制的に管理する必要があります。
従来のモデルで特権を持つ複数のアカウントが、異なるドメインやセクションに存在する場合と比較して、最小権限の強制に基づく単一のアイデンティティモデルでは、管理と強制の能力がはるかに容易になります。そして、驚くべきことに、監査もはるかに簡単になります。なぜなら、脅威の追跡やフォレンジックを行うために同じアイデンティティのためにアカウントからアカウントへと移動する必要がないからです。
Brandon Haberfeld
Investec社 グローバルプラットフォームセキュリティ責任者
4. 変化への抵抗 – 変化には常に抵抗があり、その反対意見は重要な影響力を持つことがあります。Investecはこの課題を軽減するための最善の戦略を見つけました。彼らは実装前に数多くの議論の機会を提供し、明確なフレームワークを構築・定義し、マネジメントチームにそのフレームワークに組み込まれるルールを定義する権限を与えました。
Investecの重要な成功要因は何でしたか?
ゼロトラストへの旅は必ずしもまっすぐではなく、時には逆走してくる車両にぶつかることもあります。しかし、重要なのはその道を進み続けることです。
Brandon Haberfeld氏
Investec社 グローバルプラットフォームセキュリティ責任者
1. 目標に対する情熱を持つこと
その終着点に到達する情熱は重要な成功要因の一つです。組織の規模よりも、その旅と最終目標に対して組織とすべての幹部に提唱する個人の存在が重要です。これは教育プロセスです。組織全体のできるだけ多くの人々や監査人の前に立つことが重要です。
2. 旅に適したツールを選ぶこと
使用しているツールがゼロトラスト戦略をサポートできない問題には直面したくはありません。多くの場合、これは避けられないかもしれませんが、もし問題に直面した場合は、問題を解決できるツールを持っている必要があります。
それらのツールの詳細な機能を考慮することが重要です。現実の組織の問題は非常に複雑です。あらゆる段階で解決する必要がある非常に具体的な課題があります。非常に柔軟で強力なツールが必要です。豊富なAPIを持ち、統合を容易かつシンプルにすることができるツールを選ぶ必要があります。また、可能な限り自動化を実現するためにこれらのツールをスクリプト化できるようにする必要があります。
3. 全てを自動化すること
組織内の個人またはチームが管理できるゼロトラストモデルを作成するための鍵は、可能な限り自動化することです。自動オン・ボーディング、侵害時の自動プロビジョニング、あらゆることを自動化することが重要です。Investecでは多くのコードを書かなければなりませんでした。そして、その結果として、開発者はその成果において重要な役割を果たしました。
組織が持っていないものがゼロトラストを実施しない理由になってはいけません。必要なものを手に入れ、適切なツールを選び、ゼロトラストの旅を進めることが重要です。
Brandon Haberfeld氏
Investec社 グローバルプラットフォームセキュリティ責任者
4. オン・ボーディング戦略を過小評価しないこと
オン・ボーディング(搭乗)戦略は、ゼロトラストの展開におけるInvestecの重要な成功要因の一つでした。社内の関係者が技術系の人々と複数のデザインセッションで膝を付け合わせ、結果を視覚化して、そのチームと協力して彼らがその世界で快適に感じることができる解決策を共同で作り上げました。ゼロトラストが彼らの仕事の能力を奪う普遍的なものではないようなビジョンに向かって取り組むことが重要です。彼らがサポートされていると感じることが重要です。私たち技術者が本当に行っていることは、ビジネスユーザーを私たちと一緒に少し馴染みのない、そして多少恐怖を感じる世界に引きずり込むことです。彼らが世界が変わり、組織が続けて機能することができるように、できるだけ快適に感じられるようにすることが重要です。それが実際の最終目標であり、それは十分に可能です。
5. ポリシーの変更を許容すること
Investecがゼロトラストアーキテクチャを達成するために受け入れなければならなかった基本的な課題の一つは、レガシーポリシーを変更する必要があるということでした。このプロセスの一部は、組織内の人々がポリシーが更新され、新しい厳格で統一的なプロトコルに従う必要があることを理解するようにすることでした。
「私の非常に強い信念は、ゼロトラストを可能な限り進めるためには、規格への統一性が絶対に不可欠であるということです。ポリシーが一致しない場所、例外的な場所が攻撃者が侵入する場所です。組織全体に正確かつ適切に適用できるポリシーを持つためには、統一性が必要です。そして、残されたレガシーなものを洗練させる必要があります。組織内には、必ずしも一致しないアプリケーションやインフラストラクチャ、アーキテクチャがあるという事実は恐ろしい考えかもしれません。しかし、その技術的な負債を修正することは、ゼロトラストの達成に絶対に必要なことです。」
Investecは、BeyondTrust特権アクセス管理(PAM)ソリューションを使用してゼロトラストの目標を達成しました。
「BeyondTrustスイート内の製品間の相互作用は、セキュリティにおける製品の状態を考慮して、できる限りゼロトラストの道を進む可能性を最大限に高める方法で、見事かつ慎重に調整されています。(Brandon Haberfeld 氏、Investec社プラットフォームセキュリティ担当グローバル責任者)
Investecのゼロトラストスタックを構成する4つのBeyondTrust製品は次のとおりです。
Active Directory Bridge:Microsoft AD認証、SSO機能、およびグループポリシー構成管理をUnixおよびLinuxシステムに拡張することで、シンプルなアイデンティティ管理とアクセス制御を可能にします。
Password Safe:人間、アプリケーション、およびマシンの特権認証情報を発見、オンボードし、管理し、パスワードセキュリティのベストプラクティスを一貫して実施します。
Privilege Management for Unix and Linux:すべてのユーザーの管理者権限を削除し、アカウントやプロセスに関連付けられた特権を制限し、プロセスやアプリケーションなどに対して必要に応じて特権を動的に昇格させ、エンドユーザーには昇格させません。ゼロスタンディング特権(ZSP)状態に向けて進化します。
Privilege Management for Windows and Mac:最小権限管理とアプリケーション制御を組み合わせ、エンドポイントの攻撃面を最小限に抑え、不要な横方向の移動を排除し、WindowsおよびMacシステムを既知および未知の脅威から保護します。
PAMを使用してゼロトラスト戦略を進める方法について詳しくは、こちらをクリックしてください。
「最小権限コンポーネントと唯一のアイデンティティコンポーネントがあります」とHaberfeld氏は述べています。
「私はゼロトラストがこれらの製品の交差点に存在すると主張しています。これらの製品は非常に複雑で美しく設計された方法で交差し重なります。これらの製品を統合できるという事実がゼロトラストを実現させました。私が存在することを望む幻想的な概念を説明しているわけではありません。実際の日常でこのように機能しているのです。」
Astrid Kechichian, BeyondTrust社EMEIA地域シニアマーケティング・マネージャー