Clouflareによる Zero Trust 記事を調べてみる(ちょっと、読み切れないんですけど)

Clouflareによる Zero Trust 記事を調べてみる(ちょっと、読み切れないんですけど)

Zero Trustのお話を伺うと、要旨は「境界防御では守れないから、Zero Trustに移行すべき」と紹介されます。これは、実際にはどのような考え方なのでしょうか?分かっているようで、分かっていない気がしてます。Zero Trustについて、Clouflareの発信情報を調べてみました。
Clock Icon2024.03.11

Cloudflareは、「Zero Trust」について、何を語っているのでしょうか?

ラーニングセンター

まず、「ラーニングセンター」で「Zero Trust」について、学んでみましょう。

  • Zero Trustセキュリティ | Zero Trustネットワークとは?
    • Zero Trustには、6つの主要な原則(Principles)がある。
      • 継続的な監視と検証
      • 最小限の特権
      • デバイスのアクセス制御
      • マイクロセグメンテーション
      • ラテラルムーブメントを防ぐ
      • 多要素認証(MFA)
    • 歴史
      • 2010年、概念モデルの定義
        • 2010年にForrester Research Inc.のアナリストが概念のモデルを最初に発表したときに作ったものです。
      • Googleによる実装
        • Googleが自社ネットワーク内でZero Trustセキュリティを実装した。
        • テクノロジーコミュニティ内にて採用への関心が高まる。
      • 2019年、ガートナー社によりSASEのコアコンポーネントに挙げる。
        • 世界的な調査・助言会社であるガートナー社は、Zero Trustセキュリティアクセスを、Secure Access Service Edge(SASE)ソリューションのコアコンポーネントとして挙げる。
      • cf.2020年にNISTが"Zero Trust Architecture"を発表
    •  ユースケース
      • VPNの置き換えまたは補強
      • リモートワークを安全にサポート
      • クラウドやマルチクラウドにおけるアクセス制御
      • サードパーティや請負業者のオンボーディング
      • 新入社員の迅速なオンボーディング
    • ベストプラクティス
      • ネットワークトラフィックと接続デバイスの監視
      • デバイスを常にアップデートする
      • 組織内の全員に最小権限の原則を適用する
      • ネットワークの分割
      • ネットワークの境界が存在しないかのように振る舞う
      • MFAにセキュリティキーを使用する
      • 脅威インテリジェンスの導入
      • エンドユーザーがセキュリティ対策を回避する動機付けをしないこと

Forrester Research Inc. "Zero Trust Model"

2010年にForrester Research Inc.のアナリストが概念モデルを発表したとき、"Zero Trust"という名前を作ったものです。当時の調査資料は、一般参照は難しいようですが、Zero Trustに関する情報は、継続発信されているようです。

  • The Business Of Zero Trust Security
    • Forrester developed the model and coined the name Zero Trust in 2009 as a much-needed alternative to older perimeter-based security models. The model became the gold standard among security teams working to defend against devastating breaches. As the model gained widespread adoption, governments across the globe began mandating it for their agencies while cybersecurity vendors began tailoring their product roadmaps (and their messaging) to capitalize on its growing popularity. Vendor hype sowed confusion and fostered cynicism amongst security leaders who questioned whether Zero Trust was anything more than just a buzzword.

      • Zero Trust engenders brand trust. ゼロトラストはブランドの信頼を生み出します。
      • Zero Trust accelerates new engagement models and emerging technologies. ゼロ トラストは、新しいエンゲージメント モデルと新しいテクノロジーを加速します。
      • Zero Trust boosts customer and employee experience for growth. ゼロトラストは、顧客と従業員のエクスペリエンスを向上させて成長を促します。
  • Zero Trust Model
    • ゼロ トラスト セキュリティ フレームワーク (ZTX)に関するブログ

NIST "Zero Trust Architecture"

2020年8月にNIST(米国標準技術研究所)が"Zero Trust Architecture"(NIST SP 800-207)を発表しました。

  • NISTの"Zero Trust Architecture"発表資料
  • 7つの理念(Tenes)
    1. すべてのデータソースとコンピューティングサービスをリソースとみなす
    2. ネットワークの場所に関係なく,すべての通信を保護する
    3. 企業リソースへのアクセスをセッション単位で付与する
    4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
    5. すべての資産の整合性とセキュリティ動作を監視し、測定する
    6. すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
    7. 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する

the NET

the NETは、「インターネット関連インサイトの要約」が毎月公開される(メールで送られてくる)文書です。

"Zero Trust"に関連する記事がとてもたくさんありました。いくつかのテーマごとに分類し、文書の見出しを抽出してみましたので、ご関心のあるものからご参照ください。

なお、調べ方は、「zero trust the net」でキーワード検索です。新しい情報が発行されているか、ご確認ください。

Top of mind technology

    • 概念から行動へ:Zero Trustを解明する
      • ユーザー保護
      • Zero Trust 哲学の実践
      • 信頼の基礎
    • 「サイバー戦争」の報道に対するCIOの反応
      • 企業セキュリティの評価と強化
      • 認証と認可:避けるべき主な失策
      • インターネットに露出するサービス:チョロい標的になるな
      • 可視化とセグメント化:脅威の自由な移動を阻止せよ
      • 脆弱なコードとサービス:攻撃対象領域を縮小せよ
      • 進むべき道:リスクの評価と緩和
      • ネットワーク防御の強化
    • 取締役会でサイバーセキュリティ変革を推進
      • 取締役会が知りたい6つの情報
        1. サイバーリスクはビジネスリスク
        2. サイバーセキュリティのROI:金額だけでなく安心感も
        3. AIの二面性:驚異の新天地であり地雷原でもある
        4. セキュリティは文化であり部署ではない
        5. 土俵はグローバル:地政学リスクは自社のリスク
        6. チームはコストセンターではなくビジネスユニット
    • サイバーセキュリティを戦略的ビジネス価値につなげる
      • 成果対インプット:核となるマインドセットの移行
      • 結果からたどることで成果を定義
      • 事業の目標と成果を一致させる
      • 成果の計測と定量化
      • 戦略を実行に移す
      • サイバーセキュリティの持つ戦略的な事業へのインパクトを高める

Top of mind security

CIO、または、セキュリティー戦略

    • CIOの役割:成功のための5つの戦略
      1. Zero Trust戦略を実装
      2. メール防御の優先
      3. ユーザーの保護
      4. ハイブリッドワークを完全に採用
      5. マルチクラウド環境の管理
    • データ規制の課題に取り組む
      • インターネット vs. ローカライズされたデータ規制
        • 課題 1:ローカライゼーションインフラストラクチャモデルの選択
        • 課題 2:データはローカルに置いたまま世界中のお客様に対応する
        • 課題3:ローカルを限定した復号化
        • 課題4:アクセスのローカル化
      • エッジコンピューティング:ローカライゼーションのための新しいインフラストラクチャソリューション
    • 分散した企業を長期的に保護
      • リモートワーカーのための短期的なセキュリティ対策からの脱却
      • リモートワーカーのための一般的な「一時しのぎ」ソリューション:
        1. VPN使用の拡大
        2. スプリットトンネルVPN
        3. リモートアクセスとセキュリティの分離
        4. リモートエンドポイントの更新
        5. スタンドアロン型のセキュリティソリューション
      • 長期的にセキュアなリモートワークインフラストラクチャの構築
        • VPNの使用を止める
        • 内部アプリやSaaSアプリへのアクセスにZero Trustセキュリティを導入する
        • アプリケーションとインターネットアクセスの両方にZero Trustブラウジングを実装する
        • Zero Trustでリモートワーカーを守る
    • 経済的不確実性の時代におけるセキュリティ体制の最適化
      • セキュリティポスチャに影響を及ぼさずにコストを削減
        1. セキュリティツールが多すぎますか?
        2. 依然としてハードウェアに投資していますか?
        3. ポイントソリューションにお金を費やしていますか?
      • 経済減速期を生き延びる
    • セキュリティ監視疲れで企業にリスク
      • 警告が負担になる時
      • セキュリティ担当者が燃え尽きる理由
        • 誤検知
        • セキュリティツールがサイロ化し、重複したアラートを送信している可能性
        • データログはコンテキストと高度な機能を欠いている
        • すべてが重要な時は何も重要でない
      • セキュリティ監視疲れの緩和
        • ログと機械学習モデルの改善
        • 自動化の有効活用
        • セキュリティツールの事前監査
      • Cloudflareでセキュリティ監視疲れを緩和

Zero Trust

    • ゼロトラストの現状
      • 2020年、Forrester Consultingが、Cloudflareに代わって「パンデミックの影響」を調査
        • Cloudflareの委託により、Forrester Consultingは、2020年に発生した混乱が、さまざまな規模の企業間におけるセキュリティ戦略と運用におよぼした影響を調査します。 このオポチュニティスナップショット調査では、2020年に、ゼロトラストセキュリティへの理解と導入がどう劇的に加速したかを研究し、全世界317の組織において、セキュリティの意思決定者がゼロトラストセキュリティアーキテクチャを実現するために、2021年はどんな行動に出る予定かについて調査します。

      • リモートワークがいかにネットワークセキュリティを加速したか
      • 企業ITに影響を与えた外的動向のトップ3
        • リモートワーク
        • データ漏えい
        • VPN
      • Zero Trustのユースケース:企業はさまざまな将来的メリットを考えている
        • 安全で迅速な開発者アクセスを確保する
        • デバイス持ち込み(BYOD)プログラムの開始および拡大
        • 過負荷のVPNに置き換える
      • Zero Trust採用における進捗と主な障害
        • セルフサービス機能がついたゼロトラストツールを選ぶ
        • 開発者向けアプリをはじめとして、VPNへの依存を徐々に減らす。
        • 導入を進めるにつれて拡張可能な統合プラットフォームを検討する。
    • Zero Trustネットワークアクセスの台頭
      • 企業のVPNの落とし穴
      • Zero Trustアプローチ
    • Zero Trustをインターネットブラウザへ拡張
      • 多くは新型コロナウィルス感染症パンデミックに起因によるブラウザベースの脅威
        • 攻撃者がパンデミックによる混乱に乗じて、マルウェアをダウンロードするよう促した
        • リモートワークによって、インターネットの私的利用と業務利用の区別が不明瞭になった
        • リモートワークによって、保護されていないか保護が不十分な私物デバイスを従業員が使わざるを得なくなった
        • 従業員が、プライベートな企業ネットワーク経由でなく、パブリックなインターネットでアプリやデータにアクセスすることが増えた
        • 急遽寄せ集められたリモートアクセスツールが、安全性が損なわれているデバイスに、企業ネットワークへの無限アクセスを与えた
    • 新たなCXOの登場:最高Zero Trust責任者
      • なぜZero TrustのCレベルなのか、なぜ今なのか?
      • 導入障壁の克服
      • 責任、アカウンタビリティ、またはどのような名称であれ、
      • Zero Trustへの移行
    • ゼロトラストのビジネスケース
      • Zero Trustとは?
        • ゼロトラストは、リモートであろうとネットワーク内部であろうと、いかなるユーザーも信用しないことによってコントロールへのアクセスを厳格に維持するサイバーセキュリティモデルです。このモデルでは、すべてのリソースに対するすべてのリクエストを逐一検証します。他の従来型ネットワークセキュリティでは、脅威は防御を突破して企業システムに侵入してしまえば、後は自由に動けます。

          脅威はネットワークの内外に存在するという前提に立つゼロトラストの枠組みを適用すれば、いかなるユーザーも自動的に信頼することはありません。ゼロトラストは、ユーザーID、権限、デバイスID、セキュリティを常に検証することが基本です。ログインと接続は断続的にタイムアウトするため、ユーザーとデバイスは定期的に再認証されることになります。

          さらに、ゼロトラストの枠組みを採用すると継続的な監視と検証が行われるため、ネットワークへのアクセスを制御・制限することができます。これは、アクセス権限の制限、マイクロセグメンテーション、多要素認証(MFA)という、ゼロトラストセキュリティの主要原則を適用することによって実現します。

      • チームの生産性を向上
      • 従業員を過小評価するな
      • ゼロトラストがこれまで以上に必要
    • セキュアなITエコシステムにZero Trustアプローチが必要な理由
      • Zero Trustアプローチを採用する
      • なぜZero Trustなのか?
        • 採用プロセス
          1. 把握する
          2. 軽減する
          3. 実行する
    • 企業への信頼を高めるゼロトラスト
      • セキュリティは消費者の信頼の核心
      • セキュリティ第一の企業文化の醸成
      • 信頼構築におけるゼロトラストの役割
        • 生産性の向上
        • 信頼性の向上
        • 透明性
        • データ保護と真正性
        • リスクの低減

SASE and Zero Trust

    • ネットワーキングの未来
      • 企業が柔軟であるためにネットワークの最新化は不可欠
        • ネットワークの順応性。
        • 内蔵された保護。
        • ラウド対応。
      • NaaSとSASEで柔軟なネットワークを構築
      • 過去のMPLSやSD-WANの制限から移行することで、ネットワークの順応性を洗練させる
        • MPLSでの課題
        • SD-WANでの課題
      • NaaSとSASEがネットワークの順応性を生み出す方法とは
        • 一体型の保護を組み込む
      • クラウド対応のネットワークを設計する
        • クラウド対応のネットワークとSASE
      • ネットワーク最新化のためのロードマップ
        • ステップ1:インターネットブレイクアウトを追加し、保護する
        • ステップ2:NaaSへの対応
        • ステップ3:Zero Trustセキュリティへの対応
      • ネットワークを最新化
    • SASEへの移行を加速
      • 柔軟性と拡張性のあるネットワークの構築
      • SASE採用をシンプルにする4つの質問
        1. 図示する:自組織のネットワークトラフィックの現状はどのようなものか?
        2. リスト化しランキングする:内部脅威のリスクが最大なのはどこか?
        3. タイミングを考える:旧来のネットワーキングやネットワークセキュリティの契約満了はいつか?
        4. マイルストーンを定める:対象部署にとって、早く成果が出せる変更は何か?
      • 利用開始
    • 根拠を挙げてSASE導入を主張
      • 最高責任者陣の賛同を得るための実践的アドバイス
      • SASEがビジネスにもたらす幅広いメリットを説明
        • リモートワーカーの効率向上
        • 請負業者オンボーディングの円滑化
        • ITチームの効率向上
      • SASE導入の財務上のメリットを実証
        • ITサポートチケットの削減
        • 従業員オンボーディングの時間短縮
        • 余分なハードウェアコストを排除
      • 次のステップを具体的に提示
        1. サードパーティアクセス用のVPNを廃止
        2. リモートワーク向けにZero Trustセキュリティ体制を採用
        3. リモートアクセス用VPNを廃止
        4. 契約更新時にZero Trustセキュリティツールを統合
        5. 支社ロケーション向けのZero Trustセキュリティ体制
      • 長期的観点からセキュリティ対策の優先事項を提唱

roadmap to Zero Trust

サイバーセキュリティー、DDoS

    • Zero Trust:進化するビジネス環境に対応したサイバーセキュリティを再定義する
      • クラウドの出現
      • デジタルトランスフォーメーションにおける課題
      • Zero Trustでサイバーセキュリティを再定義する
      • デジタルトランスフォーメーションを採用する企業にとってのZero Trustアプローチとは?
        1. ビジネスの構想
        2. リスクを軽減する
        3. 実行を最適化する
    • A digital native mindset to cyber security
      • Embracing technology - a core tenant of identity
      • How digital natives advance Zero Trust
        1. A focus on user experience.
        2. Understanding the importance of data security.
        3. Embracing a dynamic and distributed environment.
        4. Accepting the need for continuous monitoring and authentication.
        5. Embracing SASE for user-centric and context-aware security.
      • Implementing Zero Trust security
    • Are OSS attacks avoidable?
      • Open source software attacks are preventable — but not prevented
      • What makes OSS attacks hard to stop?
        • OSS attacks are designed to evade detection
        • Outdated or unmaintained software takes longer to patch
        • Software updates can compromise previously benign packages
      • 4 strategies to protect against OSS attacks
        1. Use "actively maintained" open-source software.
        2. Identify and apply patches for known vulnerabilities.
        3. Identify the biggest risk areas and prioritize critical upgrades within software supply chains.
        4. Improve your overall security posture with Zero Trust best practices to mitigate risks and damage.
      • How Cloudflare helps block OSS attacks
    • 医療エコシステムにおけるセキュリティ確保
      • 医療業界のサイバー耐性を維持する5つの戦略
      • 医療システムは常に攻撃にさらされています
      • 医療エコシステムにおけるセキュリティ確保
        1. Zero Trustフレームワーク
        2. ネットワークとエンドポイントのセキュリティ
        3. 定期的なセキュリティ監査と侵入テスト
        4. 従業員のトレーニングと意識向上
        5. データの暗号化とプライバシー対策
    • 多要素認証をバイパス
      • ユーザーの動きをまねる高度な技術
      • 新手のサイバー攻撃がMFAセキュリティをかいくぐっている
      • 攻撃者が従来のサイバーセキュリティ対策をどのように回避しているか
      • Zero TrustがMFA悪用の防止に役立つ
        • 多要素認証
        • 継続的な監視と確認
        • 最小特権アクセス
        • デバイスアクセス制御
        • ラテラルムーブメントの防止
      • CloudflareでMFA攻撃を回避する
    • マルチベクトル型攻撃の一般化に伴いリスクが増大
      • 統合プラットフォームがこれらの課題を解決する方法
      • ベクトルが増えるほど勝算は上がる
      • 攻撃者はなぜ、このように複数のベクトルを標的にするのか?
      • 高度化は不要
      • マルチベクトル型攻撃の軽減における課題
      • クラウドネイティブでプラットフォーム駆動型の脅威防御を推進する
        1. クラウドネイティブにして分散化させ、そのプロトコル、オリジン、宛先にかかわらず、すべてのトラフィックがセキュリティプラットフォームを通過するようにします。
        2. 認証、権限付与、監査によるアクセス制御と密接に統合します。
        3. フィッシングへの耐性。
        4. エンドユーザーに対してシームレス。
        5. コスト効率。
    • ソフトウェアサプライチェーンが攻撃されている
      • 企業の安全を確保するための戦略
      • 攻撃者はソフトウェアサプライチェーンを狙っている
      • ソフトウェアサプライチェーン攻撃の仕組み
        • サードパーティネットワークアクセス
        • ソフトウェアやアプリケーションのアップデート
        • オープンソースコードパッケージ
      • ソフトウェアサプライチェーン攻撃で、ソフトウェアエコシステムのもろさが浮き彫りに
      • ソフトウェアサプライチェーンの安全確保
        • サードパーティアクセスの管理
        • ラテラルムーブメントの防止
        • アプリケーションの保護
        • マルウェアから保護
      • CloudflareでZero Trust体制を整備
    • ビジネスメール詐欺の被害額が増大
      • 従来のメールセキュリティでは対処が困難な事実について学ぶ
      • ビジネスメール詐欺の被害額が拡大
      • 従来のメールセキュリティの欠点
        • ビルトインフィルターとセキュアメールゲートウェイ(SEG)
        • メール認証
        • 従業員が警戒
      • BECのタイプとスパムとの相違
        • エグゼクティブになりすました送信者またはドメイン
        • 侵害された従業員アカウント
        • ベンダーやサプライヤーを偽装
        • 侵害されたベンダー・潜入されたサプライヤー
      • 最新のメールセキュリティ対策を設計
        • 事前予防的な防御
        • コンテキスト分析
        • 継続的な保護
        • マルチモードデプロイメント
        • 未来を見据えた対策と自動化
      • 先手を打ってフィッシング攻撃を阻止
    • ランサムウェア攻撃の脅迫戦術が高度化
      • リスクを高め、交渉を苛烈化させる7つのトレンド
      • ビジネスのように運営されるランサムウェアキャンペーン
      • 「恐喝経済」において、犯罪者がいかに圧力を強めているか
        1. 二重恐喝 — データの流出・公開
        2. 三重恐喝 — 第三者を脅迫
        3. 最大被害をもたらすために攻撃のタイミングを選ぶ
        4. 仮想的・物理的な脅迫
        5. 公に辱めるサイトにデータを漏えい
        6. 広く注目を集める
        7. DDoS攻撃で畳みかける
      • 極めて悪質な恐喝の新手口が増えている理由
        • 「サービスとしてのランサムウェア」の出現。
        • 驚異的に高い粗利率。
        • プライベートデータ保護の義務。
      • ネットワーク境界の保護
        • 最小権限アクセス
        • 多要素認証
        • ブラウザ分離
        • DNSフィルタリング
        • ユーザーとデバイスのポスチャー確認
    • ベンダーメール詐欺の構造
      • スローな攻撃で多額の被害
      • ビジネスメール詐欺(BEC)攻撃の進化
      • VECのしくみ
      • VECの現実世界での展開
      • VEC攻撃の試みを特定する方法
        • フィッシングを特定し、ブロックするためのメール設定を行う。
        • 第三者からの取引依頼を精査する。
        • 新手の詐欺について従業員を教育する。
      • CloudflareによるVECの検出と防止
    • フィッシング詐欺は進化し続けています
      • 人間の行動を悪用するという最新の手口
      • どこでもかしこでもクリックしない — なんなら、どこもクリックしないで良い
      • 攻撃者はセキュリティ検査を「パス」する
      • フィッシングは非常に動的なため、「安全な」送信者を信頼できない
      • 将来の脅威を阻止するための多層アプローチの力
    • AIチャットボットにおいてフィッシングが持つ意味合い
      • 高度AIの時代におけるフィッシングの発展
      • 機械に理解させ、文章を生成させる
      • AIチャットボットの悪用
      • AIチャットボットはフィッシングを作りこむことができるのか?
      • Zero Trustで、あらゆるチャネルにおけるフィッシングをブロック
    • 増加するDDoS
      • Zero Trustでサイバー防御を強化
      • Zero Trustアプローチ
      • 実装する上での課題を克服する
      • 「チーフZero Trustオフィサー」の必要性
      • サイバー防御の強化
    • セキュリティスタックの複雑さとリスクの低減
      • 運用の簡素化、あらゆる場所でデータを統一する方法
      • セキュリティが複雑化する一般的な原因と結果
        • 手作業が多すぎる。
        • 単純なリクエストに対する過剰な処理。
        • 圧倒的な量のアラートとシグナル。
        • 技術的な互換性がない。
      • 表面的vs意味のあるセキュリティ効率
      • 運用の効率化は、適切な基盤インフラから始まります
        • 統一型ネットワークファブリック
          • 統合がシンプル。
          • エンドユーザーエクスペリエンスの改善
        • 共有脅威インテリジェンス
          • アラート疲れの軽減
          • リスク分析の容易化
          • より迅速な対応
        • 柔軟性と将来性
          • 簡単なカスタマイズ
          • 将来の俊敏性の向上
      • Cloudflareは統合の約束を果たします
        • 統合型グローバルプラットフォーム
        • ネットワークを利用した脅威インテリジェンス
        • 継続的なセキュリティの革新
    • 漏洩した認証情報が他に及ぼす影響
      • ユーザーが組織のリスクを増幅させる場面
      • 資格情報漏洩のリスク
      • クレデンシャルスタッフィングがいまだに成功する理由
      • 安全なアクセスの負担
      • 防御策の実施
        • MFA必須
        • 流出した資格情報を使用するリクエストのブロック
        • Zero Trustセキュリティの導入
      • クレデンシャルスタッフィングの防止
      • ※用語解説:「クレデンシャルスタッフィングとは?
    • 医療におけるセキュリティ確保
      • 医療セキュリティ特有の課題
      • 医療におけるサイバーセキュリティ
      • 医療エコシステムのためのサイバーセキュリティソリューション
        • Zero Trustフレームワーク
        • 強固なネットワークとエンドポイントセキュリティ
        • 定期的なセキュリティ監査と侵入テスト
        • 従業員のトレーニングと意識向上
        • データの暗号化とプライバシー対策
    • M&Aの簡素化とセキュリティ確保
      • より迅速で近代的なIT統合の実現
      • M&Aの展望
      • 一般的なITリスク
        • 休眠状態の脆弱性
        • シャドーIT
        • 規制の影響
      • M&AによるITリスクの軽減
      • スピードの必要性
      • 事業分離でも
      • M&Aの簡素化とセキュリティ確保
    • Redefining cyber security with Zero Trust
      • Strengthening cyber defenses in the digital era
      • Empowering business with ZTNA technology
        1. Evolving businesses cannot rely on perimeter-based security
        2. Expanding workforce
        3. All work-from-home (WFH) environments cannot be verified for security
        4. Advanced Persistent Threats (APTs) get smarter
      • Zero Trust technology: A central trend

Insider risk

    • 悪意あるインサイダーのリスクの低減
      • 脅威は内部から
      • 悪意あるインサイダーのリスクを増大させているトレンド
        • 物理的可視性の不足
        • 私物デバイス使用
        • SaaSアプリケーション導入の増加
        • 「大量離職時代」
      • リスク低減対策の実務
      • 脅威防止のためのZero Trust
        • VPNの非推奨
        • インターネットブラウジングの監視とセキュリティ制御適用
        • IDとその他のコンテキストシグナルに基づくアクセス認証
    • 増大するシャドーITのコスト
      • 無許可アプリケーションが収益に与える影響
      • シャドーITの蔓延とそれに伴うリスクの増大
      • シャドーITの真のコスト
      • 無許可のアプリケーションを使う理由
        • 従業員は、便利かつ効果的で、業務上の特定目的を果たせるツールを使いがち
        • 従業員は、シャドーITがもたらすサイバーセキュリティ上のリスクについて理解していないかもしれません
        • ITの方針や承認プロセスが明確でないか、存在しない場合があります
      • シャドーITのリスク軽減
        1. シャドーIT検出ソリューションの採用
        2. サイバーセキュリティに関する従業員教育
        3. シャドーITに関する社内方針の確立
      • Cloudflareを使ったシャドーIT対策

AI

    • 生成系AIを安全に使う
      • 生成系AIがもたらすセキュリティ上の脅威
      • Zero Trustセキュリティとは?
      • データの保護とセキュリティ
    • AIは脆弱性を発見できるか?
      • AIがセキュリティーに関しては両刃の剣である理由
      • 功罪はともかく、AIは脆弱性の発見に適しているかもしれない
      • 脆弱性の避けられない事実
      • 脆弱性発見の自動化
      • AI対人間のハッカー:AIは脆弱性を発見できるか?
      • AIは脆弱性にパッチを当てられるか?
      • 裏刃:攻撃者による脆弱性ハンティング
      • AIは脆弱性エクスプロイトを書けるのか?
      • ゼロトラストで将来にわたる脆弱性悪用対策
    • サイバー防御におけるAIの使用
      • サイバーセキュリティとAI-強力な融合
      • AIを用いたレイヤー式アプローチ
      • プライバシーと誤用
      • 機会は大きなものであるものの、注意深く進める必要あり
    • 従業員のAI使用を禁止すべきか?
      • LLMのメリットとリスクを精査する
      • ChatGPTやその他AIツールが安全ではない理由
      • 利用禁止の対象者とその理由
      • 禁止における課題
      • 禁止に替わる代案:データ損失防止(DLP)
      • 企業は社員のChatGPTの利用を禁止するべきなのか
    • データをAIから保護
      • AIによって変化する開発事情
      • コーディングで生成系AIを利用することのリスク
        1. AIがプロプライエタリコードを露出(と再生成)する可能性がある
        2. AIが脆弱性を招く可能性がある
        3. AIがデータプライバシー管理を迂回する可能性がある
      • AIへの投資ではセキュリティ優先の心構えが必要
        • 先制的にリスクを特定
        • AI利用に関するプロトコルの開発
        • AI制御の実装と微調整
        • AIのリスクを想定できるデータ保護に投資
    • LLMの保護
      • アプリケーションに組み込まれたLLMのリスクを理解する
      • AI LLMの普及にセキュリティプロトコルのアップグレードが追い付かない
      • 10種類のLLM攻撃とそれがもたらすリスク
        1. プロンプトを注入する見えないテキスト
        2. モデルを操作して誤解を招くような出力
        3. モデルのファイルシステムをコピー
        4. 自然言語を使用
        5. 意図的に細工した情報
        6. プロンプトインジェクション
        7. セキュアでない出力処理
        8. AIモデルでリソースを大量に消費する操作
        9. ソフトウェアサプライチェーン
        10. エンドユーザーを騙すモデル
      • LLMの保護
      • ユーザーエクスペリエンスを損なわない保護
    • AIの時代が到来:ビジネスの安全を維持するには?
      • システム、データ、ネットワークの安全を確保
        1. AIでスキルを強化
        2. メール保護のレイヤーを追加設定
        3. 堅牢で総合的なサイバーセキュリティ戦略への移行
    • ChatGPTの世界で企業を保護する方法
      1. AIでAIと闘う
      2. 電子メールの保護
      3. データを防御する

Internet

    • インターネットは新たな企業ネットワーク
      • セキュリティと制御の課題を乗り切る
      • インターネットが企業のネットワークになった経緯
      • 新たなネットワークの実現に向けた主な課題
        • 一貫性のないネットワークパフォーマンス
        • セキュリティギャップ
        • DNS障害
      • これらの課題を克服する
        • ネットワークパフォーマンス
        • セキュリティ
        • DNS
      • 現代のネットワークの要求に応える

Future Internet

Predictions

    • 2024年の展望:テクノロジーリーダーのための10大予測
      • サイバーセキュリティとITの未来を予測する
      • 1) Starlinkは国のインターネット政策を迂回する
      • 2) フロントエンド開発者の役割は絶えず見直される
      • 3) 初のAIモデル侵害が発生する
      • 4) コスト増大により、賢い生成系AI暴走防止策の実装を余儀なくされる
      • 5) 2024年は耐障害性がセキュリティ上の最優先課題になる
      • 6) SASEはゼロトラストのコントロールプレーンに進化する
      • 7) ネットワークベンダーとセキュリティベンダーは、ついにIPv6をサポートするよう迫られる
      • 8) AIの覇権争いは最高AI責任者任命の普及を促進する
      • 9) AIを駆使したソーシャルエンジニアリング攻撃が頻発する
      • 10) コンプライアンスは複雑化し、範囲も拡大する
      • これは一体何を意味するか

解説 + Zero Trust

参考情報、出典

Cloudflare (English)

Cloudflare (日本語)

Cloudflare リンク集

Cloudflareに関するメディア掲載記事(Published in an IT magazine)

Cloudflare 報道発表資料(Published in PRTIMES)

Classmethod

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.