ゼロトラストセキュリティモデル

電子メールの脅威は、悪意のあるリンクや添付ファイルの配信にとどまらず、進化しています。そのため、企業は電子メールに対してゼロトラストセキュリティモデルに頼るようになっています。現在では、送信者の身元を操作して受信者を欺いたり、ソーシャルエンジニアリング攻撃を仕掛けたりすることもあります。こうした攻撃の大半はマルウェアを注入するものではなく、また、こうしたメールには危険な要素を特定することができないため、最も高度なメールセキュリティゲートウェイや防御策さえも簡単に回避することができます。

金融機関は以下のような影響を受けています。 24.9パーセント のフィッシング攻撃を受けました。さらに、ソーシャルメディアが23.6%を占め、この2つの業界は最もフィッシングの標的になっています。

その結果、企業は、急速に拡大する脅威や常に一歩先を行くハッカーに動的に対応できる、ゼロ・トラストセキュリティモデルと呼ばれるセキュリティアーキテクチャの必要性を感じています。

Zero Trust Security Modelとは?

ゼロトラスト・セキュリティは、「信頼するが検証する」というアプローチとは本質的に逆の、新しいITセキュリティの概念です。ゼロ・トラスト・セキュリティ・モデルでは、デフォルトで誰も何も信用せず、代わりにすべてを検証します。つまり、ネットワークへのアクセスを許可する前に、各ユーザー、デバイス、アプリケーションの身元を確立し、検証する必要があります。

メールセキュリティにゼロトラストセキュリティモデルが必要な理由

ゼロトラストメールセキュリティシステムは、ユーザー名とパスワードよりもはるかに強力な複数の要素によって本人認証を行うことなく、誰も企業データにアクセスできないようにするものです。

しっかりとしたメールセキュリティシステムは、あなたの安全を守るために4つの重要な機能を備えています。

  • メール認証は、悪質な電子メールに対するゼロ・トラスト・セキュリティ・モデルの最初のステップです。これは、電子メールの送信者が本人であることを確認する方法を提供します。単一のソリューションが100%有効というわけではありませんが、SPF、DKIM、DMARCを組み合わせて実装することで、より効果的になります。 DMARCを組み合わせて導入することで、最もよく知られた電子メール攻撃からお客様を保護することができます。
  • 2ファクタ認証電子メールの二要素認証を有効にすることは、最近では欠かせません。これは、メールアカウントにログインする際に、テキストメッセージやモバイルプッシュ通知を携帯電話に送信し、本人であることを確認するものです。
  • パスワード管理:すべてのパスワードを一箇所に保存し、ワンクリックで入力することができます。しかも、暗号化されているので、誰にも見られません。パスワードがシステムやモバイル端末に保存されていないことを確認し、悪質な業者があなたのシステムに侵入した場合に、パスワードにアクセスできないようにしましょう。
  • メールの暗号化。強力な暗号化により、メッセージを暗号化し、意図した受信者だけが読めるようにします。

電子メールにおけるゼロ・トラスト・セキュリティモデルを構築するには?

電子メール認証プロトコルは、受信者に自分の身元を証明することを可能にします。 

電子メールのゼロ・トラスト・セキュリティ・モデルの基盤となるのは、3つの主要な電子メール認証プロトコルです。

  • Sender Policy Framework (SPF)です。SPFは、市場で発売された原始的な電子メール認証プロトコルの1つです。DNSにSPFレコードを追加すると、ドメインの代わりにメール送信を許可するサーバーを指定することができます。
  • ドメインキー識別メール(DKIM):このプロトコルも、公開鍵を持つDNSレコードを使用して、あなたのドメインから送信されたすべてのメッセージに署名します。この公開鍵は、あなたのメッセージを受け取った誰もが検証でき、そのメッセージが本当にあなたのドメインから送信されたかどうかを確認するために使用することができます。
  • DMARC(ドメインベースのメッセージ認証、報告および適合性)。:DMARCは、両プロトコル(またはどちらか)の上に構築され、フィッシングを防ぐために認証チェックに失敗したメッセージを受信者がどう扱うべきかの具体的なガイダンスを提供します。

電子メール認証と並んで、ゼロ・トラストセキュリティモデルを実現するためには、次のようなものを組み込む必要があります。  

1.セキュリティ対策のベースラインを確立する

ゼロ・トラストのメールセキュリティモデルを構築するための最初のステップは、セキュリティ対策の基本方針を確立することです。これには、暗号化、マルウェア検出、データ損失防止(DLP)、セキュアメールゲートウェイ(SEG)などの技術の導入が含まれます。 

2.トランザクションフローのマッピング

次のステップは、内部ユーザーと外部ユーザー間のすべてのトランザクションフローをマップすることです。そして、どのような種類のアクセスがユーザーに必要で、どのようなアクセスが必要でないかを判断します。 

3.ゼロトラストネットワークの構築

最後に、攻撃者がネットワークにアクセスしたという最悪の事態を想定したゼロトラストネットワークを構築します。このタイプのネットワークでは、リソースやサービスへのアクセスを許可する前に、すべてのリクエストを検証する必要があります。 

4.ゼロ・トラスト・ポリシーの作成

Zero Trust環境の構築は、Zero Trustポリシーの構築です。これは、資産を特定し、すべてのホスト、デバイス、サービスを含む資産目録を作成することから始まります。 

5.ネットワークの監視と保守

ネットワークは、悪意のある者がアクセスすると常に脆弱になるため、常に監視し、何か問題が発生したときに警告を発するオンサイトまたはクラウドベースのソリューションでセキュリティを維持することをお勧めします。

ゼロ・トラストセキュリティモデルを導入しなければ、企業はリスクを負うことになる。

決まり文句のように聞こえるかもしれませんが、残念ながらそれは真実です。企業の電子メールは依然としてサイバー攻撃の第一の媒介者です。これが事実である限り、電子メールセキュリティにゼロ・トラストアプローチを採用していない組織は、数多くのリスクに直面することになります。ここでは、そのいくつかをご紹介します。

ゼロデイフィッシング攻撃

従業員がメッセージ内のリンクや添付ファイルを開くと、マルウェアが端末にダウンロードされ、組織のITインフラが侵害される可能性があります。

ブランドレピュテーションのリスク

また、ハッキングされたことが顧客に伝わると、ブランドの評判を落とすことにもなりかねません。データが安全でないと思われたり、セキュリティプロトコルを維持するほどプロフェッショナルな会社ではないと判断されたりすると、顧客を失うことになるかもしれません。

ドメインスプーフィング攻撃

ドメインスプーフィング攻撃とは、ドメイン名偽装のことで、攻撃者が信頼できる組織のドメインになりすまし、その組織に代わって悪意のある情報を発信するものです。この手法では、攻撃者が組織内の役員になりすまし、機密情報や電信送金を要求するメールを送信することがあります。

ビジネスメール誤送信

BECは世界的な問題であり、年々巧妙化・複雑化しています。FBIは、2013年10月以降、BEC攻撃による企業への被害額は120億ドル以上に上ると推定しています。ハッカーは、セキュリティ対策を回避する新しい方法を常に考案し、人々を騙して間違った口座に送金させたり、貴重な情報を無料で送信させたり、必要なデータを単に削除させたりしています。

最後の言葉

企業の電子メールインフラは保護されなければならない、という真実から逃れることはできません。外側から防御するという旧来の防御戦略はもはや有効ではありません。ゼロ・トラスト・セキュリティ・モデルが不可欠な主な理由は、組織を内部から保護する必要があるからです。 

すべてのドメインとサブドメインにおいて、SPFとDKIMの実装をサポートした効果的なDMARCポリシーの実装を推奨します。また、DLPやマルウェア解析を含むアウトバウンドフィルタリングも推奨します。