1.概要
カタカナではなく、英語で記載すると概念がわかりやすいです。Zero Trust、0の信頼、つまり信頼しないということです。
クラウドサービスが台頭するまでは、インターネット通信のセキュリティ設計は境界防御というのが主流で、境界(例えばオフィス)の内側は安全だから信頼する(ノーチェック)が、外側は危険だから確認する(チェック)という設計が一般的でした。しかしながら、クラウドサービスの台頭とコロナ渦での急速なリモートワーク利用の拡大による、境界の外側(自宅/カフェなど)でも仕事をするようになりました。そんな状況下では、従来の境界防御である内側(オフィス)が安全という設計では安全性を確保することが難しくなってきたこともあり、普及してきたのがこのゼロトラストという考え方になります。
具体的には、システムへのインターネット通信は全て安全性を保証できない前提で、セキュリティと運用を考えましょうということです。詳細についてはIPAの資料がわかりやすいです。
2.ゼロトラストのアーキテクチャについて
1.すべてのデータソースとコンピューティングサービスをリソースとみなす
2.ネットワークの場所に関係なく、すべての通信を保護する
3.企業リソースへのアクセスをセッション単位で付与する
4.リソースへのアクセスは、クライアントアイデンティティ、アプリケーショ ン/サービス、リクエストする資産の状態、その他の⾏動属性や環境属性を含めた動的ポリシーにより決定する
5.すべての資産の整合性とセキュリティ動作を監視し、測定する
6.べてのリソースの認証と認可を⾏い、アクセスが許可される前に厳格に実施する
7.資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する
上記の考え方を元にシステムを構成する上で必要なものは要素は以下となります。
全て実装しないといけないというわけではなく、企業の働き方やシステム構成によって徐々に進めていく方針で良いと考えられますが、構成する上で重要なものはID統制とデバイスの保護です。
・ID統制
誰がどのサービスへアクセス可能か各SaaSのIDと権限を一元管理し、また通信の都度それが正しい通信か認証を行います。
・デバイスの保護
デバイスのセキュリティ対策
境界防御がなくなった今、これまで以上に業務に利用するデバイスのセキュリティ対策は重要になります。
・ネットワークセキュリティ
デバイスからサービスへのネットワーク通信の監視・制御を行います。
具体的には、Webサイトやアプリケーションへの利用の許可/禁止を制御、また有事に備えてログを蓄積することなどです。
・データ漏洩防⽌
内部や攻撃者による機密情報の不正なデータの持ち出しを防止します。
・ログの収集・分析
デバイス、ネットワーク通信、アプリケーションなどの各種ログを収集し、分析します。
各要素ごとにログは一定取得できますが、それを一元的にまとめたログ収集サーバのようなソリューションで実現します。
3.要素に対するソリューション
各要素とそに対応するソリューションを一覧に整理しました。
繰り返しになりますが、全てを実装しないといけないわけではなく、組織の働き方や将来像を元に、システムを成長(拡張)することができるように組むことが大切です。
セキュリティも大事ですが、事業あってこそのセキュリティという視点も忘れずに。
0コメント