世の中には様々な「ゼロトラスト」の説明・定義があり、それが「ゼロトラスト」の理解を難しくしている原因の一つと考えられます。そのなか2020/8に米国国立標準技術研究所(NIST)が「ゼロトラスト」を定義し、ようやくみんなが共通の理解ができる基盤は整いましたが、その定義は“ゼロトラストのサービスを導入しようとする現場の人達”、“導入を審議する経営者”には難解なものです。
そこでここでは米国国立標準技術研究所(NIST)が定義した「ゼロトラスト」を、一般の人も理解できる意訳にするチャレンジを行いました。
【目次】
1.「ゼロトラスト」の定義
2.「ゼロトラストの定義」の意訳
その1 >>>> エンジニア向け意訳
その2 >>>> 一般の人への意訳
3.ゼロトラストによってできる事
❶内部からの情報漏洩対策(どちらを選択する?)
手法1 >> 内部情報漏洩のリスクが高い従業員のクラウド利用を
集中的に監視・規制・警告する
手法2 >> 全社員のクラウド利用を公認サービスのみに規制する
❷社外からの攻撃対策(アンチ・ウィルスの効果がどんどん落ちているって知ってます?)
その1 “PCやスマホへの攻撃”への対策
その2 “盗まれたID/PWを使ったなりすまし”への対策
1.「ゼロトラスト」の定義
米国国立標準技術研究所(NIST)の定義
2020/8に米国国立標準技術研究所(NIST)が「ゼロトラスト」を定義しました。
【定義】
ゼロトラスト (ZT) は、ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことである。
【考え方】
1. すべてのデータソースとコンピューティングサービスをリソースとみなす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で付与する
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5. すべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
7. 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する
<NISTの「ゼロトラスト」を定義の解説は次のサイトを参照ください>
PwC / 「NIST SP800-207 ゼロトラスト・アーキテクチャ」 の解説と日本語訳
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
IT Media / 「ゼロトラストとは」で検索してもよく分からない?――米国政府による定義「SP 800-207」を読み解く
https://www.atmarkit.co.jp/ait/articles/2008/18/news014.html
IT Media / NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係
https://www.atmarkit.co.jp/ait/articles/2009/15/news007.html
2.「ゼロトラストの定義」の意訳
米国国立標準技術研究所(NIST)の定義は、世界中の人がゼロトラストを同じ意味で理解するために非常に意味がありますが、これを理解できるのは一部のセキュリティの専門家だけだと思います。
一方、企業で情報システムの担当者がゼロトラストのサービス導入の稟議にハンコをもらうためには、専門知識を持たない周りの人たちに人にゼロトラストを理解してもらう必要があります。
そこでNISTの定義の意訳を試みました。
その1 >>>> エンジニア向け意訳
その1 >>>> エンジニア向け意訳
まずは周囲の情報システムのメンバーにNISTの定義を理解してもらう必要があります。
そこで先ずは情報システムのエンジニア向けの意訳を作成しました。
“社内の情報”や“お客様の情報”を、内部からの漏洩、外部からの攻撃から守る、情報セキュリティの技術で
・どのサーバー上、端末上にあっても (クラウド上にあっても、スマホ上にあっても)
・どこで操作しても (社内でも、自宅でも、外出先でも)
・時間の経過によってかわるセキュリティの環境にもリアルタイムに
対策を実施してくれる
<参考>
「ゼロトラスト」が今まで慣れ親しんだ「境界防御」と大きく異なり“内部の情報漏洩”も対象にしています。
そのため、ゼロトラストを理解する上では“情報にとっても脅威は誰か?”を定義する必要があります。ゼロトラストの説明でよく使われる脅威の分類は次のものです。
その2 >>>> 一般の人への意訳
次にゼロトラストの土俵で仕事をする事となる全ての社員への意訳です。
社内外の脅威から自社及びお客様の情報を守るセキュリティのサービス
❶社内からの情報漏洩対策
「内部の情報漏洩の疑いのある行動」を、 “IdaaS” “CASB” を使って、
①検知する
②怪しい接続のワーニングをする
③サイトに接続しない
④その証拠を残す
を行う
❷社外からの攻撃対策
外部の攻撃者が仕掛けてくる
①メールやアクセスしたサイト等からPCやスマホを病原体に感染させ
②盗んだID/PWでなりすまして侵入し
脅迫、身代金要求、搾取等を行う攻撃から、自社及びお客様を守る
なんとなく分かったような気にはなりますが具体的なイメージがわきません。そこで次の項で「ゼロトラストによってできる事」を説明します。
3.ゼロトラストによってできる事
❶内部からの情報漏洩対策(どちらを選択する?)
内部の情報漏洩を防ぐために、手法2の「全社員のクラウド利用を公認サービスのみに規制する」を考える人が多くいると思います。
実はそれだけでなく、手法1の「内部情報漏洩のリスクが高い従業員のクラウド利用を集中的に監視・規制・警告する」といった事もIdaaSとCASBを組み合わせる事によって可能となります。
手法1と手法2のどちらを選択するかは自社の環境に合わせて選択しましょう。
手法1 >> 内部情報漏洩のリスクが高い従業員のクラウド利用を集中的に監視・規制・警告する
利用するサービス >>> IdaaS + CASB
手法2 >> 全社員のクラウド利用を公認サービスのみに規制する
利用するサービス >>>CASB
❷外部からの攻撃対策(アンチ・ウィルスの効果がどんどん落ちているって知ってます?)
その1 “PCやスマホを病原体を使って攻撃”への対策
殆どのPCにはアンチウィルスソフトがインストールされているので、外部からの攻撃に対して自分は安全だと考える人は多いと思います。
ところが現在、そのアンチウイルスソフトが効かない病原体の攻撃が、従来のウィルス攻撃の数を上回っています。
これらの病原体の攻撃を防ぐ手段を導入する必要があります。これがEDR+SOCです。
利用するサービス >>> EPP + EDR + SOC = MDR
その2 “盗まれたID/PWを使ったなりすまし”への対策
自分が知らない裏社会で自分のID/PWが売買され、自分になりすましてサイトにアクセスされる事があります。PWを使ったログインは決して安全ではありません。
対策として最近は“ログインの際に自分のスマホに接続確認が表示されて、OKをすると初めてサイトにログインできる”多要素認証が安全性の高い方法として利用され始めています。
これを提供する代表的なサービスがIdaaSです。
利用するサービス >>> IdaaS
(関連情報)
ゼロトラストの基礎知識
“セキュリティ”の為にみんなが今までやってきた事と、これからすべきことの基礎知識
https://qiita.com/masaaki-murakami/items/28a737c373138f3773ea
ゼロトラスト / IdaaS + CASB の設計例
ゼロトラスト / “内部の情報漏洩”対策 >>> IdaaS + CASB
https://qiita.com/masaaki-murakami/items/87d9bdc3fc0deb01ffcd
ゼロトラスト / MDR = EPP+EDR+SOCの設計例
“外部からの攻撃(身代金、搾取等)”対策【 PC・スマホ 】>>>「MDR = EPP + EDR + SOC」
https://qiita.com/masaaki-murakami/items/0f952c10b17c3dba3815