はじめに
ゼロトラスト・セキュリティモデルの考察と検証をスタートします。
ゼロトラストとは
Wikipediaで、ゼロトラスト・セキュリティモデルの定義
- ゼロトラスト・セキュリティモデルとは
-
決して信頼せず、常に検証せよという考えに基づいた、ITシステムの設計及び実装に関するモデル - たとえ、企業内ネットワークへの許可された接続であっても信頼しないこと
- 従来は、企業内ネットワークへVPN接続するデバイスは信頼できるものと考えていた
-
- ゼロトラスト(ZT)の考え方
- 場所に関係なく、デバイスIDと整合性の確認を含む相互認証を行う
- ユーザー認証を組み合わせることにより、アプリケーションとサービスへのアクセスを承認する - ゼロトラストアーキテクチャ(ZTA)とは
- ゼロトラストの概念を活用した企業のサイバーセキュリティ対策計画
- コンポーネントの関係
- ワークフローの計画
- アクセスポリシー
- ゼロトラストの概念を活用した企業のサイバーセキュリティ対策計画
- ゼロトラストエンタープライズとは
- ゼロトラスト・アーキテクチャの成果として企業に導入された
- 仮想的なものも含むネットワークインフラ及び運用ポリシーのこと
信頼してはいけないものは?
- 内部ネットワーク
- 端末
- ユーザー
- アプリケーション
- ???
結局、全てを信頼してはいけないとのことです。
ゼロトラストの考え方
- 人間の感情である信頼(トラスト)をコンピューターネットワークに持ち込むな
- その信頼こそが攻撃者に付け込まれる脆弱性となる
- あらゆる要素を検証することで、信頼度を確認し、それに応じたアクセスを提供すべき
なぜゼロトラストの導入が必要となったのか
背景となるのは、
- セキュリティ脅威の増加
- テレワークの普及
- クラウドサービスの導入
従来の境界防御モデルは何がいけなかったか
- 境界の内側が、サイバー攻撃対象に
- 境界外側から厳重なファイアウォールの正面突破ではなく
- 境界内側の安全と思われている内部ネットワークに忍び込む
- 例えば、標的型メールなどで端末を感染させ情報窃取や改ざんを試みる
- 境界の外側に、情報資産が存在
- 機密情報は社内のみならず、クラウドなどにも保存するようになった
- これらの情報資産をどのように一元管理/保護するかが課題
- 境界の外側から、リモートアクセスが必須
- テレワークの普及により、境界の外側からアクセスが必須となった
- 個人端末からインターネットとクラウドへの安全な通信が課題
- VPNの脆弱性に付け込んだ不正侵入を防ぐには
ゼロトラスト・アーキテクチャの原則
- 一度きりの強力なユーザーID
- ユーザー認証
- マシン認証
- ポリシーの遵守やデバイスの健全性などの追加のコンテキスト
- アプリケーションにアクセスするための認可ポリシー
- アプリケーション内のアクセス制御ポリシー
いきなり個人的な疑問
0%のトラストにより、100%のセキュリティを達成できるでしょうか
個人的な感想で恐縮ですが、Noと思います。
というか、ゼロトラストという用語には違和感を感じます。
信頼は会社組織ないし人間社会における大事な土台で、セキュリティにも必要不可欠。
強い信頼関係により、かえってセキュリティは強化されるケースもあるかと。
ゼロトラストはあくまで、一つのセキュリティモデルとして捉えたい。。。
おわりに
ゼロトラスト・セキュリティモデルの基本を理解しました。
次回は、ゼロトラストの実現に必要なソリューションを見てみます。