はじめに
じゃ、ゼロトラストを実現するには、何をすればよいでしょうか?
その前に、ゼロトラストモデルの構成と要件を理解する必要がありそうです。
前回のおさらい
ゼロトラストモデルと従来の境界防御モデルの簡単比較
ゼロトラストはバズワードではありませんでした
NIST SP 800-207やForrester ZTXによって、明確に定義されていました。
NIST SP 800-207のゼロトラスト・アーキテクチャ
NIST(米国国立標準技術研究所) SP 800-207による、ゼロトラスト・アーキテクチャの定義です。
PwCコンサルティング合同会社様が日本語に翻訳し、公開されていました、感謝感謝。
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf
NIST SP 800-207で、ゼロトラストの考え方
- リソースとは、全てのデータソース、コンピューティングサービスを指す
- ネットワークの場所に関係なく、全ての通信を保護
- セッション単位で、企業リソースへのアクセスを許可
- 以下動的ポリシーによって、リソースへのアクセスを決定
- クライアントID
- アプリケーション
- 情報資産の状態
- 行動属性
- 環境属性
- 企業は、全ての資産の整合性とセキュリティ動作を監視/測定
- アクセス許可のため、全てのリソースに対し認証/認可を動的/厳格に実施
- セキュリティ対策の改善のため、企業は下記の現状について可能な限り多く情報収集
- 資産情報
- ネットワークインフラストラクチャ
- 通信
ゼロトラストネットワークアーキテクチャ
論理コンポーネント
- Control Plane
- Subject
- アクセス要求元のユーザー/アプリケーション/デバイス
- PEP(Policy Enforcement Point)
- 接続を監視
- Enterprise Resource
- 企業リソースのデータ/アプリケーション
- Subject
- Data Plane
- PE(Policy Engine)
- リソースへのアクセス許可を決定
- PA(Policy Administrator)
- 通信経路確立とシャッドダウン実施
- PDP(Policy Decision Point)
- アクセス許可を判断するためのポリシー決定
- PE(Policy Engine)
ゼロトラスト・エクステンデッド(ZTX)で、ゼロトラストに求められる機能
The Zero Trust eXtended(ZTX) Ecosystemに定義されています。
- ネットワーク対策
- セキュアウェブゲートウェイ(SWG)
- ソフトウェアによる境界定義(SDP)
- インターネット分離
- デバイス対策
- エンドポイント保護プラットフォーム(EPP)
- エンドポイントでの検出と対応(EDR)
- IT資産管理
- モバイルデバイス管理(MDM)
- ID管理対策
- 多要素認証
- シングルサインオン
- 統合ID管理
- 特権ID管理
- ワークロード対策
- クラウドセキュリティポスチャーマネジメント(CSPM)
- 脆弱性管理
- データセキュリティ対策
- 情報漏洩監視
- ファイルアクセス制御によるデータ保護
- 可視化と分析
- クラウドアクセスセキュリティブローカー(CASB)
- 統合ログ管理
- SIEM(Security Information and Event Management)
- セキュリティ運用の自動化
- セキュリティインシデントの発生から処理まで全過程を自動化
- 例: SOAR(Security Orchestration, Automation and Response)
- セキュリティインシデントの発生から処理まで全過程を自動化
おわりに
理論だけでお腹いっぱいになりました。
次回は、ゼロトラストの実践として、試しに関連ツールを検証してみます。
お楽しみに。