ゼロトラスト
このキーワードを聞くようになって、約1年ぐらいが過ぎたなぁと感じております。
私自身、業務をしていて耳にすることは多いのですが、この言葉が意味することを正しくは理解しておりませんでした。
今回は、自分への備忘録もかねて、ゼロトラストについて簡単に説明をしたいと思います。
<参考:IPA ゼロトラストという戦術の使い方>
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/zero-trust.html
基本的な考え
「全てのデバイス,ユーザ,通信,ネットワークを監視し,認証・認可を行う」
これはどういう意味か。
もう少しブレークダウンすると、
1.モバイル端末、クラウドサービス等含めたすべての資産をリソースとみなす
2.アクセス先、アクセス元がどこであろうと必ず認証、認可のステップを踏ませること
3.認証・認可の際は動的なスコアリングを行うこと
4.通信の状態、ふるまい等を検知すること
他にもポイントはありますが、まずは基本的なところのみ。
それぞれ、更に解説していきます。
1.モバイル端末、クラウドサービス等含めたすべての資産をリソースとみなす
今や企業にとってのIT資産はオンプレミスで所有しているラップトップやサーバだけではなく、モバイルデバイスやクラウドサービスなど多岐にわたっています。それらのすべての資産を把握し、可視化、認証、認可を行っていくことが求められています。
2.アクセス先、アクセス元がどこであろうと必ず認証、認可のステップを踏ませること
社内、社外からに関わらず、すべてのリソースに対してのアクセスを認証・認可を行います。
例えば、企業で管理する「サーバA」に対してのアクセス時に、イントラからのアクセスであっても、リモートからのアクセスであっても同様に本人認証、認可を行うことが求められます。
これにより、内部不正の防止、外部攻撃者によるリソースへの不正アクセスを防止することにつながります。
3.認証・認可の際は動的なスコアリングを行うこと
これは2ともつながるお話なのですが、「誰が」「どこに」「どこから」「どのデバイスで」などの要素を組み合わせ、スコアリングすることで認証する・しない、あるいは認証したとしてもアクセスできるリソースを制限するなどの動的なポリシー設定が求められます。
例えば、本人認証は成功していても、アクセス元のアドレスが海外のアドレスとなっているので認証は通さない、デバイスが個人の携帯端末となっているので、ポータルサイトにアクセスはできても、最低限の事務処理しか操作ができない…など、様々な条件に応じて認証・認可を動的に行います。
4.通信の状態、ふるまい等を検知すること
認証・認可されているから大丈夫、ではなく通信の状態を監視を行うことで、不正な通信を検知、遮断を行う。
例えば、ファイルサーバから大量のデータから持ち出された、特定のリソースに短時間で大量のアクセスが行われた、不正なファイルがダウンロードされた…など、サイバー攻撃、内部不正などにつながるような挙動を検知、防止する、という考えとなります。
最後に
IPAの、「IPA ゼロトラストという戦術の使い方」は以下の様な文言で締めくくられている。
"ゼロトラストはこれを入れれば良いというものではなく,自社の守るべき資産に合わせリスクをどう考え,
どういった技術を組み合わせて守るのかという大前提の元,今までの「外部から攻撃を受けないために
どうすれば良いか」という考えだけでなく,「外部からの攻撃を受けた後,内部からの攻撃をどう防ぐか」
という考えを加えた言葉だと捉えるのが良い。"
上記の理念に基づくと、ゼロトラストを構成するためのソリューションは非常に多岐に渡っていると考えられます。
今後も、「ゼロトラスト」をキーワードとした技術、ソリューションが増えてくるのではないかと思います。