昨今、よく聞かれる”ゼロトラスト”について、業界の最先端で活躍されている方や当社が情報セキュリティ関連の支援現場で携わってきた経験などをもとにした情報を取りまとめてみました。
はじめまして。株式会社プロアクションの宮崎と申します。今回は、これまで情報セキュリティ業界に携わってきた立場から、その背景とゼロトラストの概要をテーマにしています。
はじめに
新型コロナウィルスの感染拡大の影響は、世界に大きな影響を及ぼしています。企業は在宅勤務、リモートワークを余儀なくされ、自ずと情報セキュリティについての懸念が言われるようになりました。
このような背景の中、”ゼロトラスト”という概念が注目され、多くのクラウドサービス事業者が自社サービスの説明等に引き合いに出されることが多くなりました。特に、ゼロトラストについての理念や基本的な考え方が、NIST(National Institute of Standards and Technology/アメリカ国立標準技術研究所)からドラフト版が2020年2月に公表されたことも、現在の時流の後押しになったと考えられます。
加えて、2020年6月「政府情報システムにおけるゼロトラスト適用に向けた考え方」というディスカッションペーパーが公表されましたこともあり、2010年にForester Research社により提唱されたゼロトラスト・セキュリティーという概念が、日の目を見るようになってきたのです。
これまでのセキュリティマネジメント
これまでのセキュリティマネジメントモデルは、企業のビジネスで利用する業務データや個人情報等は、社内の限られた場所(サーバ室やデータセンター等)に保管され、オンプレミスと呼ばれてきました。ゼロトラストモデルは、境界の考え方が取り払われた考え方となっており、両者を比較すると次の表のようになります。
情報資産の保管場所 | 区分 | 特徴 | |
社内 | on-premises | 境界防御型 | ・情報資産は社内に保管 ・社内からのアクセスのみ ・外部、インターネットからの脅威を防ぐ |
社外 | off-premises | 個別認証型 | ・情報資産は社内や社外(クラウド)に保管 ・社内や社外からアクセス ・境界ではなく、通信ごとの個別認証 |
Zero Trust Architecture/NIST SP800-207の概要
ゼロトラストモデルについての理念や基本的な考え方は、NIST(National Institute of Standards and Technology/アメリカ国立標準技術研究所)のZero Trust Architecture (SP 800-207)をもとにしたいと思います。同書は多くのセキュリティベンダーに参照されていることで有名ですが、まずはその原典から、ゼロトラストとはどのようなものを指しているのか、概要を見てみます。
ゼロトラストの基本
ゼロトラストは、リソースの保護にフォーカスされたサイバーセキュリティパラダイムであり、信頼されるか否かは、決して暗黙的に付与されるのではなく、継続的に評価されなければならないという前提に立っています。
Zero Trust Architecture (SP 800-207)の”ゼロトラストの基本”という章には、以下のようなポイントが記載されています。
- ゼロトラストアーキテクチャは、企業リソースにアクセスするend-to-endのアプローチである
- リソースには必要最低限の権限(例えば読み取り、書き取り、削除)のみ付与する
- ゼロトラストアーキテクチャは、企業リソースにend-to-endのアプローチであり、データセキュリティです。それは次のものを包含しています。ID,クレデンシャル、アクセス管理、オペレーション、endpoint、ホスティング環境等
ゼロトラストの理念
次にゼロトラストの理念について記載します。これらの理念は理想的な目標ですが、組織によって取捨選択されるものであり、すべての原則が完全に実装されなければならないということではない点に注意が必要です。
# | ゼロトラスト基本理念 |
1 | 全データソースとコンピューティングサービスは、リソースと考える。 |
2 | 全ての通信が、ネットワークの場所に関係なく保護される。 |
3 | 個々のエンタープライズリソースへのアクセスは、セッションごとに与えられる。 |
4 | リソースへのアクセスは、クライアントID、アプリケーション、および要求アセットの監視可能な状態を含む動的ポリシーによって決定される。そして、他の動作属性が含まれる。 |
5 | 企業は、所有および関連するすべてのデバイスが可能な限り最も安全な状態にあることを確保し、資産を監視して、それらが可能な限り最も安全な状態にあることを確保する。 |
6 | すべてのリソース認証と承認は動的であり、アクセスが許可される前に厳密に適用される。 |
7 | 企業は、ネットワーク インフラストラクチャと通信の現在の状態に関する情報を可能な限り収集し、セキュリティ体制を改善するためにそれを使用する。 |
—-今回はここまで。