LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

IT初心者の上司に説明する"ゼロトラスト"~イメージでとらえるゼロトラスト

最近、「ゼロトラスト」という言葉をよく耳にします。しかし、ゼロトラストをきちんと説明できる人は少ないのではないでしょうか?

今回は、よく聞く言葉だけど「ゼロトラスト」について説明できない、実はよく理解していないという方々に向けて、ゼロトラストの意味や実装の仕組みについて分かりやすく説明をします。

IT業界外のゼロトラストへの理解

そもそもゼロトラストというキーワードがでたのは、いつだったのでしょうか。ゼロトラストとは、1994年にスティーブン・ポール・マーシュ氏がコンピュータセキュリティに関するスターリング大学の博士論文で使用した造語が発祥とされており、ネットワークセキュリティに関する考え方の1つです。その後、2018年11月に、Forrester Research社が、「Zero Trust eXtended(ZTX)フレームワーク」と改め、ゼロトラストモデルを実現するための7つの要件を定義しました。

1994年は論文なので、2018年と言っていいのでしょうか。
IT業界の用語は移り変わりが早いにも関わらず、5年も廃れないのは奇跡といっても過言ではありません。

しかし、IT業界を出るとどうでしょうか。
先日、ITではない仕事をしている友人との会話です。

友人「最近何しているの?」
私「ゼロトラスト的なあれこれ」
友人「あーゼロトラストね。うちの会社は、上司は言ったことを忘れる。わかってくれたと信じない。これでしょ?」

ITにあまり詳しくないと正しく理解することは難しいのかもしれません。
そこで、何とか理解してもらえる説明方法はないものか...と悩んでいたところ、「突然誘われて参加した飲み会に、知らない人がいた。そして事件が起こった。」といった話を聞きました。

「誰も、何も信頼してはいけない。まさにゼロトラスト!」と、私は筆をとりました。
まず、ゼロトラストについて、会社に例えて説明します。

会社のオフィスの場合

「株式会社なんでも信頼」は社員数約2,000人です。
本社は基本的に皆、スーツで勤務しています。

社員数約2,000人の「株式会社なんでも信頼」のイメージ

その「株式会社なんでも信頼」に、ある日、同じくスーツを着た他人が新たに入ります。

「株式会社なんでも信頼」に、同じくスーツを着た他人が新たに入ったイメージ

みなさまと同じようにスーツを着て、堂々とあいさつをされている場合、「違う支店の人かな」「転職で入ってきたひとかな」「パートナーさんかな」といった形で、仲間ではないと気づく人は少ないように思います。
この「2,000」人という社員数は、実は弊社規模でありますが、私も知らない社員がたくさんいますので、気づけないと思います。

新型コロナウイルスは終焉を迎えたものの、マスクをしている方はまだ多く、マスクをしてしまうとより分からないでしょう。

マスクをつけた「株式会社なんでも信頼」の社員のイメージ

冒頭のお話のように、飲み会まで来られて盛り上がってしまったら、その方への信頼は高くなり、境界型防御の意味はなくなります。

飲み会の場に新人がやってきたイメージ

しかしこの方が悪い人で、物理的な泥棒であることも考えられます。

「株式会社なんでも信頼」にやってきた新人が泥棒であった場合のイメージ

この状態ですと、信頼できない人が入り込んでしまっており、ゼロトラストセキュリティ環境が実現できていない状況です。

オフィスでの対策

一定数人がいる状況で、上記の例のように関係のないものが混じっていても気づきにくい状態の場合、どのように防げばよいのでしょうか?

一定以上の規模になった場合、オフィスに入るときには「都度」入館証で入ることや、パソコンにパスワードをかける必要があるはずです。ISMSを取得されている企業であれば、退室時も入館証のチェックをされているかと思います。

これらを徹底することでゼロトラスト環境の実現に近づけるのではないでしょうか。

ゼロトラストのイメージ

パソコンやサーバーの世界に置き換えてみる

先ほどは、会社で例えましたが実際の環境に置き換えて説明します。
各自がパソコンを使っています。

「株式会社なんでも信頼」の社員が各自パソコンを使用しているイメージ

いわゆる境界型防御の場合、周りのパソコンやサーバーは全部「信頼」していました。

「株式会社なんでも信頼」の社員が使用するパソコンはアクセスを全て信頼し、すべて許可していた

しかし、サイバーセキュリティは激化し、悪いものはどこかに潜んでいます。ウイルス対策ソフトが入っているといわれるかもしれませんが、検知できないものもたくさんあります。

気付かない内に社員のパソコンには脅威が潜んでいた際のイメージ

「社内にいる(ある)からといって信頼していいわけではない」、これが「ゼロトラスト」となります。

社内にいる(ある)からといって信頼していいわけではない

よって、「都度確認すること」が「ゼロトラストセキュリティ」の基本となります。

「都度確認すること」イコール「ゼロトラストセキュリティ」

実際どういうイメージで実装されるの?

下記は、NIST SP 800-207、デジタル庁 ゼロトラストアーキテクチャ適用方針などをもとに、私が作成した「ゼロトラストアーキテクチャ概念図」です。

ゼロトラストアーキテクチャ概念図

ゼロトラストの中心となるのは、なんといっても「アクセス制御・管理機能」になります。

ゼロトラストの中心は「アクセス制御・管理機能」にある

「アクセス制御・管理機能」は、単に許可しているだけでなく、例えば「急に変なところからアクセス」「パソコンのバージョンがすごく古い」「(統計的に)攻撃者みたいなアクセスをしている」といった情報をもとに判断します。

「アクセス制御・管理機能」は、単に許可しているだけでなく、ユーザーの行動情報などをもとに判断する

結果として、「いつもと違う動きをしている」と判断した場合は、

ユーザーが「いつもと違う動きをしている」場合

アクセスをブロックする、もう一つの認証要素を求める、といった処理をします。

アクセスをブロックする、もう一つの認証要素を求める、といった処理をする

このアクセス制御・管理機能が、各リソース(デバイスやアプリケーション)と都度信頼関係を結ぶことで、ゼロトラストは実現されます。

さいごに

最近ゼロトラストを説明することが多く、できるだけわかりやすく説明するネタを考え続けました。その結果、イラストを基にした話や説明が一番刺さると考えました。

ラックは、B2Bがビジネスの主戦場ですので、「会社」を舞台に書きましたが、「知らない友達を子供が連れてきた」や「飲み会に知らない人がいる」など、舞台はたくさん考えられます。説明先の方の状況に合わせて、言い換えていただけると、より面白いお話にできると思います。ただ、居酒屋で、別のグループの方と意気投合して仲良くなり、仕事になったこともある私としては、リアルの関係はトラストでありたいものだなと思っている次第です。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • SASEとは|導入目的や仕組み・ゼロトラストとの関係・違い

  • アカマイとラックのパートナーシップが10年の節目、ゼロトラストに両社トップが期待を寄せるワケ

  • アイデンティティ管理で開発現場のゼロトラスト・セキュリティを実現、セキュリティとIT運用を自動化するHashiCorpとラックがタッグ