-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
最近、「ゼロトラスト」という言葉をよく耳にします。しかし、ゼロトラストをきちんと説明できる人は少ないのではないでしょうか?
今回は、よく聞く言葉だけど「ゼロトラスト」について説明できない、実はよく理解していないという方々に向けて、ゼロトラストの意味や実装の仕組みについて分かりやすく説明をします。
IT業界外のゼロトラストへの理解
そもそもゼロトラストというキーワードがでたのは、いつだったのでしょうか。ゼロトラストとは、1994年にスティーブン・ポール・マーシュ氏がコンピュータセキュリティに関するスターリング大学の博士論文で使用した造語が発祥とされており、ネットワークセキュリティに関する考え方の1つです。その後、2018年11月に、Forrester Research社が、「Zero Trust eXtended(ZTX)フレームワーク」と改め、ゼロトラストモデルを実現するための7つの要件を定義しました。
1994年は論文なので、2018年と言っていいのでしょうか。
IT業界の用語は移り変わりが早いにも関わらず、5年も廃れないのは奇跡といっても過言ではありません。
しかし、IT業界を出るとどうでしょうか。
先日、ITではない仕事をしている友人との会話です。
友人「最近何しているの?」
私「ゼロトラスト的なあれこれ」
友人「あーゼロトラストね。うちの会社は、上司は言ったことを忘れる。わかってくれたと信じない。これでしょ?」
ITにあまり詳しくないと正しく理解することは難しいのかもしれません。
そこで、何とか理解してもらえる説明方法はないものか...と悩んでいたところ、「突然誘われて参加した飲み会に、知らない人がいた。そして事件が起こった。」といった話を聞きました。
「誰も、何も信頼してはいけない。まさにゼロトラスト!」と、私は筆をとりました。
まず、ゼロトラストについて、会社に例えて説明します。
会社のオフィスの場合
「株式会社なんでも信頼」は社員数約2,000人です。
本社は基本的に皆、スーツで勤務しています。
その「株式会社なんでも信頼」に、ある日、同じくスーツを着た他人が新たに入ります。
みなさまと同じようにスーツを着て、堂々とあいさつをされている場合、「違う支店の人かな」「転職で入ってきたひとかな」「パートナーさんかな」といった形で、仲間ではないと気づく人は少ないように思います。
この「2,000」人という社員数は、実は弊社規模でありますが、私も知らない社員がたくさんいますので、気づけないと思います。
新型コロナウイルスは終焉を迎えたものの、マスクをしている方はまだ多く、マスクをしてしまうとより分からないでしょう。
冒頭のお話のように、飲み会まで来られて盛り上がってしまったら、その方への信頼は高くなり、境界型防御の意味はなくなります。
しかしこの方が悪い人で、物理的な泥棒であることも考えられます。
この状態ですと、信頼できない人が入り込んでしまっており、ゼロトラストセキュリティ環境が実現できていない状況です。
オフィスでの対策
一定数人がいる状況で、上記の例のように関係のないものが混じっていても気づきにくい状態の場合、どのように防げばよいのでしょうか?
一定以上の規模になった場合、オフィスに入るときには「都度」入館証で入ることや、パソコンにパスワードをかける必要があるはずです。ISMSを取得されている企業であれば、退室時も入館証のチェックをされているかと思います。
これらを徹底することでゼロトラスト環境の実現に近づけるのではないでしょうか。
パソコンやサーバーの世界に置き換えてみる
先ほどは、会社で例えましたが実際の環境に置き換えて説明します。
各自がパソコンを使っています。
いわゆる境界型防御の場合、周りのパソコンやサーバーは全部「信頼」していました。
しかし、サイバーセキュリティは激化し、悪いものはどこかに潜んでいます。ウイルス対策ソフトが入っているといわれるかもしれませんが、検知できないものもたくさんあります。
「社内にいる(ある)からといって信頼していいわけではない」、これが「ゼロトラスト」となります。
よって、「都度確認すること」が「ゼロトラストセキュリティ」の基本となります。
実際どういうイメージで実装されるの?
下記は、NIST SP 800-207、デジタル庁 ゼロトラストアーキテクチャ適用方針などをもとに、私が作成した「ゼロトラストアーキテクチャ概念図」です。
ゼロトラストの中心となるのは、なんといっても「アクセス制御・管理機能」になります。
「アクセス制御・管理機能」は、単に許可しているだけでなく、例えば「急に変なところからアクセス」「パソコンのバージョンがすごく古い」「(統計的に)攻撃者みたいなアクセスをしている」といった情報をもとに判断します。
結果として、「いつもと違う動きをしている」と判断した場合は、
アクセスをブロックする、もう一つの認証要素を求める、といった処理をします。
このアクセス制御・管理機能が、各リソース(デバイスやアプリケーション)と都度信頼関係を結ぶことで、ゼロトラストは実現されます。
さいごに
最近ゼロトラストを説明することが多く、できるだけわかりやすく説明するネタを考え続けました。その結果、イラストを基にした話や説明が一番刺さると考えました。
ラックは、B2Bがビジネスの主戦場ですので、「会社」を舞台に書きましたが、「知らない友達を子供が連れてきた」や「飲み会に知らない人がいる」など、舞台はたくさん考えられます。説明先の方の状況に合わせて、言い換えていただけると、より面白いお話にできると思います。ただ、居酒屋で、別のグループの方と意気投合して仲良くなり、仕事になったこともある私としては、リアルの関係はトラストでありたいものだなと思っている次第です。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR