ゼロトラストネットワークの基本 †
「デバイスがリソースにアクセスする際にその可否を判定する」
これを実現するには以下の3つの要素が必要。
- デバイスの状態や利用者などの「情報収集」。現在出回っている攻撃などの情報も集める。
- 収集した情報と企業ネットワークのセキュリティポリシーを組み合わせて「アクセスレベルを決定」すること。
- 決定したレベルに基づく「アクセス制御」を実現すること。
NISTが定義する7原則 †
- 全てのデータソースと処理サービスをリソースと考える
- ネットワークの場所に関係なく、全ての通信が保護される
- リソースへのアクセスはセッションごとに許可される
- リソースへのアクセスは動的なポリシーによって決定される
- 組織に関連する機器は可能な限り安全を保てるよう、継続的に監視する
- リソースの認証と認可は動的に実現され、許可する前に厳密に適用される
- ネットワークインフラとコミュニケーションの現状をできる限り収集する
7原則を実現するための具体的なアクション †
- ネットワークのフローは処理前に認証する
- ネットワークのフローは暗号化する
- 認証と暗号化をエンドツーエンドで実行する
- 全てのネットワークフローをアクセス制御の対象とする
- デバイスの状態を定期的に収集する
導入する際のアプローチ †
以下の3つの方式がある。
- IDガバナンスの拡張
- マイクロセグメンテーション
- ソフトウェア定義による境界
関連技術 †
IAM (Identity and Access Management) †
IAP (Identity Aware Proxy) †
EDR (Endpoint Detection and Response) †
MDM (Mobile Device Management) †
SIEM (Security Information Event Management) †
CASB (Cloud Access Security Broker) †
SWG (Secure Web Gateway) †
DLP (Data Loss Prevention) †