#author("2021-07-11T11:56:18+00:00","default:admin","admin") #author("2021-12-14T06:58:24+00:00","default:admin","admin") -[[なぜ、いまゼロトラストなのか:https://news.mynavi.jp/series/zerotrust/]] -[[気付いたらゼロトラストだった――セキュリティ強化のためのネットワーク構築、重要なのは何がやりたいか:https://www.itmedia.co.jp/news/articles/2104/30/news110.html]] *ゼロトラストネットワークの基本 [#jb51c6e9] 「デバイスがリソースにアクセスする際にその可否を判定する」 これを実現するには以下の3つの要素が必要。 -デバイスの状態や利用者などの「情報収集」。現在出回っている攻撃などの情報も集める。 -収集した情報と企業ネットワークのセキュリティポリシーを組み合わせて「アクセスレベルを決定」すること。 -決定したレベルに基づく「アクセス制御」を実現すること。 **NISTが定義する7原則 [#l3189a4f] -全てのデータソースと処理サービスをリソースと考える -ネットワークの場所に関係なく、全ての通信が保護される -リソースへのアクセスはセッションごとに許可される -リソースへのアクセスは動的なポリシーによって決定される -組織に関連する機器は可能な限り安全を保てるよう、継続的に監視する -リソースの認証と認可は動的に実現され、許可する前に厳密に適用される -ネットワークインフラとコミュニケーションの現状をできる限り収集する **7原則を実現するための具体的なアクション [#a665a610] -ネットワークのフローは処理前に認証する -ネットワークのフローは暗号化する -認証と暗号化をエンドツーエンドで実行する -全てのネットワークフローをアクセス制御の対象とする -デバイスの状態を定期的に収集する **導入する際のアプローチ [#z588b29c] 以下の3つの方式がある。 -IDガバナンスの拡張 -マイクロセグメンテーション -ソフトウェア定義による境界 *[[NIST SP800-207:https://csrc.nist.gov/publications/detail/sp/800-207/final]] [#v7c08a32] -[[NIST SP800-207 邦訳:https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf]] *構成要素 [#y3d0ea1a] **認証と認可 [#ibccb5ea] ***IDaaS (Identity as a Service) [#q0a20f53] ***IAM (Identity and Access Management) [#fb6dfc04] -SaaSへの全てのユーザ認証をIAMに集約することで、誰がいつ認証し、どのSaaSに対して・どの権限で認可したのかを制御できる ***特権ID [#d25fa861] -避けるべきこと --ユーザが普段利用するIDに特権を付与し続けること --特権を持つIDを共有すること -業務上必要な作業時のみ、一時的な特権を付与し、特権の利用を記録・管理するために単一のIDのみを利用できる環境が望ましい **デバイス認証 [#hfdab543] -デバイス認証は、組織に登録された端末であることの確認と判断を行う認証 端末認証はデバイスに配布されている証明書(X.509証明書など)の有無にてIDaaSが判断する ***MDM (Mobile Device Management) [#g197c182] ***ゼロタッチデプロイ [#l01c26f5] -メーカーから直接デバイスがユーザに届けられても、MDMにより任意のイメージを、初回ログイン時にインストールできる **エンドポイントセキュリティ [#r5b826d3] ***デバイスの健全性 [#y5f7c89b] -OSおよびアプリケーションのバージョン、各種設定状況、脆弱性の保有状況や、所定のセキュリティツールのインストール状況などから判断される -EDRによって検出されたセキュリティインシデントの重要度によっても評価される ***EDR (Endpoint Detection and Response) [#ya4ca8ad] -デバイス内での振る舞いから攻撃判断を行い、攻撃元や攻撃経路などの情報も含めて対処していくアプローチのソフトウェア ***CASB (Cloud Access Security Broker) [#t4ef5931] -クラウドサービスへのアクセスを検知して制御を行う ***Windowsの場合 [#aaf06a68] -EDRとして Microsoft Defender for Endpoint を導入すると、このエージェントはOS にはじめから組み込まれているため、エージェントアップデートの手間がなく、OSのアップグレードにも自動的に追従する **SaaSとWebの利用制御 [#gd9c05b2] ***ポート80番と443番以外の通信制御 [#uf3ae738] ***シャドーITへの対応 [#mbb04eff] **SIEMとSOAR [#u10efcad] ***SIEM (Security Information Event Management) [#k37d4f4d] -サーバOSやその上で動くアプリケーションのログを保管し、正規表現での検索と可視化が可能になるソフトウェア ***SOAR [#o85f9fb3] -ログから得られたデータから機械的に計算と判断を行い、人的な対応を促したり、自動化を行ったりするソフトウェア *関連技術 [#ubbc629e] ***IAP (Identity Aware Proxy) [#x3429a7e] -ウェブサイトへのリクエストをインターセプトし、リクエストを送信したユーザーを認証して、認証されたユーザーにのみサイトへのアクセスを許可する、という一連の処理を行うサービス ***SWG (Secure Web Gateway) [#q971d65d] -インターネットへの安全なWebアクセスを提供するためのネットワークノード ***DLP (Data Loss Prevention) [#e47ec430] -情報漏えいを防ぐことを目的とするセキュリティツール、システム -特定のデータの持ち出しやコピーを検知し、自動的にブロックすることが可能