情報セキュリティ/ゼロトラスト
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
-[[なぜ、いまゼロトラストなのか:https://news.mynavi.jp/se...
-[[気付いたらゼロトラストだった――セキュリティ強化のための...
*ゼロトラストネットワークの基本 [#jb51c6e9]
「デバイスがリソースにアクセスする際にその可否を判定する」
これを実現するには以下の3つの要素が必要。
-デバイスの状態や利用者などの「情報収集」。現在出回ってい...
-収集した情報と企業ネットワークのセキュリティポリシーを組...
-決定したレベルに基づく「アクセス制御」を実現すること。
**NISTが定義する7原則 [#l3189a4f]
-全てのデータソースと処理サービスをリソースと考える
-ネットワークの場所に関係なく、全ての通信が保護される
-リソースへのアクセスはセッションごとに許可される
-リソースへのアクセスは動的なポリシーによって決定される
-組織に関連する機器は可能な限り安全を保てるよう、継続的に...
-リソースの認証と認可は動的に実現され、許可する前に厳密に...
-ネットワークインフラとコミュニケーションの現状をできる限...
**7原則を実現するための具体的なアクション [#a665a610]
-ネットワークのフローは処理前に認証する
-ネットワークのフローは暗号化する
-認証と暗号化をエンドツーエンドで実行する
-全てのネットワークフローをアクセス制御の対象とする
-デバイスの状態を定期的に収集する
**導入する際のアプローチ [#z588b29c]
以下の3つの方式がある。
-IDガバナンスの拡張
-マイクロセグメンテーション
-ソフトウェア定義による境界
*[[NIST SP800-207:https://csrc.nist.gov/publications/deta...
-[[NIST SP800-207 邦訳:https://www.pwc.com/jp/ja/knowledg...
*構成要素 [#y3d0ea1a]
**認証と認可 [#ibccb5ea]
***IDaaS (Identity as a Service) [#q0a20f53]
***IAM (Identity and Access Management) [#fb6dfc04]
-SaaSへの全てのユーザ認証をIAMに集約することで、誰がいつ...
***特権ID [#d25fa861]
-避けるべきこと
--ユーザが普段利用するIDに特権を付与し続けること
--特権を持つIDを共有すること
-業務上必要な作業時のみ、一時的な特権を付与し、特権の利用...
**デバイス認証 [#hfdab543]
-デバイス認証は、組織に登録された端末であることの確認と判...
端末認証はデバイスに配布されている証明書(X.509証明書など...
***MDM (Mobile Device Management) [#g197c182]
***ゼロタッチデプロイ [#l01c26f5]
-メーカーから直接デバイスがユーザに届けられても、MDMによ...
**エンドポイントセキュリティ [#r5b826d3]
***デバイスの健全性 [#y5f7c89b]
-OSおよびアプリケーションのバージョン、各種設定状況、脆弱...
-EDRによって検出されたセキュリティインシデントの重要度に...
***EDR (Endpoint Detection and Response) [#ya4ca8ad]
-デバイス内での振る舞いから攻撃判断を行い、攻撃元や攻撃経...
***CASB (Cloud Access Security Broker) [#t4ef5931]
-クラウドサービスへのアクセスを検知して制御を行う
***Windowsの場合 [#aaf06a68]
-EDRとして Microsoft Defender for Endpoint を導入すると、...
**SaaSとWebの利用制御 [#gd9c05b2]
***ポート80番と443番以外の通信制御 [#uf3ae738]
***シャドーITへの対応 [#mbb04eff]
**SIEMとSOAR [#u10efcad]
***SIEM (Security Information Event Management) [#k37d4f4d]
-サーバOSやその上で動くアプリケーションのログを保管し、正...
***SOAR [#o85f9fb3]
-ログから得られたデータから機械的に計算と判断を行い、人的...
*関連技術 [#ubbc629e]
***IAP (Identity Aware Proxy) [#x3429a7e]
-ウェブサイトへのリクエストをインターセプトし、リクエスト...
***SWG (Secure Web Gateway) [#q971d65d]
-インターネットへの安全なWebアクセスを提供するためのネッ...
***DLP (Data Loss Prevention) [#e47ec430]
-情報漏えいを防ぐことを目的とするセキュリティツール、シス...
-特定のデータの持ち出しやコピーを検知し、自動的にブロック...
終了行:
-[[なぜ、いまゼロトラストなのか:https://news.mynavi.jp/se...
-[[気付いたらゼロトラストだった――セキュリティ強化のための...
*ゼロトラストネットワークの基本 [#jb51c6e9]
「デバイスがリソースにアクセスする際にその可否を判定する」
これを実現するには以下の3つの要素が必要。
-デバイスの状態や利用者などの「情報収集」。現在出回ってい...
-収集した情報と企業ネットワークのセキュリティポリシーを組...
-決定したレベルに基づく「アクセス制御」を実現すること。
**NISTが定義する7原則 [#l3189a4f]
-全てのデータソースと処理サービスをリソースと考える
-ネットワークの場所に関係なく、全ての通信が保護される
-リソースへのアクセスはセッションごとに許可される
-リソースへのアクセスは動的なポリシーによって決定される
-組織に関連する機器は可能な限り安全を保てるよう、継続的に...
-リソースの認証と認可は動的に実現され、許可する前に厳密に...
-ネットワークインフラとコミュニケーションの現状をできる限...
**7原則を実現するための具体的なアクション [#a665a610]
-ネットワークのフローは処理前に認証する
-ネットワークのフローは暗号化する
-認証と暗号化をエンドツーエンドで実行する
-全てのネットワークフローをアクセス制御の対象とする
-デバイスの状態を定期的に収集する
**導入する際のアプローチ [#z588b29c]
以下の3つの方式がある。
-IDガバナンスの拡張
-マイクロセグメンテーション
-ソフトウェア定義による境界
*[[NIST SP800-207:https://csrc.nist.gov/publications/deta...
-[[NIST SP800-207 邦訳:https://www.pwc.com/jp/ja/knowledg...
*構成要素 [#y3d0ea1a]
**認証と認可 [#ibccb5ea]
***IDaaS (Identity as a Service) [#q0a20f53]
***IAM (Identity and Access Management) [#fb6dfc04]
-SaaSへの全てのユーザ認証をIAMに集約することで、誰がいつ...
***特権ID [#d25fa861]
-避けるべきこと
--ユーザが普段利用するIDに特権を付与し続けること
--特権を持つIDを共有すること
-業務上必要な作業時のみ、一時的な特権を付与し、特権の利用...
**デバイス認証 [#hfdab543]
-デバイス認証は、組織に登録された端末であることの確認と判...
端末認証はデバイスに配布されている証明書(X.509証明書など...
***MDM (Mobile Device Management) [#g197c182]
***ゼロタッチデプロイ [#l01c26f5]
-メーカーから直接デバイスがユーザに届けられても、MDMによ...
**エンドポイントセキュリティ [#r5b826d3]
***デバイスの健全性 [#y5f7c89b]
-OSおよびアプリケーションのバージョン、各種設定状況、脆弱...
-EDRによって検出されたセキュリティインシデントの重要度に...
***EDR (Endpoint Detection and Response) [#ya4ca8ad]
-デバイス内での振る舞いから攻撃判断を行い、攻撃元や攻撃経...
***CASB (Cloud Access Security Broker) [#t4ef5931]
-クラウドサービスへのアクセスを検知して制御を行う
***Windowsの場合 [#aaf06a68]
-EDRとして Microsoft Defender for Endpoint を導入すると、...
**SaaSとWebの利用制御 [#gd9c05b2]
***ポート80番と443番以外の通信制御 [#uf3ae738]
***シャドーITへの対応 [#mbb04eff]
**SIEMとSOAR [#u10efcad]
***SIEM (Security Information Event Management) [#k37d4f4d]
-サーバOSやその上で動くアプリケーションのログを保管し、正...
***SOAR [#o85f9fb3]
-ログから得られたデータから機械的に計算と判断を行い、人的...
*関連技術 [#ubbc629e]
***IAP (Identity Aware Proxy) [#x3429a7e]
-ウェブサイトへのリクエストをインターセプトし、リクエスト...
***SWG (Secure Web Gateway) [#q971d65d]
-インターネットへの安全なWebアクセスを提供するためのネッ...
***DLP (Data Loss Prevention) [#e47ec430]
-情報漏えいを防ぐことを目的とするセキュリティツール、シス...
-特定のデータの持ち出しやコピーを検知し、自動的にブロック...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
