アイデンティティから見るゼロトラスト

アイデンティティ視点からゼロトラストをこのように捉えますという私見です。

アイデンティティとは

アイデンティティとは、実体を構成する属性の集合（ISO/IEC 24760-1より）です。

組織におけるアイデンティティ管理の基本的な考え方

ゼロトラストで扱うアイデンティティとは

ゼロトラストでは、人とデバイスのアイデンティティを扱う必要があります。

識別（Identification）、認証（Authentication）、認可（Authorization）、説明責任（Accountability）

ゼロトラストと言っても、ITシステムを利用させるために必要なプロセスである「識別」「認証」「認可」「説明責任」に違いはありません。

認証手段は3種類だけです。人のIDを認証する手段は、他方でいろいろ説明されていますが、デバイスのIDを認証する手段は、まだまだベストプラクティスが生まれていないような感覚です。例えば、個人所有のデバイスに証明書をコピーした場合はどうなる？、デバイスIDを宣言する相手は本当に会社支給のデバイスなのか？というのを登録時だけでなく、継続的に保証できる仕組みが必要だと思います。デバイス認証も人と同じように多要素認証で認証強度を高める必要があるでしょう。

ゼロトラスト以前の認証、認可

静的なアイデンティティ（属性が変化しない、予め与えられた属性）を用いて認証、認可を行う考え方だと思います。

ゼロトラストでの認証、認可

動的なアイデンティティ（時間とともに属性が変化する）を用いて認証、認可を行う点が今までと違うところだと思います。

例えば、利用場所、10分前は東京からログインしていたが今はロンドンからログインしているとか、マルウェアに感染しているデバイスからログインしている。など、識別、認証する時に様々な観測データをアイデンティティに与えて、識別、認証することだと思います。その結果、怪しいアクティビティには認可を与えないという動作をするのがゼロトラストにつながっていると思います。

まとめ

ゼロトラストの世界では、扱うアイデンティティが複雑になります。各アプリケーションがそれぞれで識別、認証、認可をゼロトラスト思考で実施するのは大変だと思います。なのでIdP、IDaaS、認証基盤（全部同じものを指してるつもり）を導入してフェデレーションして楽をしましょうというのが、認証基盤に求められることの1つだと思います。