結局ゼロトラストってどういう仕組みなの?
今回は、セキュリティ対策で注目されているゼロトラストの、中核となる論理コンポーネントについて解説していきます。
認証・認可がポイントなのは分かったけど、実際どのような仕組みなの?という疑問にお答えします!
そもそもゼロトラストって?
ゼロトラストとは、米調査会社Forrester Research社のアナリストだったジョン・キンダーバグ氏が2010年に提唱した次世代ネットワークセキュリティの概念で、「何も信頼しない」と言った意味を持つゼロトラストの考えを前提に、社内外問わず全ての通信に対して安全性の検証を行うセキュリティモデルです。
詳しくはこちらも併せてご覧ください。
中核となる論理コンポーネント
ゼロトラストの仕組みを理解するには中核となる論理コンポーネントの理解が必要です。
以下の図は、ゼロトラストの論理コンポーネントを図示したものです。ゼロトラストを構成する論理コンポーネントは複数存在し、これらのコンポーネントはオンプレミスまたはクラウドサービスで実現されます。
各コンポーネントについて説明します。
ポリシーエンジン(PE)
ポリシーエンジン(PE)とはリソースへのアクセスの最終的な決定を行う役割です。ゼロトラストアーキテクチャにおける頭脳のイメージです。
ポリシーアドミニストレータ(PA)
ポリシーアドミニストレータ(PA)とは、ポリシーエンジンの決定を基に、アクセス元とリソース間の通信経路の確立・遮断をポリシー実施ポイント(PEP)に伝達し、実施させる役割です。
ポリシー実施ポイント(PEP)
ポリシー実施ポイント(PEP)とはアドミニストレータ―(PA)から命令を受け、命令内容を基にアクセス元とリソース間の接続を有効化・監視・切断などを実施する役割です。
ポリシーによるアクセスを決定する人(PE)、決定内容を命令する人(PA)、命令を実行に移す人(PEP)の3つの役割に分かれているイメージです。
そもそもポリシーエンジン(PE)は何を根拠にリソースへのアクセスを決定するのでしょうか。ここからはポリシーエンジン(PE)に判断材料であるポリシールールを提供する、外部データソースについて説明していきます。
ポリシーエンジン(PE)にポリシールールを提供するデータソース
ポリシーエンジン(PE)は、組織が作成するポリシーだけでなく、外部のデータソースも判断材料として利用します。
以下は、ポリシーエンジン(PE)にポリシールールを提供するデータソースをまとめた図です。企業の資産の状態に関する情報や、業界のコンプライアンスルール、システムやサービスに対する脆弱性情報といった様々なデータソースを用いてポリシーエンジン(PE)はアクセスの可否を決定します。
組織が作成したポリシールールに限らず、外部データソースも含めることでより精度の高いアクセス制御を実現します。
さいごに
ゼロトラストの中核となる論理コンポーネントについて解説してきました。どのような仕組みで認証・認可を行っているのかイメージできたでしょうか。
今回の内容は動画でも解説しておりますので併せてご覧ください!
【YouTube】セキュリティに関連した動画も投稿中!
参考にした資料
NIST SP800-207 ZeroTrust Architecture
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf