見出し画像

セキュリティ対策で注目されている「ゼロトラスト」って?

Cyber NEXT

連日サイバー攻撃による被害のニュースが報道されています。特に2022年は工場の操業停止や、病院の診療停止といった、インパクトのあるニュースが多かったですね。今やセキュリティ対策は、組織にとって重要な経営課題の一つであり、組織全体で取り組んでいくことが求められています。
今回はセキュリティ対策で注目されている「ゼロトラスト」についてNISTが発行する文書を参考にまとめてみました!

ゼロトラストって何?

ゼロトラストとは、米調査会社Forrester Research社のアナリストだったジョン・キンダーバグ氏が2010年に提唱した次世代ネットワークセキュリティの概念で、「何も信頼しない」と言った意味を持つゼロトラストの考えを前提に、社内外問わず全ての通信に対して安全性の検証を行うセキュリティモデルです。
さらに詳しく知りたい方は動画もおすすめです!

NISTが発行するSP800-207 Zero Trust Architecture

と、文書の説明の前に、NISTという団体について軽く説明しますね。NISTとは、日本語で米国国立標準技術研究所と呼ばれる政府機関です。科学分野の研究から、ITやセキュリティといった幅広い研究を行っています。
このNISTからSP800シリーズの207 Zero Trust Architectureという文書が発行されており、概念であるゼロトラストを7つの基本原則という形で定義しています。
NISTの7つの基本原則はゼロトラストの概念の根幹の考え方であるため、しっかりと理解しておきましょう!
ちなみにNISTのレポートは、IPAにより日本語訳版が発行されており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書と言われています。

NISTにおける7つの基本原則

以下の7原則がNISTで提唱されているゼロトラストの考え方です。

原則1 データソースとコンピュータサービスは全てリソースと見なすこと
原則2 ネットワークロケーションに関係なく、通信は全て保護されること
原則3 リソースへのアクセスは、全ての個別のセッションごとに許可されること
原則4 リソースへのアクセスは動的なポリシーによって決定されること
原則5 全デバイスのセキュリティが正しく保たれていることを継続的に監視すること
原則6 リソースの認証と認可は、アクセスが許可される前に動的かつ厳格に実施すること
原則7 リソースや通信状態の情報を多数収集し、セキュリティ向上を目的に利用すること

ここからは原則を一つずつ解説していきますね。

原則1 データソースとコンピュータサービスは全てリソースと見なすこと

原則1つ目は、ゼロトラストセキュリティにおけるリソースの考え方です。ここでいうリソースとは保護される対象のことを指します。ゼロトラストは、リソースの保護に焦点を当てたセキュリティの考え方です。つまりPCやサーバーに限らず、SaaSアプリケーション、IoT機器など、ネットワークに接続された機器やサービスも保護対象に含まれるというわけです。

原則2 ネットワークロケーションに関係なく、通信は全て保護されること

原則2つ目は、通信の保護の考え方です。従来の境界型防御では社内ネットワーク内は全て安全であるとされてきましたが、ゼロトラストでは、アクセス場所に関わらず、通信の保護が必要になります。つまり社内の通信であっても、安全とは限らないという考えのもと、アクセス元の認証や、機密性/完全性を保護する対策(通信の暗号化など)が求められています。

原則3 リソースへのアクセスは、全ての個別のセッションごとに許可されること

原則3つ目は、ゼロトラストにおける許可の単位の考え方です。従来の境界防御では、社内という大きな単位で許可を行っていましたが、ゼロトラストでは最小の単位、例えばセッション単位で許可することが求められています。

原則4 リソースへのアクセスは動的なポリシーによって決定されること

原則4つ目は、ゼロトラストにおける認証ポリシーの考え方です。ゼロトラストでは、ネットワーク境界での静的なポリシーによるアクセスコントロールではなく、アクセスごとの動的な検証が求められています。

原則5 全デバイスのセキュリティが正しく保たれていることを継続的に監視すること

原則5つ目は、デバイスのセキュリティ監視の考え方です。原則一つ目で、すべてのリソースをセキュリティの対象に含めると説明しましたが、そのリソースのセキュリティ状態が保たれていることを継続的に監視する必要があります。

原則6 リソースの認証と認可は、アクセスが許可される前に動的かつ厳格に実施すること

原則6つ目は、リソースへのアクセス認証の考え方です。アクセスする“前”に動的かつ厳格な認証を行うことが必要です。厳格な認証とは多要素認証を行うことを指し、高い強度の認証が求められています。

原則7 リソースや通信状態の情報を多数収集し、セキュリティ向上を目的に利用すること

原則7つ目は、ゼロトラストにおける情報の収集および活用の考え方です。認証のログ、デバイスやネットワークの状態、クラウドサービス利用状況などの情報をできる限り収集・分析した上でセキュリティ向上に活用することが求められています。

さいごに

以上7つが、NISTが提唱するゼロトラストの考え方でした。概念であるゼロトラストが少しイメージしやすくなったのではないでしょうか。
働き方の変化や、クラウドサービス利用の増加、サイバー攻撃の高度化により、ますますゼロトラストは注目されると考えられます。冒頭でも述べましたが、セキュリティ対策は経営課題の一つとして考え、組織全体で取り組むことが大切です。
YouTube「Cyber NEXTチャンネル」でも随時セキュリティについて動画を発信しておりますのでぜひ覗いてみてください!

今回の内容は、こちらの動画でも解説されています。

#ゼロトラスト #サイバーセキュリティ #セキュリティ #DX