見出し画像

【情シスの中の人】ゼロトラストネットワークについてver.001

Jousys_no_nakanohito 
print ('zero trust_001')

昨今、IT業界のトレンドになっている(?)ゼロトラスト。

ご存じの方は回れ右。知りたい方はWelcome!

猫も杓子もゼロトラスト。

数多の営業が持ってくる提案もゼロトラスト。「弊社が考えるゼロトラストについてお時間をいただけないでしょうか」って商談が最近本当に多い。

ただしちょっと難しいのがゼロトラスト。そしてなんといっても明確な決まりがないのもゼロトラスト。何故なら概念だから。IT業界の味噌汁と個人的に思っています。

味噌が入っていれば味噌汁なのか、豚汁は味噌汁か、味噌ラーメンも味噌汁か。味噌汁って何だ?ってくらいの概念。

そしてちょっぴり中二病の匂いがするゼロトラスト。

そろそろゲシュタルト崩壊を起こしそうなゼロトラストについて書き留めていこうと思います。

……と言いつつ、どこから書いたらいいものかと悩みますが、ゼロトラストの本題に入る前に、成り立ちから書くのがいいと思ったので軽く小話を入れつつ起源から。

ゼロトラストアーキテクチャ(アーキテクチャ=論理構造)という概念が誕生したのが2010年のアメリカで何とかさんっていう人が提唱したところから始まります。

なんで提唱されたかというとアメリカで情報漏洩事件が起きまくったから。しかも情報漏洩した企業内のアカウントが悪用されて。情シス部門からすると目と耳を閉じて、布団かぶって出社拒否するレベルでやばい。

どれくらいやばいかっていうと、江戸城にいる徳川家康が地方に住んでいる百姓に暗殺されるレベル。役人やら家臣は何やってんだ感じ。この役人やら家臣が情シスであったり情報セキュリティ部門だったり。

アカウントっていうと、大体の企業はメールアドレスの@以前のやつで、これまた大体は自分の名前のローマ字だったりしますが、企業によって命名規則が様々。さらに大体が会社のPCにログインするときに使ったりするはずだと思います。IDとも言いますね。個人でいうとAppleIDやgoogleアカウント。

で、一般ユーザーはほとんど認識していないですが、会社の中の共有フォルダ(社員みんなで使っているネットワーク上にあるフォルダ)とか勤怠システム、給与システム等に接続するときも、裏では情報システム部門の人が必至にそのPCでログインしたアカウントで使えるように、社内の様々なシステムに連携しまくってるわけですね。

つまり、一回でもPCにログインして社内のネットワークに入ってしまえば、その人が許可されたシステムは使いたい放題。なんでそんなことしてるかって言われたらユーザー様が何度もアカウント名とパスワード入れるの面倒で生産性が落ちると言うからです。……まぁわかる。

で、利用者の確認をアカウント名とパスワードでしているのですが(意識が高い会社はスマホ等使って別のパスワードがないとダメな場合もあります)、逆を言えば、アカウント名とパスワードさえ知っていれば本人じゃなくてもいいわけです。

そろそろ分かり始めたと思いますが、そのアカウント名とパスワードが盗まれるようになってきたんですね。よくtwitterとかInstagramとかLINEとかのアカウントが乗っ取られた!みたいなニュースがありますが、あれの企業版です。

アカウントやパスワードの盗み方は様々ですが、ダークウェブと呼ばれる秘匿性が高いインターネット上で売買されたり、企業内のメールに偽物のメールを大量に送り付け、不正なプログラム実行させたり、メール内のリンクからフィッシングサイトに誘導して盗み取ったり様々です。よく考えるなと尊敬すらします。

そして盗まれたアカウントとパスワードで企業のネットワークに入り、あの手この手で一般ユーザーでは見れない情報盗むため、より上位の権限(一般→マネージャー→部長→情報管理者みたいな感じで)を昇格し、機密情報や個人情報を盗み出される事態が起きていて、しかも企業側はそれになかなか気づけない。気づいたとしてもアフターカーニバル。後の祭り。

江戸を例にすると、江戸城の周りにお堀を作り、門をつくって、門番立たせたり、関所を作って江戸に入ろうとする人を手形等を確認してから入れる。役人なら通す。みたいな境界を作ってそこで守ろうという境界型という方法で企業の情報を守っていました。

が上記の通り、地方の百姓であったとしても、江戸に入れる条件(関所を通れる手形を盗すむ、役人に変装する)を満たし、一度でも江戸に入られたらどうにもならない。そこから家臣に変装し、徳川家康まで一直線。

……なんで江戸を例にしたんだろ。

なので「もう誰も信じない!」って発想から生まれたのが、ゼロトラストアーキテクチャという概念。天才か。

というようなノリでゼロトラストアーキテクチャに限らずITというものを情シスの観点から、可能な限りわかりやすく(情シスの苦労を)書いて行こうと思います。それではまた。

この記事が気に入ったらサポートをしてみませんか?