ゼロトラスト超入門について

こんにちは、おかしんです。来る 4月14日の技術書典6にて【え18】サークル「おからぼ」にて「ゼロトラスト超入門」を頒布させていただきます。

技術書典6：おからぼ 詳細

本noteでは「ゼロトラスト超入門」の紹介として「まえがき」の部分を抜粋して掲載したいと思います。興味を持たれた方は是非上記のサークルページから「チェック」をお願いします。

なお、本noteは入稿前の状態での掲載となりますので、当日頒布させて頂くものには細かい修正が入る可能性がありますことをご承知おきください。

BOOTHでDL版（PDF, mobi, epub）の販売もしております。

ゼロトラスト超入門DL版 - おからぼ - BOOTH

ゼロトラスト超入門「まえがき」

突然ですが皆さんの所属する企業では「社外からの業務環境・開発環境への接続」について、どのようなルールが設けられていますでしょうか？もしくは過去所属してきた企業について考えてみてください。大抵の場合は以下のようなパターンに分類されるのでは無いでしょうか？

1. 社外からはいかなる端末からもアクセスしてはいけない
2. 会社支給のパソコンでVPNやプロキシなどを経由してのみ利用可能
3. 会社支給の端末であれば可能
4. 私有の端末で利用しても良いが、MDM導入とVPNやプロキシなどを経由してのみ利用可能
5. なんでもアリ

1はとても安全そうに見えます。何しろ外部から利用することが不可能なのです。5は危なそうですね。2, 3, 4はなんとなく統制が効いているように見えます。また1〜4のようなルールにおいても「システム上不可能になっている」場合や「禁止されているが実際は出来る」といった場合もあるのでは無いでしょうか？

そして、「業務環境・開発環境」というのは一体どこからどこまでを指すものなのでしょうか？それらは本当に「社内」に存在するものなのでしょうか？近年は社内の情報システムや開発環境もSaaSやIaaSに移行していることがほとんどです。例えばGSuiteやOffice365は普通にインターネットから利用が可能で基本的にはIP制限やVPN経由でのアクセスに制限することは出来ません。またAWSなどのIaaSのコンソールも基本的にはインターネットを介してあらゆる端末から接続することが出来る為、例えばEC2への接続がVPN経由でのみ可能になっていたとしてもインターネット経由でインフラを操作することは可能です。2〜4にはどうやら抜け穴がありそうですし、それを防ぐには多大な労力やコストがかかりそうです。（少なくとも私はこの穴を完全に埋めきれている会社で働いたことはありません

1は安全ではあるものの、業種にもよりますが恐らくこのようなポリシーでビジネスを拡大していくのは無理があるのでは無いでしょうか？昨今は採用競争も激化し、特に日本では人口の減少や通勤によるストレスといった背景もあり、リモートワークなどの整備が求められています。このような背景の中1のようなポリシーを貫くのは無理があるでしょう。そして、安全そうに見えて実は安全で無い可能性もあるのです。

例えばフィールドセールスの社員は外ではデバイスに頼ることは出来ず、印刷した資料でのみ営業が可能です。つまり「紙」という何らの認証機構も持たないデータを持ち歩く必要があります。これは本当にセキュアと言えるのでしょうか？

どうやら、利用する人間も利用されるシステムも「社内」「社外」といった考え方でカバーするのが難しいような気がしてきました。「ゼロトラスト」はまさにこういった情勢において生まれてきた戦略であり、「ロケーション」に依らないことを前提としています。私がこの本を執筆しようと考えたのは、今までに挙げたような疑問を感じながら仕事をしている中で「ゼロトラスト」という考え方に出会い、もっと学んで色んな人に知ってもらいたいと考えたからです。日本ではDevOpsやアジャイルといった概念に比べると「ゼロトラスト」という考え方はIT企業やエンジニアの中でもそれほど浸透していません。ですが「ロケーション」が意味を失い、あらゆる場所からあらゆるシステムにアクセス出来るようになり、更にはそれが積極的に求められるようになった現代において、企業が「安全」を保ちつつ成長していく為に「ゼロトラスト」の根底にある考え方は非常に有効な考え方です。

これまでに一度でも上に挙げたような疑問を感じたことがある方は、是非この本を読んで「ゼロトラスト」の概念を会社や外部に発信してみてください。「ゼロトラスト」もDevOpsやアジャイルといった考え方と同様に一種の文化です。少しでも多くのエンジニアや会社のセキュリティポリシーに関わる方が「ゼロトラスト」の概念に触れ、頭の片隅にでも認識をしてくれることで世の中の企業がもっと成長し、皆さんがより働きやすい世の中になると信じています。

本書で得られること

* セキュリティモデルの進化の大まかな歴史
* ゼロトラストの背景
* ゼロトラストの考え方の基礎
* 各社の事例

本書で得られないこと

ネットワークの設定方法などの具体的な実装方法

DevOpsやアジャイルと同様に「ゼロトラスト」は文化や戦略、考え方に近いもので、企業の規模や業態、社内で利用しているツール群によって様々な実装方法があります。本書は「ゼロトラスト」の考え方について解説する本であり、Googleなどのいくつかの代表的な企業の実装例は紹介しますが、具体的に「どういったツールでどういった設定をするのか」といったノウハウについては内容に含みません

対象読者

* 情報システム部門など何らかの形で社内系のシステムに携わっている人
* セキュリティの専門家ではないが、自社のセキュリティルールを定める立場にある人
* 自社のセキュリティルールに疑問のある社員の方

執筆状況や最新情報

Twitterのハッシュタグ、「#ゼロトラスト超入門」で呟いてます！

https://twitter.com/search?q=%23%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88%E8%B6%85%E5%85%A5%E9%96%80&src=tyah

おからぼについて

おからぼでは「ゼロトラスト超入門」の他にも @FORTEgp05 さんの「#はじめる技術つづける技術」も頒布させていただきます。是非チェックをお願いします。

技術書典6の新刊「はじめる技術 つづける技術」 - 青空な日々

技術書典6：おからぼ 詳細