【自分メモ】 Zero Trust Network（ゼロトラストネットワーク）とは (2021.2.9更新)

※自分メモです。閲覧してくれている方は、自己責任で活用下さい。
#用語整理 #ゼロトラストネットワーク #ZeroTrust #ZeroTrustNetwork #セキュリティ #ネットワーク #とは

# Zero Trust Network（ゼロトラストネットワーク）とは

ゼロトラストとは、2010年にアメリカの調査会社Forrester Research社の調査員であるキンダーバーグ氏によって提唱された次世代のネットワークセキュリティ概念、考え方です。
このゼロトラストの概念、考え方を実現するネットワークをゼロトラストネットワークと言います。

この概念の基本的な考え方は"ゼロトラスト"であり、「全てのトラフィックが信用できない(ゼロトラスト)ことを前提に、全ての端末、通信のログ取得と検査を行う」という性悪説のアプローチです。

守るべきものはデータ(情報)であり、それを取り扱うのは端末(デバイス)と扱うユーザ(ID)という考えから、境界ではなくデータそのもの、つまりはデバイスとIDをしっかりと守っていこうという考え方です。

# ゼロトラストネットワークの考え方の背景

従来までのネットワークの考え方は、「社内ネットワーク内は安全である」ということを前提にしていました。

しかし、2010年前後から重大なセキュリティ侵害や情報漏洩事件が多発し他ことで、従来までの社内と社外のような境界型のアプローチではセキュリティ対策として不十分と考えられるようになりました。

そんな中で、抜本的にセキュリティ対策の方向性を変える必要性があるという主張から、この概念は生まれています。

# ゼロトラストネットワークの現状(需要)

日本国内においては、2018年ごろから少しずつ「ゼロトラスト」というキーワードでITセキュリティ分野において話題にされるようになっています。

特に2020年になって注目される大きな理由にテレワークと、それに伴うクラウドサービス利用の増加があります。
2020年前半の新型コロナウイルス感染症(COVID-19)及び全国での緊急事態宣言に伴い、国内でのテレワーク利用率は急速に増加にしました。これにより、社内ネットワーク内で利用されていた多くの端末が社外に持ち出され、社内ネットワーク外のネットワークに接続され、利用をされるようになりました。

それ以前からクラウドサービスの利用率は増加していて、社内システムや社内業務アプリがクラウド上に展開されることも増えていました。つまり、従来であればデータセンター内及び各拠点ネットワーク内にのみ社内システムや社内端末があった状況から、社外にも社内システムがあるような状況に変わっている、境界が曖昧になっているというのが最近の傾向です。

そうした状況を打開、解決するための方法として、ゼロトラストネットワークの実現が企業で注目されています。

<追記：2021/1/29>
2020年も2019年に引き続き「ゼロトラスト」がセキュリティ業界でバズワード的に利用されていて、多くの企業で「ゼロトラスト」の実現に向けた動きが見られました。
しかし、実際に日本の企業が目指している「ゼロトラスト」は、この記事にまとめたような大層なものではなく、①ローカルブレイクアウトの実現、②テレワークでも安心して業務を行えるようなVPNネットワーク網の整備、③認証の強化、と言ったあたりの要望であることが多く見受けられました。
※SD-WANの需要と近いものが見えました。
<ここまで>

# ゼロトラストネットワーク実現のために必要なこと

ゼロトラストネットワークを実現するために必要、と言われていることを以下にまとめます。(※一例です)

・あらゆる通信の記録、可視化を行う
・あらゆる動作ログを残す
・与える権限は最低限にする
・守るべきデータ、資産、情報を明確にし、優先順位付けを行う

<必要な対策例>
・SASE (Cloud FireWall/Web Secure Gateway/CASB/DLPなど)
・CSPM
・統合認証(特権ID管理/統合ID管理/SSOなど)
・NDR
・EDR (ZTNAの場合にはEDRは含まれないことが多い)

# 2020年以降の最新のZero Trustの定義

====== 本章は2020.2.9に追記しています ======
上述の通り、元々はForrester Research社のキンダーバーグ氏によって提唱されたZero Trustですが、現在では米国国立標準技術研究所(NIST)によって定義されています。

最新の定義が2020年8月に「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」という形で提唱されています。
(参考4より、PwCによる公式日本語訳版を確認可能)

従来に比べ、定義が明確になっているため詳細については別途Note記事を追加予定です。

# 参考情報・参考文献

参考１：Forrester Research

Zero Trust Is Replacing "Trust But Verify" - Forrester

参考２：NTTテクノクロス

ゼロトラストとは？　～ゼロトラストネットワークを実現するために～ | NTTテクノクロス | TrustShelter

参考３：サイバーセキュリティ.com

ゼロトラストネットワークとは？仕組みやメリットデメリットについて徹底解説

参考4：NIST SP800-207 (PwC)

NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

参考5：日本マイクロソフト ゼロトラストDeepDive

参考6：NTTデータ先端技術：ゼロトラストセキュリティを考える