「ゼロトラスト」をこれから学ぶ人のための書籍紹介

2022年9月20日 09:43

ゼロトラスト (ゼロトラストネットワーク) についてちゃんと学ぼうと思って、以下の 4 冊を読んだ。

ゼロトラストネットワーク ―― 境界防御の限界を超えるためのセキュアなシステム設計 (Evan Gilman、Doug Barth 著、鈴木研吾監訳、オライリージャパン、2019 年)
ゼロトラストネットワーク［実践］入門 (野村総合研究所、NRI セキュアテクノロジーズ著、技術評論社、2022 年)
すべてわかるゼロトラスト大全 (日経クロステック編、日経 BP、2020 年)
ゼロトラスト ― Google が選んだ最強のセキュリティー (勝村幸博著、日経 BP、2021 年)

2022 年 9 月 19 日に最後の 1 冊を読み終わったので、これから「ゼロトラスト」について学びたい人向けに、ゼロトラストの概要と書籍紹介を書き残しておく。

ゼロトラストとは

「ゼロトラスト」の概念は、どのネットワークも信用しないという考えに基づく

ゼロトラストとは、どのネットワークからのトラフィックも信用しない、という考えに基づくシステムの設計や考え方の集合体のこと。

ゼロトラスト (ZT) は、ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことである。

NIST SP800-207 日本語訳

従来は、例えば社内ネットワークへの外部からの侵入は絶対に防御し、社内ネットワークからのアクセスは (誰がアクセスしているかを検証せずとも) 信用する、という考え方だった (境界防御という)。社内ネットワークや VPN からのアクセスであれば認証なしに社内のサーバーにアクセスできるという状況は、この考え方に基づいている。だが、サイバー攻撃の脅威が増えており、境界防御の考え方が通用しなくなってきており、特定のネットワークを信用するというような考え方は脆弱になってきている。

そこで生まれたのがゼロトラストの発想である。
2010 年に Forrester Research がゼロトラストネットワークの概念を提唱した。具体的な実装として初めて出てきたのが Google の BeyondCorp で、2014 年に論文発表されている。 2020 年には NIST がゼロトラストアーキテクチャについての NIST SP800-207 を発行している (上で日本語訳を引用した)。

ゼロトラストにおいては信用・信頼の管理 (そしてそのための認証や自動化) が重要

どのネットワークも信用しないという前提のゼロトラストにおいて最も重要なことは、全てのデバイス、ユーザー、ネットワークフローに対して、認証および認可を実施するということ。それにより、相手が信用できるのかどうかを判断する。

下の図はゼロトラストアーキテクチャの論理コンポーネントである。企業リソースへのアクセスにはポリシー実施ポイント (PEP)・ポリシー決定ポイント (PDP) を経由する必要があり、これらが認証・認可を司る。
周囲のコンポーネント (ID 管理システムや SIEM システムなど) は、ポリシーエンジン (PE) がアクセス可否を決定する際に使用するための入力やポリシールールを提供するものである。

ゼロトラストアーキテクチャ (ZTA) の中核となる論理コンポーネント (NIST SP800-207 日本語訳より)

PE はアクセス可否を判断する頭脳のようなものであり、そこで使われる思考プロセスがトラストアルゴリズムである。
トラストアルゴリズムとして、スコアベースのアルゴリズムを利用できるのもゼロトラストの特徴である。例えば、普段と同じような傾向で社内サービスを利用するアクセスの信用スコアは通常通りで、普段しないような社内サービスの使い方をしているユーザーからのアクセスの信用スコアは低くなる (そのユーザーは追加の認証を求められる) といった形での活用となる。

信頼の連鎖 (トラストチェーン) をどう実現するかという点も重要である。信頼を委任することで、大規模に拡張できる自動化システムを構築できる。

ゼロトラストについて学ぶべき人

ゼロトラストについては、企業の ICT 管理者やセキュリティ担当者、web サービスの提供者・開発者 (プロダクトマネジャーやソフトウェアエンジニアなど) といった人が学ぶべきだと感じた。また、全社的に取り組んでいくためにも、経営層や組織のマネジャーといった人もおさえておくと良いと思う。

企業の ICT 管理者は、組織のネットワークや組織で活用している ICT ツールを保護するため、ゼロトラストの概念を自社に導入していく必要があるだろう。

Web サービスの提供・開発においては、特に他社に提供する web サービスについてはゼロトラストの概念に適合する必要が増えてくると考えられるため、プロダクトマネジャーやソフトウェアエンジニアもゼロトラストの概念はおさえておく必要がある。また、web サービス開発にあたって社内向けに web ツールを導入することが多いと思うが (例えばモニタリングツールや CI/CD サーバーなど)、そういうものも社内のゼロトラスト導入に足並みをそろえていく必要があるはずなので、そういう点でもおさえておく必要があるだろう。

書籍紹介

冒頭で述べたように、4 冊の書籍を読んだので、それぞれどういう人に向いているかを含めて紹介する。

ここから先は

853字 / 1画像

¥ 100

ログイン

この記事が気に入ったらサポートをしてみませんか？