こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
今回は近年セキュリティの話題で度々議題に上がる「ゼロトラスト」について解説します。
ゼロトラストとは?
ゼロトラストとはネットワーク構成や各種認証などのセキュリティ対策において「暗黙の信頼をせずに、継続的な認証を行う」という前提で、ネットワークベースの境界線だけを守るのではなく、個々のユーザー、資産、リソースを保護する、というセキュリティの概念となります。
2020年8月にアメリカ国立標準技術研究所のホームページに掲載された和訳版「ゼロトラスト・アーキテクチャ」の最初の方にゼロトラストの原則が記載されており、下記のような内容になっています。
1. すべてのデータや機器をリソースとみなす
2. ネットワークの場所に関係なくすべての通信を保護する
3. リソースへのアクセスはセッション単位で付与する
4. リソースへのアクセスは動的ポリシーにより決定する
5. すべてのリソースの整合性とセキュリティ動作を監視・測定する
6. すべてのリソースの認証と認可を動的に行う
7. リソース、ネットワーク、通信の状況収集し、改善する
参考リンク:「ゼロトラスト・アーキテクチャ」
つまりは、SaaSなどの外部サービスやIoT機器も含めたあらゆるリソースに対して、
・リソースへのアクセスを信頼せずに常に検証する
・アクセスしたリソースの情報も信頼せずに常に検証する
・単一の方法で検証した結果は信頼せずに行動履歴などの動的なポリシーを取り入れる
・運用そのものも信頼せずに常に情報を収集して改善する。
と、まさに「何も信じない」という原則になっています。
なぜ必要なのか
ゼロトラストが提唱される背景として、企業のインフラ構成の複雑化が挙げられます。
近年社内のサーバーに基幹システムや各種データを集約し、社内のパソコンからアクセスしている企業は少なく、クラウドサービスを導入して業務データを社外に保存したり、リモートワークやスマートフォンの活用で作業端末そのものが社外にあったりするケースが増えています。
このような環境下では単純な社内と社外の境界を防御する、という方法ではセキュリティ強化が難しく、ありとあらゆるデータのやり取りを様々な角度から保護する必要がある、というゼロトラストの考え方が提唱されています。
具体的な対策
ゼロトラスト自体は概念の集合でしかなく、上記のホワイトペーパーに記載されているゼロトラスト・アーキテクチャも概念を実装するための概念であって、具体的な構築手段が提唱されているわけではありません。
ゼロトラスト・アーキテクチャについて詳しくは上述の和訳版「ゼロトラスト・アーキテクチャ」を見ていただく必要がありますが、下記のような要素をあらゆるリソースへのアクセス箇所で実装する、という考え方のようです。
・システムはポリシー実施ポイント(PEP)を通じて各リソースにアクセスする。
・PEPはリソース間の通信経路を管理するポリシーアドミニストレータ(PA)とやり取りしながらリソースへの通信を許可・遮断する
・PAがリソースへのアクセス許可するかどうかはポリシーエンジン(PE)が決定を行う
ある場所(リソース)にアクセスしようとするとまずは門(PEP)のところで止められて、守衛さん(PA)が警備室(PE)に確認をとって通行させるか止めるかするような形です。
さいごに
今回はゼロトラストの概念部分を紹介しました。「ゼロトラスト・アーキテクチャ」のホワイトペーパーにはその名の通りさらに細かいアーキテクチャに関する説明が載っているため、機会があればピックアップして紹介できればと思います。
国内でもデジタル庁が技術検討会議の資料を公開するなど、関心が高まっているトピックになりますので、いずれお客様の要件としてもゼロトラストのアーキテクチャに則った対策を求められる可能性もあります。
一方でどんな方法で対策を取るかが明記されている物ではないため、現状やご要望をヒアリングしつつ最適な手段を提案する必要があると考えています。
クロジカサーバー管理ではお客様サーバーのご利用状況をヒアリングさせていただき、状況に応じてWAFをはじめとしたセキュリティ製品の導入、保守についてご提案させていただいています。
サイト制作、運用が多忙でセキュリティ対策の検討に時間を取ることが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
