ゼロトラストの基本

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

従来、デジタルな情報資産として企業リソースを保管する場合、社内サーバーや物理ストレージなどを利用して、社内やデータセンターなどでデータを管理することが主流でした。

一方、SaaSやオンラインストレージなどクラウドサービスを活用する企業が増えており、企業リソースが社外に保管される状態が当たり前となっています。
それにより、従来の管理方法では様々な問題が発生してきました。

このように、クラウドサービスが普及したこともあり、社内/社外という区別なくあらゆるアクセスをアクセス毎に認証するという、「ゼロトラスト」がここ数年のセキュリティの考え方となってきました。

ただ、「ゼロトラスト」という単語が独り歩きをし、色々なサイトでの「ゼロトラスト」の定義もバラバラであったりするのも事実です。
ここら辺が混乱を招くことになりがちです。
そもそもゼロトラスト・アーキテクチャ自体が概念であり、「これをやっていればゼロトラスト」というのは正解・不正解ということではないと私は考えております。
デジタルな情報資産は企業によって重要度やリスクの考え方が異なると思いますので、「有名な他社が行っているから正解」で片づけないで、企業ごとに自社の環境や事業内容に合わせて、自社に最も適した「ゼロトラスト」を構築していく必要があります。

NIST(National Institute of Standards and Technology)が公開している「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」には以下のように書かれております。
※PwCコンサルティング合同会社が日本語へ翻訳した内容から引用

ゼロトラストは、リソースの保護に焦点を当てたサイバーセキュリティのパラダイムであり、
信頼は決して暗黙のうちに与えられるものではなく、継続的に評価されなければならないという前提に基づいています。
ゼロトラスト・アーキテクチャは、企業リソースとデータセキュリティに対するエンドツーエンドのアプローチであり、アイデンティティ、クレデンシャル、アクセス管理、運用、エンドポイント、ホスティング環境、及び相互に接続されたインフラストラクチャを網羅している。

ゼロトラスト・アーキテクチャは、以下のゼロトラストの基本的な考え方を遵守して設計され、展開されます。
１．すべてのデータソースとコンピューティングサービスをリソースとみなす
２．ネットワークの場所に関係なく、すべての通信を保護する
３．企業リソースへのアクセスは、セッション単位で付与する
４．リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
５．すべての資産の整合性とセキュリティ動作を監視し、測定する
６．すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
７．資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する

上記の様になっておりますが、細かい内容については「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」をご確認ください。

要するにゼロトラスト・アーキテクチャに基づき、「最小限の特権アクセス」、攻撃を受けることを前提に「暗号化によるデータ保護」、ネットワーク、ユーザー、デバイス、アプリケーション別にアクセスを区分し、「脅威の検出/自動対処」および「データポイント(ユーザーID、場所、デバイス、サービスなど)に基づく認証/認可」などのセキュリティ対策を実施することで、重要な情報資産への脅威などを防ぐセキュリティの考え方になります。

更に単純化すると、ゼロトラスト・アーキテクチャによって、「エンドポイント」「ネットワーク」「クラウド」のセキュリティを確保する、となります。