ざっくりと
- 全ユーザを検証する新概念
- 内部外部の攻撃に対応可能
- 多要素に基づく認証・承認手段
ゼロトラスト・セキュリティとは全員を疑い、多要素に基づく認証を行うことです。
概要説明
ゼロトラスト・セキュリティとは全てのユーザーを疑うセキュリティシステムである。 なぜならば、このシステムは全てのユーザーのアクセス許可を検証するからだ。
例えば、社内の社員だろうが、社外の人間だろうが関係ない。そして、検証にはユーザーID、場所、デバイスの状態などの要素が考慮される。
つまり、これにより内部・外部からの攻撃を防ぐことが可能になる。だから、最新のセキュリティ対策として注目されている。
職業職種
システム管理者
システム管理者は、ゼロトラスト・セキュリティを導入する。なぜなら、企業の情報資産を保護するためだ。例えば、ネットワークへの不正アクセスを防ぐために。
ITコンサルタント
ITコンサルタントは、ゼロトラスト・セキュリティを推奨する。なぜなら、クライアント企業のデータセキュリティを強化するためだ。例えば、リモートワーク環境での安全なアクセスを保証するために。
エンドユーザ
エンドユーザは、ゼロトラスト・セキュリティの環境下で作業する。なぜなら、企業が自分たちのデータを保護するために導入しているからだ。例えば、不正アクセスによる情報漏洩を防ぐために。
ゼロトラスト・セキュリティの名前の由来は、”ゼロトラスト”という言葉から来ています。これは”信じるものはゼロ、すべてを疑う”というセキュリティ理念です。
代表例
Googleは、ゼロトラスト・セキュリティの推進者である。なぜなら、彼らの「BeyondCorp」モデルはゼロトラストの理念に基づいて開発されたからだ。例えば、ユーザーの認証やデバイスの確認など、全ての通信が検証される。
Microsoft
Microsoftは、ゼロトラスト・セキュリティを導入している大手企業である。なぜなら、Azure Active Directoryといったサービスによりゼロトラストの考え方を実装しているからだ。例えば、異常なアクセスがあった際に、リアルタイムで検出し、対処できる。
John Kindervag
John Kindervagは、ゼロトラスト・セキュリティの生みの親である。なぜなら、彼がForrester Researchのアナリストとしてゼロトラストの概念を初めて提唱したからだ。例えば、「信頼は脆弱性」のフレーズは、彼の言葉だ。
手順例
ゼロトラスト・セキュリティ導入の手順です。必要性の理解と目標設定
ゼロトラスト・セキュリティの必要性を理解し、具体的な目標を設定する。なぜなら、成功への最初のステップは、何を達成したいのかを明確にすることだからだ。例えば、データ保護の強化やコンプライアンス遵守が目標となる。
データの分類と保護
企業の持つデータを分類し、それぞれのデータに適切な保護策を施す。なぜなら、全てのデータが同じリスクに晒されているわけではないからだ。例えば、機密情報はより強固な保護策が必要。
認証と承認の強化
認証と承認のプロセスを強化する。なぜなら、認証されていないアクセスは全て信用できないとするのがゼロトラストの基本だからだ。例えば、二要素認証の導入や異常検知のシステムを導入する。
ネットワークのセグメンテーション
ネットワークをセグメント化し、不必要な通信を遮断する。なぜなら、攻撃が発生した場合に被害を最小限に抑えるためだ。例えば、部署ごとや業務ごとにネットワークを分割する。
継続的なモニタリングと改善
セキュリティ状況を継続的に監視し、必要に応じて改善策を施す。なぜなら、セキュリティは一度で完結するものではなく、常に新たな脅威に対応しなければならないからだ。例えば、定期的なセキュリティ診断や教育訓練を行う。
類似語
認証全体のセキュリティ(BeyondCorp)
認証全体のセキュリティは、ゼロトラスト・セキュリティの一種である。なぜなら、Googleが提唱したBeyondCorpも、全てのアクセスを信頼せず検証するという原則に基づいているからだ。例えば、インフラストラクチャのセキュリティレベルを高める。
マイクロセグメンテーション
マイクロセグメンテーションは、ゼロトラスト・セキュリティと関連が深い概念である。なぜなら、ネットワークをより小さな部分に分割し、各セグメントを個別に保護するという考え方が、ゼロトラストの理念と一致しているからだ。例えば、攻撃が一部に留まり、全体に広がるのを防ぐ。
データ中心のセキュリティ(Data-Centric Security)
データ中心のセキュリティは、ゼロトラスト・セキュリティの同義語とも言える。なぜなら、データ自体を中心に保護策を施すことで、どこからアクセスがあってもデータは安全に保たれるという考え方が、ゼロトラストの原則に基づいているからだ。例えば、暗号化やアクセス制御などの技術を使用して、データ自体のセキュリティを強化する。
反対語
フルトラスト・セキュリティ
フルトラスト・セキュリティは、信用するセキュリティだ。なぜなら、内部のアクセスを基本的には信用しているからだ。例えば、社内ネットワーク内からのアクセスは基本的には信頼する。
パーミッシブ・セキュリティ
パーミッシブ・セキュリティは、許容するセキュリティだ。なぜなら、検証をあまり行わずアクセスを許可する傾向があるからだ。例えば、許可を得たユーザーがどこからでもアクセスできる。
インサイド・アウト・セキュリティ
インサイド・アウト・セキュリティは、内部から外部へのセキュリティだ。なぜなら、内部の情報を守ることよりも外部への情報の流出を防ぐことに重きを置くからだ。例えば、内部情報の外部への持ち出しを防ぐセキュリティポリシー。
会話例
学校の情報教育の時間
「先生、ゼロトラスト・セキュリティって何?」
「それは、誰も信用しないセキュリティのことだよ。たとえ自分の家から接続しても、毎回許可を確認するんだ。」
家族のディナータイム
「パパ、仕事でゼロトラスト・セキュリティって使ってるの?」
「うん、使ってるよ。誰も信じないから安全なんだよ。だから、僕が家からも仕事できるんだ。」
友達とのゲームの中で
「おい、このゲームのセキュリティ、ゼロトラストってやつだっけ?」
「ああ、そうだよ。だから、ハッキングされにくいんだよ。毎回ちゃんと認証するからね。」
注意点
ゼロトラスト・セキュリティを使用する時の注意点は、認証の手続きが面倒かもしれないことだ。なぜなら、すべての接続が検証されるからだ。
例えば、一度ログインしたあとでも、再度アクセスする際には再認証が必要になることがある。そして、この認証の手間がかかるところがユーザーにとっては面倒かもしれない。
だから、この手間を理解し、受け入れることが大切だ。
ゼロトラスト・セキュリティとデータ中心のセキュリティは、間違えやすいので注意しましょう。
ゼロトラスト・セキュリティは全てのアクセスを疑うセキュリティです。
一方、データ中心のセキュリティはデータ自体を守るセキュリティです。
コメント