■ はじめに
ゼロトラスト について前から気になっていたのだが 今、読んでいる本で、 ゼロトラストアーキテクチャー(Zero Trust Architecture; ZTA) がでてきたので、軽くまとめる
目次
【1】ゼロトラスト(Zero Trust; ZT) 【2】ネットワーク分離でのインシデント 実例1:イラン核施設へのサイバー攻撃(オリンピック・ゲームズ作戦) 実例2:日本年金機構の大規模情報漏洩(2015年) 【3】7 つの基本的な考え 【4】ゼロトラスト成熟度モデル (Zero Trust Maturity Model) 1)5つの柱
【1】ゼロトラスト(Zero Trust; ZT)
分かりやすくすると、そのまんまで、 信用(Trust;トラスト)ゼロ(0) ⇒ 外部から遮断されたイントラネットからだろうと 「なにも信用しない」考え方 ⇒ 「Verify and Never Trust(確認せよ、そして、決して信じるな)」の精神
【2】ネットワーク分離でのインシデント
実例をみていくことで、 ネットワーク分離(AWSで言うとVPCやセキュリティグループが分かれている等も?) したからって過信してはならないっという教訓を教えてくれる
ネットワーク分離とは?
イントラネットを 「インターネットに接続できるネットワーク」と 「機密情報を扱うネットワーク」を分離すること
実例1:イラン核施設へのサイバー攻撃(オリンピック・ゲームス作戦)
メンテナンスの際にUSBを用いて ターゲットシステムへアクセスし、ネットワーク分離を破られる
実例2:日本年金機構の大規模情報漏洩(2015年)
業務効率が下がる理由で、現場職員がセキュリティポリシーに反し、 インターネット端末で個人情報を扱った => でも、これって明るみになっていないだけで結構ありそ、、、
【3】7 つの基本的な考え
2020年8月には、NIST(米国国立標準技術研究所)が 「NIST-SP800-207 Zero Trust Architecture」に => 以下、IPAから出ている「ゼロトラスト導入指南書」より抜粋
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/zero-trust.html
# | 説明 |
---|---|
1 | すべてのデータソースとコンピューティングサービスをリソースとみなす |
2 | ネットワークの場所に関係なく、すべての通信を保護する |
3 | 企業リソースへのアクセスをセッション単位で付与する |
4 | リソースへのアクセスは,クライアントアイデンティティ,アプリケーション/サービス,リクエストする資産の状態,その他の行動属性や環境属性を含めた動的ポリシーにより決定する |
5 | すべての資産の整合性とセキュリティ動作を監視し、測定する |
6 | すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する |
7 | 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し,セキュリティ体制の改善に利用する |
【4】ゼロトラスト成熟度モデル (Zero Trust Maturity Model)
サイバーセキュリティ・社会基盤安全保障庁 (CISA、Cybersecurity & Infrastructure Security Agency)が 2022年に「ゼロトラスト成熟度モデル」を公開。
https://qualias.net/zero-trust-maturity-model/#i-5
1)5つの柱
[1] アイデンティティ (Identity) => ユーザを一意に記述する属性 [2] デバイス (Devices) => ネットワークに接続できるあらゆるハードウェア => e.g. IoTデバイス、携帯電話、パソコン、サーバーなど [3] ネットワーク / 環境 (Networks) => オープンな通信媒体 => e.g. イントラネットワーク、インターネットなど [4] アプリケーションワークロード (Applications and Workloads) => オンプレミスおよびクラウド環境で実行されるシステム [5] データ (Data) => ネットワーク上で保護されるべきデータ