はじめに
seccampのグループワークの活動、リレーブログで書いている記事です。
お前はLTだろという声が聞こえてきそう。誘っていただき参加することにしました。
前回のブログはこちら。
次のブログはこちら。
テーマを前の人からもらってブログを書きます。
今回のテーマは"ゼロトラストネットワーク"です。
ゼロトラスト?ネットワーク??って感じの初学者ですが、初学者なりに調べてまとめていきたいと思います。
ゼロトラストとは
ゼロトラストネットワークを語る前にこれについて解決しなければいけません。
zero trust、直訳で信頼(信用)0。つまりは「何も信頼しない」を前提に対策を講じるセキュリティの考え方。
2010年にForrester Research社の調査員によって提唱されました。しかし、このときはふわふわした概念になっていました。
2020年、NISTがSP800-207(ゼロトラスト・アーキテクチャ)で「ゼロトラスト」を実現するために必要な7つの理念を公開しました。これによってふわふわ感はほぼ解消された訳です。今回はゼロトラストネットワークなため、これら1つ1つについて書くことはしませんが7つの要件と4つのソリューションという内容を引用したいと思います。
ゼロトラストネットワークについて
いよいよ本題です。ここでは従来との差、メリット・デメリットについてまとめたいと思います。
・従来との差
従来は信頼できる"内"と"外"でネットワークを分けて考えていました。具体的な例をあげると"内"は社内ネットワークになり、"外"は外部サイトから送られてくる情報になります。また、この内外の考え方から"内"は絶対に安全と定めることができます。なぜなら、"内"と"外"をつなぐ境界線では通信の監視や制御を行うからです。ここでの監視や制御はファイアーウォールなどになります。
改めて、従来のネットワークを構成する者たちをまとめます。
・内 : 社内LAN、データセンター
・外 : インターネット
・境界線 : ファイアーウォール
外は危険!内に入れるときは厳重に検査するよ!
近年はこの"内"と"外"の概念があいまいになりつつあります。
例えば、学校でしかアクセスできないサイトがあればそれはもうじれったいですよね。しかし最近そのようなサイトやデータはないはずです。IDやパスを入力して、なんならそれなしで見れたり触ったりできるはずです。
このように境界線が定められなくなったことからどこをどれを監視・検査すればいいか分からなくなったのです。これを解消するためにゼロトラストを用います。
全て信用しないのですから、全ての端末の全てのログを取ればいい訳です。そして検査を行います。これがゼロトラストネットワークです。
守るものは当然、データやそれを利用するユーザや端末です
みんな信じれない!アクセスするものは全員検査するよ!
・メリット・デメリット
メリットとしては境界が曖昧な環境では絶対に力を発揮すること。ファイアーウォールやセキュリティ対策ソフトでは守れない部分を補うわけなので。
デメリットとしては結果として信頼したというバッジを得たユーザー・端末もしくはファイルが必ずしも信頼できない、正しいとは言えないことです。外から内に入ることを許したとしてもみんな信じてはいけないので。なので厳しいアクセス制限などが一度信頼されたユーザーにも発生します。このようにアクセス制限での利便性低下が発生することがデメリットに該当します。
こちらもまとめ直すと
・メリット
- 境界がどれだけ曖昧でも力を発揮する
・デメリット
- 信頼したものは完全に信頼したわけではない(残存リスク)
- アクセス制限での利便性低下
さいごに
ゼロトラストからゼロトラストネットワークの考え、メリット・デメリットについてまとめてみましたが、いかがでしたでしょうか。今回初めて学びましたが全てを信頼しないという孤独の強さを知りました。
余談になりますが、このような記事を今日読みました。これもゼロトラストの考え方に基づいていますかね?
記事に間違いなどを発見した方は連絡していただけると嬉しいです。
ほんとの最後に参考資料をまとめさせていただきます。
・ゼロトラストネットワークとは?【2021年版】
・ゼロトラストネットワークとは?仕組みやメリットデメリットについて徹底解説|サイバーセキュリティ.com
・ゼロトラストとは?意味・定義 | ITトレンド用語 | NTTコミュニケーションズ
・ゼロトラスト・セキュリティとは?|情報セキュリティのNRIセキュア
