ゼロトラストセキュリティ
ゼロトラストとは
Section titled “ゼロトラストとは”ゼロトラスト(Zero Trust)セキュリティは、「社内ネットワークは安全である」という従来の**境界型防御(Perimeter-based Security)**の考え方を捨て、「全ての通信を信頼せず、常に検証する」という新しいセキュリティモデルです。
働き方の多様化(テレワーク)、クラウドサービスの利用拡大、DXの推進により、社内と社外の境界が曖昧になった現代において、必須の概念となっています。
NIST(米国国立標準技術研究所)のSP 800-207では、ゼロトラストの原則が定義されています。その核心は以下の通りです。
- Verify Explicitly(明示的に検証する): 常に利用可能な全てのデータ点(ID、場所、デバイスの状態、サービス、データ分類、異常検知など)に基づいて認証・認可を行う。
- Use Least Privileged Access(最小特権アクセスを使用する): ユーザーのアクセス権を、必要なときだけ(JIT/JEA)、必要な期間だけ付与し、データを保護する。
- Assume Breach(侵害を想定する): 攻撃者が既にネットワーク内部に侵入している可能性を常に考慮し、被害を最小限に抑える対策(マイクロセグメンテーションなど)を講じる。
Q.
ゼロトラストセキュリティの根本的な考え方を表すフレーズは何でしょう?
正解は「信頼せず、常に検証する(Never Trust, Always Verify)」です。従来の「社内は安全」という前提を排除し、全てのリクエストに対して厳格な検証を行います。
ゼロトラストアーキテクチャの構成要素
Section titled “ゼロトラストアーキテクチャの構成要素”ゼロトラストを実現するための論理的なコンポーネントとして、以下の2つが重要です。
- PDP (Policy Decision Point): ポリシー決定ポイント。アクセス要求に対して、許可するかどうかを判断する「頭脳」の役割。
- PEP (Policy Enforcement Point): ポリシー施行ポイント。PDPの判断に基づいて、実際に通信の許可・遮断を行う「ゲートウェイ」の役割。
Q.
ゼロトラストアーキテクチャにおいて、アクセス要求に対してポリシーに基づき許可するかどうかを「判断」する機能は何でしょう?
PDP (Policy Decision Point) です。PDPがアクセスの可否を判断し、PEP (Policy Enforcement Point) がその判断を実行します。
境界型防御との違い
Section titled “境界型防御との違い”| 特徴 | 境界型防御 (VPNなど) | ゼロトラスト (ZTNAなど) |
|---|---|---|
| 信頼の境界 | 社内ネットワークと社外ネットワークの境界 | アイデンティティ(ユーザー、デバイス)ごと |
| アクセス制御 | 一度VPN接続すれば社内リソースへアクセス可能 | アプリケーションごとに都度認証・認可 |
| 場所 | 社内からのアクセスを優遇 | 場所を問わず同じセキュリティレベル |
Q.
従来のVPN接続では一度認証するとネットワーク全体へのアクセスが可能になることが多いですが、ゼロトラストアクセス(ZTNA)ではどの単位でアクセス制御を行うのが基本でしょう?
正解はアプリケーション(リソース)ごとです。VPNなどの境界型防御では「ネットワークへの接続」を許可しますが、ゼロトラストでは個々の「アプリケーションやデータ」へのアクセスごとに検証を行います。