導入・選定ガイド

正しく理解するには、航空機搭乗手続をイメージするといい!?

新セキュリティモデル「ゼロトラスト」のリアル

文◎坪田弘樹(編集部) 2020.10.29

  • Teitter
  • facebook
  • 印刷

コロナ禍におけるテレワークの普及と企業システムのクラウド化を背景に注目が高まっている「ゼロトラスト」。この新しいセキュリティモデルを適切に導入・運用するにはどうすればいいのか。IIJが2020年10月29日に報道関係者向けに開催した勉強会の解説を基に、ゼロトラストを正しく理解するためのポイントを整理する。


ゼロトラストとは、“画期的な新しい技術が出た”というものではない――。

新たに登場したセキュリティモデルである「ゼロトラスト」の捉え方について、インターネットイニシアティブ(IIJ)サービスプロダクト推進本部 副本部長の三木庸彰氏はそう話す。ゼロトラストとはあくまで“概念”、“考え方”であり、その背景には、企業のITシステム/ネットワークのあり方が変化し、従来の境界防御型セキュリティの考え方だけでは不十分になったことがあるという。


コロナ禍もゼロトラストへの注目度が高まる要因の1つになっているという


ゼロトラストの概念が生まれたのは意外と古く、その起源は10年前に遡る。2010年にフォレスターリサーチ社の元アナリストが考案したのが最初で、その後、米国国立標準技術研究所(NIST)が提唱。2020年8月にNIST SP800-207「Zero Trust Architecture」の最新版が公開された。このドキュメントがゼロトラストを正しく理解するための、いわば“教科書”と言える。

NIST SP800-207における大事なポイントとして三木氏が強調するのが次の点だ。

1つが「守るべきものが変わった」ことである。「ネットワークをどう守るのかではなく、『企業のITリソース・情報資産』をどう守るのか。ITリソース・情報資産は様々なクラウド上に分散していき、それらへのアクセスをどのように許可していくのかという考え方を示したもの」がゼロトラストだと説明する。

もう1つは性善説から性悪説へのシフトである。ユーザーを基本的に信頼せず、リソースへアクセスする度に毎回、安全性を検証する。

ゼロトラストを実現する「7つの信条」
ゼロトラストのモデルはどのような仕組み、流れで実現されるのか。

理解の助けとなるのが、先述のNIST SP800-207で提唱されている「7つの信条」だ(下画像)。リソースへのアクセスはセッションごとに認可する、アクセスポリシーは動的に決める、できる限りの情報を収集しポリシー策定と実行に反映する、などの項目が挙げられている。ただし、「この全部ができていないとダメ、ということではない」と三木氏。「この7つを“進むべき方向性”として考えていくことが大事」だという。



この7つがゼロトラストの“基本原則”と言える


これらを踏まえて、「すべてを信頼しない」前提で行うゼロトラストモデルのアクセス認証・制御はどのように行われるのか。三木氏は航空機の搭乗手続になぞらえて、その基本的な仕組みを解説する。

まず、ゼロトラストの核となるポイントがある。PDP(ポリシー決定ポイント)とPEP(ポリシー強制ポイント)だ。これは、搭乗手続における「保安検査」「手荷物検査」に該当する。



ゼロトラストは航空機搭乗になぞらえると理解しやすい(クリックして拡大)


航空機に搭乗するまでには誰もが、複数のチェックをパスしなければならない。初めに、保安検査でパスポートやチケットの所持を確認することで身分を証明。それをパスしても、危険物を持っていれば通過できず、問題がないことが確認されると先のエリアに進むことができる。ここでいったん、暗黙的に信頼が担保されたものとして扱われる。

ゼロトラストモデルでは、リソースにアクセスするための“最初の関門”を突破した状態だ。

ただし、これで自由に航空機に乗れるわけではない。搭乗するには正規のチケットが必要で、搭乗口でもう一度チェックを受ける必要がある。同様に、ゼロトラストモデルでも、リソースにアクセスする(航空機に乗って座席に座る)には改めてチェックを受けなければならない。

この流れにおいて重要な点は、「PDP/PEPにおける判定・認証において、外部の脅威情報も活用すること」(三木氏)だ。サイバー攻撃の手法は常に進化しており、次々と新たなセキュリティ脅威が生まれている。空港の保安検査場でも常に指名手配犯の情報・ニュースを取り入れて監視を続けているように、外部情報を取り入れ、ポリシーを改定することが重要だ。

続きのページは「business network.jp」の会員の方のみに閲覧していただけます。ぜひ無料登録してご覧ください。また、すでに会員登録されている方はログインしてください。

  • Teitter
  • facebook
  • 印刷

スペシャルトピックスPR

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】WIRELESS SMART CITY

<Part1> ネットワークとともに進化する都市
<Part2> スマートシティネットワークの作り方
<Part3> 柏の葉に“Meta発”ミリ波無線の実験場
<Part4> スーパーシティ大阪 L5G広域利用の先行事例に
<Part5> ドローン「レベル4解禁」で変わる都市の物流
<Part6> ワイヤレス給電は都市をどう変えるか?

>>詳しい目次を見る

スペシャルトピックス

インテルインテルが進めるネットワーク仮想化 国内キャリアとの最新動向も
SDNとエッジ中心の未来を見据え、通信事業者と進める取り組みとは?
レッドハットインフラの自動化で34%の工数削減 レッドハットのネットワーク自動化2.0
人と人のコミュニケーションも効率化し、圧倒的な自動化を実現する。
i-PROセキュリティカメラの映像を遠隔監視 AI機能でマーケティングなどにも活用
幅広い用途に簡単、スピーディー、リーズナブルに対応するi-PRO Remo.
ジュニパーネットワークスWi-Fi 6E×AIで超効率ネットワーク 無線からWANまでクラウドシフト
ジュニパーはWi-Fi 6E時代に向けて、NW運用をAIとクラウドで効率化!
UniFiWi-Fi 6のライセンス費用がゼロに UniFiならコスパ抜群・簡単管理
圧倒的なコスパと手軽さで、オフィス、学校、工場、病院らが採用
日本マイクロソフト走り出した「5G網をAzureへ」計画
クラウド移行でキャリアは何を得るか

AT&Tの5GコアのAzure移行の狙いと進捗状況をマイクロソフトに聞いた。
ローデ・シュワルツ強みのミリ波技術で6G開発に貢献 1THz対応受信器もラインナップに
ローデ・シュワルツが得意のミリ波技術で6Gへの取組を強めている。

モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」<連載>NTTグループのプロフェッショナルたち
モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」
NTT Comサイバー攻撃事件の舞台裏「侵入者は対策メンバーのアカウントにもなりすましていた」<サイバーセキュリティ戦記>
NTT Comサイバー攻撃事件の舞台裏

「侵入者は対策メンバーのアカウントにもなりすましていた」
セイコーソリューションズISDNからインターネットへ スムーズな移行を可能にするには

ハードウェアを設置するだけ!ISDNからIP網への移行をフルサポート。

AirREAL-VOICE2簡単操作でマイグレーション実現
データ通信だけでなく通話・FAXも

アダプターの入替だけで移行が完了するMIの音声対応LTEルーター

NTTデータINSネットの後継ならお任せ!
移行で伝送時間短縮や負荷軽減

INSネットからの失敗しない移行方法をEB/FBの種類別に紹介しよう。

Wi-SUN AllianceWi-SUN認証デバイスが1億台突破
日本発の世界標準規格の普及加速

2.4Mbpsへの高速化など新たな進化も始まっている。

エヌビディアNTTとLINEが牽引する日本の自然言語処理、この2社がリーダーである理由

3月21日から開催の「NVIDIA GTC 2022 Spring」で知ろう!

ホワイトペーパー

アクセスランキング

tc202012

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます
当ウェブサイトはCookieを使用しています。閲覧を続ける場合、プライバシーポリシーに同意したことになります。