ゼロトラストネットワークについて調べてみた
前提
そこまでというか全然セキュリティに詳しくないので、初心者あるあるの誤った発言が混じっていると思いますがお手柔らかに。 調べてみたメモ書き程度。
きっかけ
最近よくきくようになったワードの1つに「ゼロトラストネットワーク」というものがある。
ゼロトラスト?信用しないの?みたいな凄い強い意味合いに見えて気になったので調べてみた。
大雑把な概要
外部から社内のデータへアクセスする際のセキュリティモデルの1つである、ゼロトラストモデルに基づいたネットワークモデルのこと。
当然ながら個人用途での文脈はあまり見かけずおもに企業・ビジネスユースにおいて利用される感じ。
最近は、SaaS等の普及もあり、従来の境界防御モデルで対応が難しいことから知名度が上がってきた。
境界型防御モデル
社内ネットワークをファイヤーウォール等で封じ込めることで外部は危険、内部は安全と境界付けるもの。
厳密に言うと社内、DMZ、インターネットとゾーンで信頼度を区切っており、それに基づいたアクセスレベルを定義づけしている。
テレワークの普及でよく使われているVPNは、大雑把に言うならば社内ネットワークの拡張にあたるからこちらのモデルに該当する。
ゼロトラストモデル
そもそも全てのアクセスを信頼していないという前提。極端に言うならば、イントラネットでも信頼していないみたいなイメージ。
最近は、SaaS等の普及も相まってインターネットを介した外部アクセスが増えており、どこまでが社内でどこからが社外という境界線も曖昧になってきたことからアクセス制御を行う境界線をもっと細かく端末(≒個人)レベルにまで落とし込んだもの。
具体的には、IDやデバイスに対する認証とIDにおけるアクセス権限の制御をおこなうことで、セキュリティインシデントに対する影響範囲を最小限にしようという具合。
で、結局は?
今はまだ境界型防御モデルを前提としているため、費用や時間のコストも考えるとすぐ明日からできるものでもないのは当然。
今後はVPN自体のリソース逼迫やVPNゲートウェイやエンドポイントにおける脆弱性の可能性といった観点から採用されるのかなと思う。
まだまだ理解が全く追いついてないので、下記の本とか読んだり各種サイトで引き続き学習する予定。
ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計
- 作者:Evan Gilman,Doug Barth
- 発売日: 2019/10/28
- メディア: 単行本(ソフトカバー)
