ゼロトラスト(ゼロトラストネットワーク)とは



※以下書籍はKindle Unlimitedで読めます。

■LinuxとUNIXの違いをわかりやすく解説しています。
※サーバーエンジニアは知っておくべき内容です。

【初心者向け】これだけでLinuxとUNIXの違いがわかる!


■ロードバランサー(LB)をわかりやすく解説しています。
※ネットワークエンジニア、サーバーエンジニアは知っておくべき内容です。

これだけでSNMPがわかる!SNMPの使い方


■SNMPの使い方をわかりやすく解説しています。
※ネットワークエンジニア、サーバーエンジニアは知っておくべき内容です。

これだけでロードバランサーがわかる!


■ChatGPTの使い方をわかりやすく解説しています。

【初心者向け】これだけでわかる!ChatGPTの使い方




■動画でわかりやすく解説してます。








では、今日も授業を始める。今日のテーマはゼロトラストだ。




ゼロトラストとは信頼(トラスト)がゼロってこと?




うむ。すべての通信を信用せず、セキュリティ対策することが必要という意味だ。 最近は、SaaS(サース)、PaaS(パース)、IaaS(イアース)とよばれるクラウドサービスの利用が増加していて、多くの企業でクラウドを利用している。




クラウドサービスだから、データは社内ではなくて、社外の外部サーバにデータが保存されるんでしょ。




うむ。また、2020年からは新型コロナウイルス対策として、テレワークの利用が急速に増えた。 テレワークのことをリモートワークといったりもする。




知ってるよ~。会社に出社して勤務するのではなくて、自宅でパソコンを使って、インターネット経由で社内へつないだりして仕事をするんでしょ。




うむ。テレワークは3つの種類があって、1つ目は在宅勤務、 つまり、自宅で働く形態だ。2020年の新型コロナウイルス拡大の対策として、今までテレワークを導入していなかった企業も 在宅勤務のテレワークを導入したりしている。




2つ目は サテライトオフィス勤務だ。これはリモート用のオフィス、レンタルオフィスやシェアオフィスなど、 勤務先以外の場所で仕事をする形態だ。




3つ目は モバイルワークだ。これはノートPCやスマートフォン、タブレットなどを利用して、 いつでもどこでもインターネット経由で接続して仕事をする形態だ。




例えば、営業の人が外出先や移動中で、Wi-Fi接続して仕事するってことでしょ。




テレワークの意義・効果について、総務省のサイトにも書かれている。
テレワークによる働き方改革を普及することで、生産性向上多様で柔軟な働き方非常時の業務継続などができる。

https://www.soumu.go.jp/main_sosiki/joho_tsusin/telework/
https://telework.soumu.go.jp/




クラウドやテレワーク、BYOD(ビーワイオーディー)などが利用されるようになって、 社内からのみサーバなどへアクセスするのではなく、社外からもアクセスするようになった。




BYODって何?




BYOD(Bring Your Own Device)は、 スマートフォンやノートPC、タブレットなどの個人が所有しているデバイスを仕事に利用することだ。




えっ、個人が持っているスマホやパソコンなどを業務に使うってことね。




うむ。このようにクラウド、テレワーク、BYODなど、社外でも利用されることで、 今までのように社内からのアクセスのみを監視して、セキュリティ対策していればよい時代ではなくなった。 つまり、ゼロトラスト(ZT:Zero Trust)とは、何も信頼しないことを前提として対策するセキュリティの考え方のことだ。




今はゼロトラスト(ZT)時代だ。




うむ。今までは、社内と社外(インターネット)の境界に、セキュリティ対策製品であるF/W(ファイアウォール)や IDS、IPSなどのセキュリティ機器を設置して、通信の監視やセキュリティチェックをすればよかった。




今までは、社内にデータやシステムがあって、社内と社外の境界線をセキュリティで守ればよかったということね。




うむ。しかし、現在は、AWSなどのパブリッククラウドなどによって、社外であるインターネットにもデータが保存されるようになった。




ゼロトラストってことね。




ゼロトラストネットワークという用語も覚えておいて。ゼロトラストネットワークは、 内部(社内)ネットワークでも信頼しないことを前提とする考え方だ。




例えば、社内からクラウドにアクセスして、クラウドにデータが保存されるので、クラウド側でのセキュリティも必要ってことね。




すべて信頼できない(ゼロトラスト)ということを前提として すべてのデバイスや、通信の監視が必要になったということでしょ。




今はインターネット(外部)と、イントラネット(閉域網)の境界にファイアウォールを設置するだけではだめってことね。




誰がゼロトラストって言いだしたの?




ゼロトラストモデルは、2010年にアメリカの調査会社のForrester Research社(フォレスターリサーチ)の 調査員であったジョン・キンダーバーグ氏が提唱した考え方だ。 今までの境界ベースのネットワークセキュリティの限界を防御するという考え方では防御しきれなくなってきているという考え方だ。




すごーく昔から言われていたんだね。




日本では2018年くらいから、ゼロトラストというキーワードがでてきた。 2020年になって、テレワークが急増したことで、ゼロトラストが注目されるようになった。




その後、ジョン・キンダーバーグさんは何してるの?




ジョン・キンダーバーグ氏は、Palo Alto Networks(パロアルトネットワークス)という世界的に有名なセキュリティの企業に転職している。 このパロアルト社では、次世代ファイアウォールなど、様々なセキュリティー製品を世の中に出している。




ゼロトラストネットワークアクセスといわれたりもする。ゼロトラストネットワークアクセスは、ZTNA(Zero Trust Network Access)と略す。




すべてのアクセスを信頼しないというゼロトラストの考え方をもったソリューションってことね。




ゼロトラストを実現するためにはどうしたらいいの?




様々なセキュリティソリューション(セキュリティ解決策)がでてきている。 例えば、クライアントPC(端末)を監視するEDR(Endpoint Detection and Response)というエンドポイントのセキュリティ製品がある。




EDRは、エンドポイント(クライアント端末)を監視して、不審な動作をしていないかなどをチェックする。 もし、マルウェア攻撃された場合はそれを検知して隔離したり、感染した場合は、ログによって攻撃経路を特定したりすることが可能になる。




EDRは、エンドポイント(パソコンなどの端末)で対策するってことね。 EDRは端末の挙動を可視化して、不審な動作を検出、分析、調査できるから、もしマルウェアに感染してしまっても、 迅速に事後対応ができるようになるのね。




EDRがあることで、被害を低減することが可能になる。EDRは侵入後の対応を意識している製品だ。




エンドポイントのセキュリティ対策として、EPP(Endpoint Protection Platform)というものもある。 EPPはEndpoint Protection Platformのことで、エンドポイント保護プラットフォームといわれる。




マルウェアを検知して駆除する製品がEPPだ。アンチウイルス製品などがEPPといえる。 EPPでのマルウェア検知は、従来の方法であるシグネチャベースの定義ファイルによるパターンマッチング方式(アンチウイルス)での検知のみではなく、 人工知能や機械学習も用いた次世代アンチウイルス(NGAV=Next Generation Anti Virus)を使って、検知するようになっている。




EPPで防御できなかった場合、影響範囲を抑えるために、迅速に調査できるソリューションのEDRが必要ってことね。




EPP製品やEDR製品は、各セキュリティ企業(PaloAlto社、Symantec社など)からいろいろな製品がリリースされている。




ゼロトラストの実現のためには、EEPやEDR以外に、IAM(Identity and Access Management)も必要になる。 IAM(アイアム)では、ユーザIDと権限を管理する。そのユーザが利用してよいアプリケーションやデータなどを設定しておくことができる。 まず、ユーザはIAMで認証すると、どのアプリケーションやデータにアクセスできるかが設定されるイメージでよい。




IAMではSSO(シングルサインオン)の機能も利用することができる。 現在は、1人の従業員がOffice 365、Salesforce、AWS、Boxなどの複数のクラウドのSaaS(サース)を利用することもある。 IAMで、一度だけ認証すれば、多数のSaaSで認証することなく、利用することが可能になる。




すべてのSaaSでIDとパスワードを入力して認証しなくてもいいってことね。 すごーく楽になるね。




IDaaS(アイダース)っていうのもある。IDaaSは、Identity as a Serviceの略で、 クラウドベースのID管理/認証サービスだ。 各クラウドサービスの認証では、社内のシングルサインオンを利用できないため、 IDaaSを利用することで、クラウドサービスの認証に、シングルサインオンが利用できる。 また、IDaaSは社内システムへのシングルサインオンにも利用できる。




一度、IDaaSで認証すれば、社内もクラウドも毎回認証することなく、アクセス許可されているものへアクセスできるってことね。




ゼロトラスト時代のセキュリティ対策はこれだけではないが、しっかりと対策することが重要だ。




では、今日はここまで。




は~い



今回のまとめ

1.ゼロトラスト=すべて信用しない

2.ゼロトラストネットワークは内部ネットワークでも信頼しないことを前提とする考え方

3.テレワーク=リモートワーク

4.テレワークには、在宅勤務、サテライトオフィス勤務、モバイルワークがある

5.今はゼロトラスト(ZT)時代

6.ゼロトラストはジョン・キンダーバーグ氏が提唱した考え方

7.EPPはマルウェア感染を防ぐもの

8.EDRは感染後の被害拡大を防ぐもの

9.次世代アンチウイルス(NGAV=Next Generation Anti Virus)は人工知能や機械学習も用いる

10.BYODは個人所有のデバイスで仕事すること

11.IAMはユーザIDと権限を管理する

12.IDaaS(アイダース)はクラウドベースのID管理/認証サービス



 次の章へ