ゼロ トラスト ネットワーク。 懐疑論者にゼロトラストの意義を納得させる方法:Computer Weekly製品ガイド

ゼロトラストネットワーク 第1章 を読む

ゼロ トラスト ネットワーク

「いつでも、どこでも働ける」環境を整えることは、いまや働き方改革の要件となっています。 そうなると、社外に持ち出したデバイスで、社内システムやクラウドを活用して仕事をするのは当たり前となり、ネットワークにおける社内と社外の境界は意味を持たなくなります。 また、ウイルスに感染したパソコンから社内ネットワークを介して感染を広げ被害をもたらす事故や、内部の悪意あるユーザーが機密情報を漏洩してしまうといった事件も後を絶ちません。 「社内は"善"、社外は"悪"」という前提に立ち、ファイヤーウォールで「社内外の境界を守る」従来の「境界防衛セキュリティ」は、もはや役に立たなくなってしまいました。 また、クラウドの利用拡大により、インターネットを介した外部へのアクセスは益々増大します。 これらアクセスの全てを、ファイヤーウォールで守ろうとすれば、処理能力が追いつかずスループットの低下は避けられません。 高速・大容量・低遅延の 5Gが登場しても、このやり方では、その価値を最大限に引き出すこともできません。 このような現状を踏まえ、「全てのアクセスを信頼せず(ゼロ・トラスト/ zero trust)、全てを検査する」ことを前提に、ユーザーがアプリケーションやサービスにアクセスするごとに、そのユーザー( ID)およびデバイスに対する認証を行い、アクセス権限があるか否かを検証してセキュリティを守るのが「ゼロトラスト・ネットワーク・セキュリティ」です。 メールからの保護:標的型メールの検出と排除• デバイスの保護: PC への侵入検知・隔離• ID の保護:なりすまし検知・防止 クラウドとオンプレミス• 機密情報の保護:自動的な分類・保護・追跡、未許可アプリや不正な操作の監視 など 物理的なネットワークの境界で脅威を防ぐのではなく、 ID毎あるいはアクセス毎に検知と対策をきめ細かく行い、脅威の影響範囲を限定し、何らかの脅威があってもシステム全体を止めずに一部に留め、事業そのものを継続できるようにします。 それでも、外部からの脅威の侵入を完全に防ぐことはできません。 そこで、問題の発生をリアルタイムに検知し、事故につながる予兆をいち早く発見して事前に対処する仕組みも組み込みます。 また、仮に被害が発生しても、その影響を最小限に食い止めます。 これらの対策は、 PCばかりではなく、 IoTデバイスについても同様に必要です。 ファイヤー・ウォールを介さず、暗号化された通信経路( VPN: Virtual Private Network)を使うことなくユーザーやデバイスが、直接 ITサービスを利用できるようにすることで、高い利便性を享受し、同時に安心と完全を担保するのが、「ゼロトラスト・ネットワーク・セキュリティ」の目指していることです。 もちろん、その対策をユーザーに意識させない、負担をかけないことも大切な要件となります。 5 【新規】Purpose:不確実な社会でもぶれることのない価値の根源 p. 22 【新規】DXの実装 p. 37 【新規】DXの鍵を握る テクノロジー・トライアングル p. 38 【新規】DXの実践 p. 41 【新規】ビジネス構造の転換 p. 42 【新規】エコシステム/プラットフォームを支える社会環境 p. 74 【新規】「活動生活」の3分類 p. 278 ITインフラとプラットフォーム編 【新規】つながることが前提の社会やビジネス p. 269 【新規】回線とサービスの関係 p. 268 クラウド・コンピューティング編 【改訂】銀行の勘定系 クラウド化が拡大 p. 31 【新規】政府の基盤システム Amazonへ発注 p. 33 【新規】AWS Outposts の仕組み p. 44 【新規】ソフトウェアが主役の時代 p. 45 【新規】ビジネス・モデルの変革 p. 12 【改訂】AIと人間の役割分担 p. 22 【改訂】知能・身体・外的環境とAI p. 83 【新規】管理職の仕事の7割をAIが代替・Gartnerが2024年を予測 p. 87 下記につきましては、変更はありません。

次の

パルスセキュアとギガモンがパートナーシップ締結、ゼロトラストネットワークアクセスへの需要増に応えるべく、あらゆるデバイスからのセキュアアクセスを強化

ゼロ トラスト ネットワーク

・ゼロトラストネットワークの概念 ・既存の境界モデルとの考え方の違い ゼロトラストネットワークとは何か? 冒頭でも触れたとおりゼロトラストネットワークは、「誰も信用しないネットワーク認可の仕組み」です。 まずは既存のネットワークセキュリティのベースである境界防御モデルとの違いを説明します。 境界防御モデルとは? 従来のネットワークは、境界防御モデルと呼ばれる考え方でセキュリティを確保しています。 境界防御モデルとは、 ネットワーク全体でセキュリティの階層構造を構成し、外側から順番に接続元の妥当性などを確認して、最終的にENDまで接続させる構成です。 言葉ではわかりずらいかもしれませんが、図にすれば簡単です。 一番外のクライアントを起点にして通信が、FWやプロキシサーバ(DMZ)を通過して、目的のアプリケーションを実行するサーバまで届きます。 最終的なゴールであるサーバを含めFWやDMZは、セキュリティ的に各々役割を持っています。 例えばIPアドレスは正しいか?であったりクライアント証明書は正しいか?などです。 このように途中機器で各々役割を持ち階層構造を作りセキュリティを保持するのが、境界防御モデルです。 境界防御モデルはわかりやすく素晴らしい構成思えますが、欠点があります。 それは、 「境界防御モデルは階層の中に入ったものはチェックしない」ことです。 例えば「FWで接続元IPアドレスを確認」している場合は、基本的にそれ以降の階層で接続元IPアドレスをわざわざ確認しません。 そのため、直接DMZ階層などから不正なIPアドレスの端末を接続した場合は、接続元IPアドレスの不正が検知されません。 なぜなら 上位階層(ここではFW)で既に正当性が正しく検知されていることが前提となっているためです。 そのため、内部的なセキュリティリスクがどうしても残存してしまいます。 社内のシステムエンジニアは最初からDMZの中にいるためです。 これは境界防御モデルの限界ともいえます。 ゼロトラストネットワークでは何がちがうのか? ゼロトラストネットワークは、境界防御モデルのこの問題をクリアします。 ゼロトラストネットワークは、 誰も信用しないネットワークです。 そのため、ENDにいるAPサーバもDBサーバも自分以外を一切信用しません。 だから 自分で自分を守るのがゼロトラストネットワークです。 ゼロトラストネットワークでは違います。 各サーバが全てのセキュリティ対策を個々に行います。 なぜなら誰も信用しないからです。 3階層サーバの時の例 もしかしたらWEBサーバが誰かハッキングされているかもしれません。 APサーバに悪いSEが不正なツールをリリースしているかもしれません。 だから無防備ではいれないのです。 その結果、 各サーバ事にセキュリティ対策を行うことになります。 ゼロトラストネットワークではスコアで評価する ゼロトラストネットワークでは、接続元が正しいのか?サーバやアプリケーションに アクセスして良いのかスコアで評価します。 このスコアの算出の元は、「 人」、「端末」、「アプリケーション」の3つです。 この3つの評価し、スコア算出した結果を元に接続認可します。 人の正しさ確認 「人」では、アカウント・パスワードや指紋・静脈認証などです。 より本人と不可分なものの方が高スコアにするようにします。 例えばアカウントやパスワードは、盗まれる可能性がありますが、静脈認証をコピーすることは難しいです。 端末の正しさ確認 「端末」では、IPアドレスはもちろん、OSバージョンやウィルス対策ソフトの更新状態などを基準スコアを出します。 誰も信用していのでチェックは厳しいです。 場合によっては、普段は日本から接続しているのに、ある時アメリカから接続してきたらスコアを落とすなんてもあります。 偽端末にIPアドレスのっとられているかもしれないからです。 アプリケーションの正しさ確認 「アプリケーション」は、アプリケーションで実行しているアプリの正当性確認です。 例えば端末内モジュールのハッシュ値と原本サーバ内のハッシュ値比較という方法もあります。 ゼロトラストネットワークのメリット ゼロトラストネットワークのメリット ゼロトラストネットワークの大きなメリットは、セキュリティの向上です。 社内のシステムを強固なセキュリティで保ちます。 ここにセキュリティを保っているため、あるアプリが不正アクセスしても、別のアプリが不正アクセスされる可能を減らせます。 そのことによりセキュリティの都合でテレワークが難しかった会社でもテレワークが可能となる可能性あります。 またゼロトラストネットワークは、ユーザ側の負担を少なくセキュリティ向上が可能です。 あくまでも既存の認証方式の組みわせで対応するためです。 ただ一方でシステム開発としては、個々のアプリケーションやサーバ間のすべての通信ケースを抽出する必要があります。 業務的なものもそうですし、OSや製品が自動通信含めてです。 これを抽出しないと個々のアプリやサーバ単位に通信許可ができません。 このあたりは、結構シビアな設計になります。

次の

ゼロトラストネットワークの実現に向けて

ゼロ トラスト ネットワーク

・ゼロトラストネットワークの概念 ・既存の境界モデルとの考え方の違い ゼロトラストネットワークとは何か? 冒頭でも触れたとおりゼロトラストネットワークは、「誰も信用しないネットワーク認可の仕組み」です。 まずは既存のネットワークセキュリティのベースである境界防御モデルとの違いを説明します。 境界防御モデルとは? 従来のネットワークは、境界防御モデルと呼ばれる考え方でセキュリティを確保しています。 境界防御モデルとは、 ネットワーク全体でセキュリティの階層構造を構成し、外側から順番に接続元の妥当性などを確認して、最終的にENDまで接続させる構成です。 言葉ではわかりずらいかもしれませんが、図にすれば簡単です。 一番外のクライアントを起点にして通信が、FWやプロキシサーバ(DMZ)を通過して、目的のアプリケーションを実行するサーバまで届きます。 最終的なゴールであるサーバを含めFWやDMZは、セキュリティ的に各々役割を持っています。 例えばIPアドレスは正しいか?であったりクライアント証明書は正しいか?などです。 このように途中機器で各々役割を持ち階層構造を作りセキュリティを保持するのが、境界防御モデルです。 境界防御モデルはわかりやすく素晴らしい構成思えますが、欠点があります。 それは、 「境界防御モデルは階層の中に入ったものはチェックしない」ことです。 例えば「FWで接続元IPアドレスを確認」している場合は、基本的にそれ以降の階層で接続元IPアドレスをわざわざ確認しません。 そのため、直接DMZ階層などから不正なIPアドレスの端末を接続した場合は、接続元IPアドレスの不正が検知されません。 なぜなら 上位階層(ここではFW)で既に正当性が正しく検知されていることが前提となっているためです。 そのため、内部的なセキュリティリスクがどうしても残存してしまいます。 社内のシステムエンジニアは最初からDMZの中にいるためです。 これは境界防御モデルの限界ともいえます。 ゼロトラストネットワークでは何がちがうのか? ゼロトラストネットワークは、境界防御モデルのこの問題をクリアします。 ゼロトラストネットワークは、 誰も信用しないネットワークです。 そのため、ENDにいるAPサーバもDBサーバも自分以外を一切信用しません。 だから 自分で自分を守るのがゼロトラストネットワークです。 ゼロトラストネットワークでは違います。 各サーバが全てのセキュリティ対策を個々に行います。 なぜなら誰も信用しないからです。 3階層サーバの時の例 もしかしたらWEBサーバが誰かハッキングされているかもしれません。 APサーバに悪いSEが不正なツールをリリースしているかもしれません。 だから無防備ではいれないのです。 その結果、 各サーバ事にセキュリティ対策を行うことになります。 ゼロトラストネットワークではスコアで評価する ゼロトラストネットワークでは、接続元が正しいのか?サーバやアプリケーションに アクセスして良いのかスコアで評価します。 このスコアの算出の元は、「 人」、「端末」、「アプリケーション」の3つです。 この3つの評価し、スコア算出した結果を元に接続認可します。 人の正しさ確認 「人」では、アカウント・パスワードや指紋・静脈認証などです。 より本人と不可分なものの方が高スコアにするようにします。 例えばアカウントやパスワードは、盗まれる可能性がありますが、静脈認証をコピーすることは難しいです。 端末の正しさ確認 「端末」では、IPアドレスはもちろん、OSバージョンやウィルス対策ソフトの更新状態などを基準スコアを出します。 誰も信用していのでチェックは厳しいです。 場合によっては、普段は日本から接続しているのに、ある時アメリカから接続してきたらスコアを落とすなんてもあります。 偽端末にIPアドレスのっとられているかもしれないからです。 アプリケーションの正しさ確認 「アプリケーション」は、アプリケーションで実行しているアプリの正当性確認です。 例えば端末内モジュールのハッシュ値と原本サーバ内のハッシュ値比較という方法もあります。 ゼロトラストネットワークのメリット ゼロトラストネットワークのメリット ゼロトラストネットワークの大きなメリットは、セキュリティの向上です。 社内のシステムを強固なセキュリティで保ちます。 ここにセキュリティを保っているため、あるアプリが不正アクセスしても、別のアプリが不正アクセスされる可能を減らせます。 そのことによりセキュリティの都合でテレワークが難しかった会社でもテレワークが可能となる可能性あります。 またゼロトラストネットワークは、ユーザ側の負担を少なくセキュリティ向上が可能です。 あくまでも既存の認証方式の組みわせで対応するためです。 ただ一方でシステム開発としては、個々のアプリケーションやサーバ間のすべての通信ケースを抽出する必要があります。 業務的なものもそうですし、OSや製品が自動通信含めてです。 これを抽出しないと個々のアプリやサーバ単位に通信許可ができません。 このあたりは、結構シビアな設計になります。

次の