ゼロトラスト時代にはファイアウォールとかLAN機器とかを捨てるのかどうかあれこれ検討(1)


ここ数年、「ゼロトラスト」という言葉がよく出てきますが、言葉の意味を調べてみた。
参考としたのは、NIST SP800-207 Zero Trust Architecture new window

従来の境界線モデルとは?

- 従来の組織(会社とか)ではLANと、外部(インターネット)を分け隔てて考えていた。
- 組織の内部(社内)を守るためには、社内LANに入ってこないようにするというのが基本(ネットワークに着目)
- うちと外の境界線には強固なセキュリティの防壁を作るべし
- 外部の人が入ってこないようにするための、機器導入が当たり前
    - LANを守る機器(旧来)
        - ファイアウォール(パケットのヘッダ情報(入館証)を見て、不審者の侵入を防ぐ仕組み)
        - ファイアウォールの内側は信頼できる 
    - ヘッダ情報(入館証)を偽造されてファイアウォールの中に侵入されることがあり、いろいろ進化してきた
        - IDS(不正侵入検知)、や、IPS(不正侵入防止)が登場
        - WEBアプリケーションレベルの脆弱性に対する攻撃まではカバーできなくなり、WAF(WEB Application Firewall)が登場
        - アンチウイルスやアンチスパムも合わせて実行したくなりなんでも詰め込んだUTMが登場

ゼロトラストとは?

今の働き方はネットワークの境界線があいまいになってきた

あいまいになってきた背景としては。。。。

  • 組織の拠点が増える
  • クラウドサービス上に社内情報があり、家からでも、喫茶店からでもアクセスできる
  • そもそも社内LANだけで業務しなくなった
  • 持ち込み端末でも会社のメッセージのやりとりをあれこれしたい
  • 海外でも国内と同じように業務をしたい

上記のような背景、社会変化、などをうけて、セキュリティは、境界線に防壁をおくだけではもはや防げなくなってきた。
ネットワークにはいったら安全という考えを捨てて、つねにネットワーク内部に脅威があると考えるべき。

場所は関係ない >> どこもかしこ信頼性ゼロ >> ゼロから信頼をつみあげないといけない 

これがゼロトラスト!

ゼロトラストの世界では、ネットワークに注目するのではなく、リソースに着目してセキュリティを考える。

NECセキュリティブログより抜粋
https://jpn.nec.com/cybersecurity/blog/201016/index.html

NISTによる「ゼロトラストにおける7つの基本原則」

  • NISTによる「ゼロトラストにおける7つの基本原則」 #データソースとコンピュータサービスは、全てリソースと見なす
  • 「ネットワークの場所」に関係なく、通信は全て保護される
  • 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
  • リソースへのアクセスは動的なポリシーによって決定される
  • 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
  • リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
  • 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

参照: www.atmarkit.co.jp/ait/articles/2009/15/news007.html