読む価値あり、「政府情報システムにおけるゼロトラスト適用に向けた考え方」

セキュリティの社員教育
2020.11.16

2020年になってから、コロナ禍によろテレワークが一般化したことにともない、「ゼロトラスト」という用語が一般紙でも見られるようになってきた。

また、ゼロトラストに関する多くの記事がインターネットでも紹介されている。

多くの記事でゼロトラストの概念を紹介するようになったのは、喜ばしいことであるが、一方、ゼロトラストの良い面ばかりにフォーカスしているのではないか。

そんななか、この記事では、政府CIO補佐官等ディスカッションペーパーとしてだされている「政府情報システムにおけるゼロトラスト適用に向けた考え方」というドキュメントを紹介したい。

読む価値あり、「政府情報システムにおけるゼロトラスト適用に向けた考え方」

結論としては、「政府情報システムにおけるゼロトラスト適用に向けた考え方」というドキュメントが以下の政府CIOポータルサイトで公開されているので、是非、読んでいただきたい。ということです。

https://cio.go.jp/dp2020_03

このドキュメントは、11ページの文書となっているが、政府の文書にしては大変に読みやすいものとなっています。

目次は、以下のとおりとなっています。

1.はじめに

2.境界型セキュリティとゼロトラスト

3.政府情報システムにおけるゼロトラストの適用

4.具体的な取り組み

これだけ見ると、所謂、ゼロトラストのいいところを書いてあり、政府も使っていきましょう!という内容に見えますが、注目すべきは「3.1 基本的な考え方」の部分です。

以下、3.1から抜粋を紹介します。

ゼロトラストの考え方を政府情報システムにおいて適用させるには、先ず、境界型セキュリティに強く依存する現状の理解と、予算的な制約から段階的に複数年かけた移行計画が必須という前提への理解が必要となります。また、これまでの境界型セキュリティへの強い依存は、過度の多層防御によるネットワークセキュリティ対策の整合性の不備と高コスト化を招いているだけでなく、アプリケーションレベルでのセキュリティ対策の不十分さ、「外部と分離されていれば安心、分離されていなければ危険」といった感情面での強い依存も招いていることへも理解が必要です。従って、フェイルセーフとしての境界型セキュリティを残しつつ、ゼロトラストを基本に境界型セキュリティも組み合わせた移行の検討が必要となります。」

文書を分解した方が分かりやすいので、分けて記載しなおすと

「ゼロトラストの考え方を政府情報システムにおいて適用させる」には、以下の3点を理解・認識する必要があるといっています。

1.境界型セキュリティに強く依存する現状の理解

2.予算的な制約から段階的に複数年かけた移行計画が必須という前提への理解

3.これまでの境界型セキュリティへの強い依存は、過度の多層防御によるネットワークセキュリティ対策の整合性の不備と高コスト化を招いているだけでなく、アプリケーションレベルでのセキュリティ対策の不十分さ、「外部と分離されていれば安心、分離されていなければ危険」といった感情面での強い依存も招いていることへも理解

その上で、「フェイルセーフとしての境界型セキュリティを残しつつ、ゼロトラストを基本に境界型セキュリティも組み合わせた移行の検討が必要となります。」

つまり、ゼロトラストにしても、安全のため「既存の境界型セキュリティを残す必要がある」といっているのです。

この考え方は、政府だけでなく、これからゼロトラストの概念を導入してセキュリティ強化を図ろうとする多くの企業において重要な示唆となると考えます。

ベンダーからの提案を聞いて、あたかもゼロトラストに移行すると従来の境界型セキュリティを放棄する必要があると考えがちですが、それは全くもって誤った考えです。

勿論、最終的には、利便性の観点から境界型セキュリティを放棄する形を目指すことになりますが、ゼロトラストでのセキュリティが従来の境界型セキュリティを上回って安定運用できるまでは、まさに「フェールセーフ」の観点から安易に「境界型セキュリティ」を放棄してはいけないのです。

また、「3.2 ゼロトラストを適用するための取り組み」で記載されている内容のうち、「政府の特定秘密と極秘文書に該当する情報はパブリッククラウド上で扱わない」というルールに関する1)以外は、民間企業でも実際に役にたつ内容となっています。

2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化
3)エンドポイント・セキュリティの強化
4)セキュリティ対策のクラウド化
5)認証と認可の動的管理の一元化

上記で紹介した部分が他のゼロトラスト紹介の文書と大きくことなる部分ですが、「2.4 ゼロトラストとは」の章も読む価値ありです。

ここでは、「境界型が城のイメージだとすると、ゼロトラストは街のイメージです。壁はないものの、街の至る所で権限が確認され、その時点でアクセスを許可された人だけが、許可された範囲のことだけを実行できます。」という比喩が使われており、システムの専門家でなくてもゼロトラストの概念を理解しやくす説明しています。

上記のとおり、このドキュメントは、民間企業でのゼロトラストの検討にも大変参考になるものですので、一読の価値ありですので、お勧めいたします。

政府情報システムにおけるゼロトラスト適用に向けた考え方

【2021年】セキュリティ・エンジニア向け転職エージェント・ランキング

情報セキュリティマネジメント試験の独学勉強法 (kurage8.com)

CISSP独学勉強法 アナタも合格できます。 (kurage8.com)

スポンサーリンク

コメント

タイトルとURLをコピーしました