IPAのゼロトラスト指南書が面白い

セキュリティの社員教育

ゼロトラストという言葉は、一般的になってきた。

しかし、コンセプトは理解できるが、実際に何をどうやるのがいいのか、漠然としている感じもする。

ベンダーから何回も説明を受けるが、どうもしっくりこない。そもそも本当にゼロトラストへ移行するのが正解なのかもわからない。

そんな中、IPA(独立行政法人情報処理推進機構)から中核人材育成プログラムの成果物として、「ゼロトラスト指南書」が出された。

https://www.ipa.go.jp/files/000092243.pdf

「ゼロトラスト指南書」では、「ゼロトラスト」を言葉で捉えるのではなく、文献調査を行うとともに、調査で抽出した技術要素の機能調査、機能検証を行っている。また、現在ゼロトラストを導入している企業についても調査を行っており、実際の構築手順の情報や構築における課題等にも触れている。

「ゼロトラスト」については、多くのベンダーが情報を発信しているが、ユーザー企業の目線でまとめたドキュメントは、殆どない。

その意味で、本書「ゼロトラスト指南書」は、大変有意義であり、ユーザ企業のゼロトラストの導入を検討する担当者にとって、正に指南書に値するものとなっている。

世界最大級のオンライン学習サイトUdemy

第一章 本指南書の説明

ここでは、本書の目的と構成および用語の定義がされている。

注目は、用語の定義である。ゼロトラストに関する多くのドキュメントでは、定義を正確にするという観点から、用語の定義自体が小難しくなっている場合が殆どである。

本書では、それをザックリ、分かりやすく定義しており、素晴らしい。

第二章 ゼロトラストの概要

ここでは、ゼロトラストの歴史、ゼロトラストに関する文献、ゼロトラストの基本的な考え方、ゼロトラスト・アーキテクチャ構築時の前提条件、本指南書におけるゼロトラストの考えおよびゼロトラスト導入に向けた進め方が紹介されている。

まず、紹介されている文献の整理がgoodである。

5つの文献が紹介されているが、NISTでどう定義されているかをおさえ、ゼロトラスト大全(日経BPムック)で導入事例を紹介している。

指南書として示す文献としての網羅性が素晴らしい。

また、ゼロトラストの基本的な考え方、ゼロトラスト・アーキテクチャ構築時の前提条件では、一般的に、実装すべき機能についての難解な説明になりがちな部分を日本語のみで説明しきっている点が素晴らしい。

今まで、読んだ説明のなかで一番分かりやすいと思う。

また、本指南書におけるゼロトラストの考えでは、ゼロトラストについての本書での立ち位置を明確化している。

ゼロトラストとは,「すべて信用しない」ではなく,「すべてにおいて確認し認証・認可を行う」ということである。また,ゼロトラストは境界型防御で守ることが困難な脅威に対して適用する対策ではあるものの,「境界型防御を排除する考え」ではない。既存に用いられている境界型防御も活かすことで,より強固なセキュリティを構築できると考える。

最後に、ゼロトラスト導入に向けた進め方では、NIST SP800-207を参考に、進め方を説明している。

ここでは、資産(デバイスやネットワークなど)、主体(ユーザ・権限なd)、ビジネスプロセスについて詳細に理解することの重要性が示されている。

現状の運用状況を把握していなければ、どのような新しいプロセスやシステムを導入する必要があるかを判断することはできない。正にそのとおりである。

ゼロトラスト導入プロセスでは、「企業が補修する資産を特定」という部分が最も重要ではないかと感じる。

この部分、クラウドの利用がいつの間にか進んでしまい多くのシャドウITを抱えている、企業にとって実は大変難しい作業になるのではないだろうか?

第三章 ゼロトラストの構成要素

この章の整理がとても分かりやすい。

ゼロトラストといっても、実際に実装する要素は複数あり、ゼロトラストはその集合体であることをうまく整理してくれている。

CASB、CSPM、EDR、EMM、IDaaS、IRM、SASE、SDP、SWG、SOAR、UEBAの11項目

どれも重要ですが、全てを一度に実装することはできない。

第四章 ゼロトラストのモデルケース

この章が、本書の価値を高めている。

前章のゼロトラストの構成要素を組み合わせてつかった8つのユースケースについて、実際に環境を構築し、検証を行っているのである。

各ユーザ企業でも、ゼロトラストへの移行を考える場合、最終的には、どの製品をどう組み合わせるのかを決める必要がある。

その際、前章の11の構成要素の組み合わせに関する本章の検証は大変役に立つものとなる。

第五章 制御系システムへのゼロトラスト導入検証

この章は、個人的には大変チャレンジングな章であると感じる。

本書にも記載されているが、まだまだ制御系へのゼロトラスト導入に対するハードルは高いのが現状ではないでしょうか?

しかし、それは時間の問題であり、いずれ制御系でもゼロトラスト導入が当たり前になる時期がくるのは、概ね間違いないため、いまからその検討をしておくことには、価値がある。

第六章 導入方法

ゼロトラストを実現させるためには,既存のセキュリティを活用しつつ,ハイブリッド型としてスモールスタートで実施していくことが現実的である。
現在,ほとんどの企業が従来の境界型防御によるセキュリティを構築していると考えると,ゼロトラストへ一斉更新することは,コスト面・運用面・人的資源を考えると難易度が高いと言える。
まずは自社の課題を整理し,何をしたいか等の要件定義をまとめた上で,課題にあったソリューションを見つけることがゼロトラストへの第一歩と考える。
「これを導入すればゼロトラスト実現!」や「ゼロトラスト」と言う名の製品はこの世の中に存在しない。
前述でも述べたように要件定義に合わないソリューションを購入すると管理・運用の負担増となる。

正に、そのとおりである。

第七章 境界防御との共存

この章では、境界防御とゼロトラストの共存について書かれている。

境界型防御とゼロトラストは,見ている視点が違うだけで,どちらが優れているから大丈夫,劣っている方は不要(ファイアウォール(FW)や境界型防御は不要)ということではない。そのため,既存の境界型防御を排除するだけでなく,共存させることで,より良いセキュリティができるのではないかと考える。

この点については、私も大賛成である。

あたかも、境界防御は古く、これからはゼロトラストへシフトということが言われているが、そうではない。

この2つは、相互に補完し合い、セキュリティを高めることが可能という考え方には、大賛成である。

最後に、本書から図を参照させていただく。

この図が示すように、ゼロトラスト機能と境界防御の機能は、重複している。既存の境界防御の機能を残しつつ、ゼロトラストの機能を導入することで、セキュリティレベルの向上が図れるのである。

まとめ

本書をまとめ公開していただいているIPAおよび核人材育成プログラムの皆さんに、感謝を述べたい。

本書は、多くのゼロトラスト導入を検討している企業にとおって大いに参考となるドキュメントであることは間違いない。

バズワード化しつつあるゼロトラストという概念を具体的な視点で整理し、分かりやすくまとめるには、大変な苦労があったとうかがえる。

ありがとうございました。

政府情報システムにおけるゼロトラスト適用に向けた考え方 (kurage8.com)

次期サイバーセキュリティ戦略(案)のパブコメ始まる (kurage8.com)

情報セキュリティマネジメント試験の独学勉強法 (kurage8.com)

CISSP独学勉強法 アナタも合格できます。 (kurage8.com)

【2021年】セキュリティ・エンジニア向け転職エージェントランキング (kurage8.com)

世界最大級のオンライン学習サイトUdemy

コメント