セキュリティ業界に接していると、流行りの考え方/フレームワーク/技術が登場し、それに合わせたツールが提供され、使ってみると、、、ということが数年に1度くらいあります。そのうちバズワードになり誰も使わなくなり、、、という結果になることも多いです。
ここ最近の流行といえば「ゼロトラスト」ではないでしょうか。「ゼロトラストによるセキュリティ」とか「もうゼロトラストに移行しましたか」とか「リモートワークとクラウドサービスへの移行でゼロトラストの重要性が増した」とか言われると、カッコよく響くわりに何を言っているのか今ひとつピンとこず、、、大体信頼ゼロでどうやってセキュリティを構築し守るんだ、と。
実はゼロトラストは確かに概念的なのですが、きちんとした定義があり、今までのセキュリティの概念とは異なる部分がある、分かればさくっと理解できる概念です。今まではそれを正しく知るには、NIST SP800-207 Zero Trust Architectureという文書を英語で読むのが正しい道でした。
ところが日本人にとって嬉しいことに、この文書の翻訳が作成されました。もちろんNISTの公認のものです。
翻訳をされたのは公認会計士事務所を中心として、監査や企業ガバナンス分野を行っているPwC日本法人です。CISSPの勉強をしていると登場する内部統制報告書SoC1/2/3 type 1/2の発行サービスなども行っている会社です。
この文書では、ゼロトラストの定義、意義とその目的、どのようなアーキテクチャ構成で達成することができるのか、それぞれの構成の利点と欠点、などが記載されています。新しい考え方を把握するには、やはり日本語の方がハードルが下がり、読みやすいと感じます。多少直訳的な部分もありますが、自然な翻訳と感じました(個人の感想ですよ)。
上記のページでは日本語訳へのリンクと共に、PwCの方による解説、執筆者へのインタビューなどが掲載されています。ゼロトラストをきちんと理解したい人は大変便利なリソースだと思います。
この文書を読むと容易に以下のことがわかります。
- ネットワーク上の位置(企業内ネットワークかその外側か)を信頼のベースにするという考えは危殆化している
- 特に境界を守るFWは内部からの攻撃にはあまり役に立たない
- ゼロトラストではネットワーク上の位置による信頼を止める。リソースの保護のためにセッションごとに認証と認可を行うことを信頼のベースとする。
企業内ネットワーク上で通信であっても暗号化し、通信先では必ず認証と認可を行う、ユーザからのアクセスだけでなく、機器同士の通信でも同様のことを行う、ということです。
これを実現するための基本的な構成や、様々な構成のバリエーションについてはぜひこの文書を読んでみてください。
最後に、この文書を翻訳されたPwCに感謝したいと思います。
