ゼロトラストの原則

決して信頼するな。必ず確認せよ。

ゼロトラストの4項目のポイント

１．認証・・・ユーザー認証とアプリケーションのアクセス認可

　　最小権限の原則・・・ユーザーを特定し、必要なデータ（リソース）にアクセスするために必要最小限の権限の付与。

　　クラウド上のIDaas(IDentity as a Service：ほとんどフェデレーション方式を採用)

 　　ユーザー認証とアプリケーションのアクセス認可の３つの仕組み

　　〔1〕オンプレミス、クラウド間でのシングルサインオン

　　オンプレミス環境：Active DirectoryやLDAP(Lightweight Directory Access Protocol)などのディレクトリーサービスを用いて、企業ネットワーク内で「ドメイン」と呼ばれる閉じた範囲でのシングルサインオンを実現していた。

　　オンプレミスとクラウドの両方の環境：フェデレーション方式と呼ばれる複数サービス間での認証連携の仕組みが必要。SAML（Security Assertion Markup Language）やOpenID Connectといった標準プロトコルを利用して、別々のサービス上に位置する異なるドメイン間でもシングルサインオンを実現する。このとき、IDやパスワードの情報を複数のサービス間で直接やり取りすることはなく、抽象化された安全な認証情報のみを交換する点がポイントだ。 

　　〔2〕ユーザーやデバイスを取り巻く状況に応じたアクセス制御
　　〔3〕他社サービスと連携する際のAPI認可

２．ネットワーク・・・インターネット中心の接続環境

　　SDP(Software Defined Perimeter): オンプレミスのシステムにインターネット経由でリモートアクセスする時

　　SWG(Secure Web Gateway):クラウドサービスとして提供されるプロキシー

　　CASB(Cloud Access Security Broker): クラウドサービスの統制と可視化

３．モバイル・・・安全なモバイルデバイス活用

　　MDM(Mobile Device Management): ポリシー管理

　　EDR(Endpoint Detection and Response): 振る舞い検知による未知の脅威向け

　　モバイルデバイスは社内ネットワークで自社向けのアプリケーションを利用するだけでなく、他社とのコミュニケーションやインターネットでの情報収集などを目的に外部ネットワークに接続するため、脅威にさらされやすい。モバイルデバイスが脅威の侵入口となるのを避けるため、端末ごとに単体でセキュリティー対策を施す。

４．ログ・・・ログの取得分析と可視化

　　SIEM(Security Information and Event Management):ログ収集と分析

　　近年はサイバー攻撃の手口が高度化している。対抗するには各領域でログを取得して、複数領域の痕跡を相関分析し、システム全体で起こっている事象を可視化する必要がある。

Reference

ゼロトラストを自社導入するには？製品選びで検討すべき4項目 | 日経クロステック（xTECH）

米Forrester ResearchのZTXフレームワークの考え方