全3574文字
ゼロトラストネットワークでは、すべての通信を信頼できないものとして取り扱う。これを実現するにはどうしたらよいのか。ゼロトラストネットワークの基本は、「デバイスがリソースにアクセスする際にその可否を判定する」である。これを実現するためには、大きく次の3つの要素が必要になる。
ゼロトラストネットワークの基本構造
[画像のクリックで拡大表示]
1つめはデバイスの状態や利用者などの情報収集。現在出回っている攻撃などの情報も集める。
2つめは収集した情報と企業ネットワークのセキュリティーポリシーを組み合わせて、アクセスできるレベルを決定すること。
最後の3つめは、決定したレベルに基づくアクセス制御を実施することである。
NISTが定義する7原則
NISTの文書では、ゼロトラストネットワークが満たすべき内容を7つの原則としてより細かく定義している。ただし、挙げているのは原則であってその実現方法については触れていない。
NISTが定義するゼロトラストネットワークの7原則
[画像のクリックで拡大表示]
例えば2つめの原則「ネットワークの場所に関係なく、すべての通信が保護される」を見てみよう。通信を保護する具体的な方法は示していない。
一般には、通信データを暗号化することで実現する。ゼロトラストネットワークではデータが流れる場所はどこも安全ではないことを前提とする。データを暗号化していない平文の状態でやりとりすれば、盗聴される危険がある。従ってすべての通信データを暗号化する必要がある。
3つめの原則「リソースへのアクセスはセッションごとに許可される」と4つめの原則「リソースへのアクセスは動的なポリシーによって決定される」を満たすために、すべてのネットワークのフローを処理前に認証し、アクセス制御を実施する。
