NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係働き方改革時代の「ゼロトラスト」セキュリティ(6)

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、NISTによる「ゼロトラストにおける7つの基本原則」について。

» 2020年09月15日 05時00分 公開
[仲上竜太株式会社ラック]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。前回は、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポートである「SP 800-207 Zero Trust Architecture(2nd Draft)」に書かれた内容を基に、今後ゼロトラストを論じる上で軸となり得る、米国政府が考えるゼロトラストの定義と実践の姿について考えました。

 その「SP 800-207 Zero Trust Architecture」ですが、2020年8月中旬に、ドラフトが取れた最終版が公表されました。

 SP 800-207は米政府がネットワークやセキュリティのモデルとしてのゼロトラストについて言及する際に、政府標準として扱われるべく提言されたものです。今後、他のSP 800シリーズ同様に、世界中の多くの組織がこのSP 800-207を参考に、ゼロトラストについて議論すると思います。

 今回はSP 800-207から、「ゼロトラストにおける7つの原則」といえる部分を解説していきます。

NISTによる「ゼロトラストにおける7つの基本原則」

 SP 800-207には、ゼロトラストが生まれた背景、基本的な考え方、そして実践の方法がまとめられています。これからゼロトラストを学ぶ上で非常に良質なドキュメントといえるでしょう。

 中でも第2章冒頭に掲げられた、「ゼロトラストにおける7つの基本原則」は、ゼロトラストを実現する上での理想的な考え方がまとめられています。

  1. データソースとコンピュータサービスは、全てリソースと見なす
  2. 「ネットワークの場所」に関係なく、通信は全て保護される
  3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
  4. リソースへのアクセスは動的なポリシーによって決定される
  5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
  6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
  7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

 これらの7つの基本原則をまとめ、以下を満たした状態が理想的なゼロトラストであると提言しています。

  • 全てのリソースへのアクセスの認証と認可がリクエストごとに動的に決定される
  • 全てのリソースの状態が、その判断に用いられる
  • 全てのリソースの機器や通信が保護され、状態が可視化によって監視されている

 では、これらの7つの基本原則について詳しく見ていきましょう。

【1】データソースとコンピュータサービスは、全てリソースと見なす

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。