何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント:働き方改革時代の「ゼロトラスト」セキュリティ(7)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストアーキテクチャを構成する12の論理コンポーネントについて。
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。
ニューノーマル、テレワークといったキーワードとともに目にする機会の増えてきたゼロトラストについて、連載第5回からは、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポート「SP 800-207 Zero Trust Architectureを読み解いています。前回はゼロトラストの7つの基本原則(Tenets of Zero Trust)を紹介しましたが、今回はその基本原則を、どのような形で実現していくのかについて書かれたSP 800-207の第3章「ゼロトラストアーキテクチャの論理コンポーネント」の内容を中心に紹介します。
ゼロトラストアーキテクチャを構成する「論理コンポーネント」
「コンポーネント」とは「部品」や「構成要素」を表す言葉です。単独で何らかの役割を持ち、他のコンポーネントとの組み合わせによりさまざまな機能を実現します。このコンポーネントに「論理(logical)」が付いている「論理コンポーネント」ですが、機器や装置のような具体的なモノを指すのではありません。必要な役割を抽象化したものが論理コンポーネントです。
最近はスマートフォンなどで音楽を聴く機会が増えましたが、家庭のリビングなど据え置き型で音楽を聴く装置に「コンポ」や「ミニコンポ」と呼ばれるものがあります。これらは正確には「コンポーネントステレオ」といい、スピーカーやアンプ、チューナー、プレーヤーといった、それぞれ別の役割を持ったコンポーネントが組み合わさることで音楽を聴く機能を構成しています。
例えば「スピーカー」は、入力された電気信号を空気振動に変換して音を鳴らすという役割を持った論理コンポーネントです。ヤマハやソニーといった音響メーカーが製造するスピーカー製品は、この論理コンポーネントを「実装(deployment)」したものといえます。
NIST SP 800-207の第3章ではゼロトラストの基本理念を実現するための論理コンポーネントと、その役割について定義しています。ゼロトラストアーキテクチャを提供するソリューションベンダーは、これらの論理コンポーネントの役割に基づいた実装により、ゼロトラストを実現しています。
この図はゼロトラストのコンセプトフレームワークにおける各論理コンポーネント間の関係を示した図です。このうち「ポリシーエンジン(PE)」「ポリシーアドミニストレーター(PA)」「ポリシー施行点(PEP)」はゼロトラストアーキテクチャにおけるコアコンポーネントとして定義されています。
「コントロールプレーン」「データプレーン」といったネットワークにまつわる用語も出てきますが、併せて各論理コンポーネントの定義を紹介します。
コントロールプレーン、データプレーン
関連記事
- 当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという。 - コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由
コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。 - 「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか。
Copyright © ITmedia, Inc. All Rights Reserved.