InfraStudy2nd_4_LT1

ゼロトラスト大全読んで
ゼロトラ完全に理解した
Jumpei Toyota (@porinkysan)
#InfraStudy 2021/08
Infra Study 2nd #4 セキュリティエンジニアリングの世界

View Slide

自己紹介
• Twitter：しゃべるペンギン（@porinkysan)
• 所属：株式会社日立情報通信エンジニアリング
• 仕事：インフラエンジニア
• 趣味：おいしいもの食べに行く Instagram(@jumpei5)
ダイビング (PADI Advance Open Water Diver)
スキー（北海道出身なので）

View Slide

Agenda
目的
1
ゼロトラストとは
2
境界防御モデルの課題
3
境界防御とゼロトラストネットワークの歴史
4
Zero Trust Architecture（NIST7原則）
5
Zero Trust strategy – what good looks like
6
概念提唱者に聞くゼロトラスト導入の5Step
7
ゼロトラストネットワークの構成要素
8
ゼロトラスト実装について
9
事例に学ぶ
10
まとめ
11

View Slide

目的
1
ゼロトラ大全を読んだので
ゼロトラの基本と各技術要素などを
まとめ、アウトプットすること
（すべてわかるゼロトラスト大全さらば
VPN・安全テレワークの切り札 (日経BPムッ
ク) | 日経クロステック |本 | 通販 | Amazon）

View Slide

2 ゼロトラストネットワークとは
ゼロトラストネットワークはすべての通信を「信頼できな
いもの」とする考え
（O'Reilly Japan - ゼロトラストネットワー
ク (oreilly.co.jp)）
“ゼロトラストネットワークとは、
ファイアウォールやVPNに代表される
従来型のセキュリティ（境界防御モデ
ル）が通用しなくなった現状を踏まえ、
すべてのトラフィックを信頼しないこ
とを前提とし、検証することで脅威を
防ぐというアプローチです。”

View Slide

境界防御モデルの課題
3
一度中に入られてしまうと、無防備になってしまう。
クラウド化やモバイル化の広がりにより、企業ネットワー
クの「境界」そのものも揺らいでいる、

View Slide

境界防御とゼロトラストネットワークの歴史
4
境界防御の誕生境界防御の発展ゼロトラストネットワークの誕生
1990年代 2000年代 2010年代
1994
・NAT
・IPsec
・プライベー
トIPアドレス
2004
Jericho(ｴﾘｺ)
フォーラム
非境界型の防
御普及団体
2010
ゼロトラ
スト提唱
2014
BeyobdCorp論文公開
(Google)
2014
NISTのZTA
NIST: National Institute of Standards and Technology
ZTA: Zero Trust Architecture

View Slide

Zero Trust Architecture（NIST7原則）
5
Tenets of Zero Trust
References: NIST Special Publication 800-207
Zero Trust Architecture (nist.gov)
1. All data sources and computing services are considered resources.
2. All communication is secured regardless of network location.
3. Access to individual enterprise resources is granted on a per-
session basis.
4. Access to resources is determined by dynamic policy
5. The enterprise monitors and measures the integrity and security
posture of all owned and associated assets.
6. All resource authentication and authorization are dynamic and
strictly enforced before access is allowed.
7. The enterprise collects as much information as possible about the
current state of assets, network infrastructure and communications
and uses it to improve its security posture.

View Slide

Zero Trust strategy – what good looks like (Microsoft)
6
References: Zero Trust Maturity Model
(microsoft.com)

View Slide

概念提唱者に聞くゼロトラスト導入の5Step
7
Step1. 守るべき表面(Surface)の定義
Data(データ)、Asset(資産)、Application(アプリケーション)、
Service(サービス)からなる「DAAS」を個別に守る。
従来の外部からの攻撃されてた境界を攻撃表面、守るべき表面を
防御表面（ProtectSurface）と呼ぶ
Setp2. 業務システムにおけるトランザクションの把握
DAASに適切なアクセス制御を講じるには誰がどのような流れで
データを処理するのかを理解する必要がある
Step3. ゼロトラストを実現するためのIT環境の設計、アクセス制御の実装
IAPのようなDAASへの門番を設けるのが１つの手
Step4. DAASに誰がアクセスできるのかを示すポリシーの策定
Step5. コントロールシステムの監視と維持
概念の提唱者：ジョン・キンダーバグ氏
2010年フォレスターリサーチ在籍時にゼロトラストモ
デル提唱。2017年よりパロアルトネットワークス在籍

View Slide

ゼロトラストネットワークの構成要素
8

View Slide

8 ゼロトラストネットワークの構成要素
ユーザーの認証・アプリへのアクセス認可の強化（メイン)
① Identity & Access Management (IAM)
・複数システムへのSSO
・多要素認証
・コンテキストベース認証
②Identity Aware Proxy (IAP)
・アプリの門番として機能し、ユーザーによる正当な悪瀬薄だけをアプリ
へと中継するプロキシ
・ユーザー・デバイスの属性(IAMと連携)、デバイスのセキュリティ強度、
アクセス元などをチェックして、社内アプリの利用可否を細かく制御
IAMの主な製品
Okta Okta Identity Cloud
Google Cloud Identity
Microsoft Azure Active Directory
IAPの主な製品
Akamai Akamai Enterprise
Application Access(EAA)
Google Identity-Aware Proxy
Microsoft Azure Active Directory
Application Proxy

View Slide

デバイスの防御
③ Endpoint Detection & Response(EDR)
・検知・封じ込め・調査・修復 ※MDMと連携
④Mobile Device/Application Management(MDM/MAM)
・IT資産管理ツールとしての機能(version,パッチ,app)※IAMと連携
・クライアント管理(初期設定、アプリ一斉配布など)
・内部カメラ、SDカードへのアクセス禁止
・リモートロック/ワイプ(消去)
EDRの主な製品
Cisco Cisco AMP for Endpoint
Trendmicro ApexOne Endopint
Microsoft Microsoft Defender for
Endpoint (旧ATP)
VMware Vmware Carbon Black
Cloud
MDM/MAMの主な製品
VMware VMware Workspace ONE
Google Googleエンドポイント管理
Microsoft Microsoft Intune
Citrix Citrix XenMobile
通信キャ
リア
通信キャリアのMDM/MAM

View Slide

全ての行動の監視と分析
⑤Security Information Event Management(SIEM)
システムのログを一元管理・分析 ※EDR.IAM.CASBと連携
Security Operation Center(SOC)やシステム管理者へ通報
⑥Cloud Access Security Broker(CASB) ※SWG,SIEMと連携
SaaSなどの自社のコントロールにないアプリの利用状況を監視・分析
⑦Secure Web Gateway(SWG) ※CASB,IAPと連携
ユーザーによるインターネット利用を監視・制御
SIEMの主な製品
Google Chronicle Security
Analytics Platform
Splunk Splunk Enterprise Security
Microsoft Azure Sentinel
CASBの主な製品
Cisco Cisco Cloudlock
Microsoft Microsoft Cloud App Security
McAfee MVISION Cloud
SWGの主な製品
Cisco Cisco Umbrella
Zscaler Zscaler Internet Access

View Slide

Secure Access Service Edge(SASE)
SASEは新しいコンセプトであり、厳密に何をもってSASEと称するかは提
供ベンダーごとに異なる
SASEに含まれる機能の代表的なもの
CASB、SWG、WAF、SD-WAN、CDN、ZTNA、SDP・・・など

View Slide

9
ゼロトラストの概念や原則などはまとまっているが、
実現方法は多様であり、正解は１つではない。
様々な要素を組み合わせて対応しなければならいないため
段階的に時間をかけて導入するのが現実的
ID基盤整備
(IAM)
デバイス保護
(MDM/MAM,EDR)
脱VPN
(IAP導入でVPNなしで社
外から利用可)
SaaS利用の監視・分析
(CASB)
全てのアプリ監視・分析
(SIEM)

View Slide

9
実装するためのサービス選定の課題
・オンプレADいるからなんとか有効利用したい
・コロナでタブレット買ったからリモートワークで使える？
・オンプレで認証頑張りたい
Active Directoryフェデレーションサービス(ADFS)
Webアプリケーションプロキシ
Azure AD Connectのセット運用きつい
・全部MSでそろえたい、全部Googleでできる？
・結局SIerのかついでる製品or実績ある製品の組み合わせ
活用できそうな事例・情報みんな共有して幸せに
なりたい

View Slide

事例に学ぶ
10
NTTコミュニケーションズ
課題
https://xtech.nikkei.com/atcl/nxt/column/18/01418/092400006/
シンクライアント端末の使い勝手が悪い
施策 EDR・BitLocker・Windows Hello導入
暗号化を施した「FAT端末」採用
情報漏洩の基準変更が背景に
2017/05 個人情報保護法改正に伴う情報漏洩の扱いに関する指針が変更
高度な暗号化が施されている場合は端末を紛失しても外部に漏洩していな
いとみなされるようになった！

View Slide

まとめ
11
ゼロトラ完全に理解したふわっと概念理解
コロナだし、みんな快適なテレワークしたい！
高いお金払っていろんなセキュリティ製品
導入している企業は多いと思うので
ゼロトラストの概念を意識してデータアクセス・
ネットワークを刷新すればもう少し日本人働きや
すくなると思う
今後：手を動かして実装してみる

View Slide

InfraStudy2nd_4_LT1

InfraStudy2nd_4_LT1

Tjumpei

More Decks by Tjumpei

Other Decks in Technology

Featured

Transcript