ゼロトラストセキュリティアーキテクト

ゼロトラストセキュリティとは？

ゼロトラストは、ユーザー、デバイス、ネットワークを自動的に信頼しないセキュリティモデルです。企業ネットワーク内部からであっても、すべてのアクセス要求はID、デバイスの健全性、コンテキストを通じて検証される必要があります。原則：決して信頼せず、常に検証する。

なぜこれが重要なのか？従来の「城と堀」型セキュリティは、攻撃者が内部に侵入すると機能しなくなります。ゼロトラストは侵害を前提とし、すべてのリクエストを検証し、マイクロセグメンテーションにより影響範囲を制限します。GoogleのBeyondCorpとNIST SP 800-207は実世界の設計図です。

📖 詳細分析

例え 1

従来のネットワークを集合住宅のようなものだと考えてください。正面玄関を通過したら、どのユニットにも歩いてアクセスできます。ゼロトラストは空港のようなものです。入国後でも、ゲートで搭乗券の確認、セキュリティでの ID 確認、手荷物のスキャンが必要です。すべてのチェックポイントは、あなたがそこに属していることを独立して検証します。

例え 2

銀行を想像してみてください。従来のセキュリティでは、正面玄関に警備員を配置し、中にいる全員を信頼します。ゼロトラストは銀行をネストされた金庫のように扱います。各部屋には個別のキー、生体認証スキャン、および認証コードが必要です。窓口係はキャッシュドロワーにはアクセスできますが、貸金庫にはアクセスできません。すべてのドアは独立して検証されます。

🎯 シミュレーターのヒント

初心者

ネットワークの場所に関係なく、すべてのアクセス要求がどのように検証されるかを見てください。

中級者

侵害された資格情報を導入し、横方向の移動の防止を監視します。

上級者

さまざまな攻撃シナリオの爆発範囲を最小限に抑えるマイクロセグメンテーションポリシーを設計します。

📚 用語集

Zero Trust

ネットワークの場所に関係なく、すべての個人とデバイスに対して厳格な本人確認を要求するセキュリティフレームワーク。基本原則:決して信頼せず、常に確認してください。

Micro-Segmentation

ネットワークを個別のセキュリティポリシーで分離されたセグメントに分割し、攻撃者の横方向の移動を制限します。

Least Privilege

特定のタスクに必要な最小限の権限のみをユーザーに付与します。

MFA

多要素認証 — 身元を証明するために 2 つ以上の検証要素 (知っている、持っている、または実際に存在するもの) を必要とします。

mTLS

相互 TLS — クライアントとサーバーの両方が証明書を使用して相互に認証し、双方向の信頼を確保します。

BeyondCorp

Google のゼロトラストの実装により、従来の企業 VPN が排除され、すべてのネットワークが信頼できないものとして扱われます。

NIST SP 800-207

米国政府の「ゼロトラストアーキテクチャ」出版物 (2020 年)。リファレンスアーキテクチャと展開モデルが提供されています。

ZTNA

ゼロトラストネットワークアクセス — 特定のアプリケーションへのきめ細かな ID ベースのアクセスを提供することで、VPN を置き換えるテクノロジー。

Continuous Verification

ログイン時だけでなく、セッション全体を通じてユーザー ID、デバイスの健全性、動作を継続的に検証します。

Lateral Movement

最初の侵害後にネットワークを移動して、より価値の高いターゲットに到達する攻撃者の手法。

Trust Score

デバイスの健全性、動作、認証強度に基づいて、アクセス要求が正当であるかどうかの信頼度を表す動的な値 (0 ～ 100)。

Policy Engine

セキュリティポリシー、信頼スコア、およびコンテキストデータに対してアクセスリクエストを評価する中心的な意思決定ポイント。

🏆 主要人物

John Kindervag (2010)

Forrester Research で「ゼロトラスト」を造語し、基本的なセキュリティモデルを定義

Google BeyondCorp Team (2014)

VPN を使用せずに 100,000 人以上の従業員を対象に大規模なゼロトラストを実装

Chase Cunningham (2018)

Forrester で Zero Trust eXtended (ZTX) フレームワークを開発

NIST (Rose et al.) (2020)

公開された SP 800-207 ゼロトラストアーキテクチャ参照標準

Amit Sinha (2007)

クラウド提供のゼロトラストアーキテクチャの先駆者である Zscaler を共同設立

🎓 学習リソース

NIST SP 800-207: Zero Trust Architecture [paper]
ゼロトラスト原則と展開モデルのための米国政府のリファレンスアーキテクチャ (2020)
BeyondCorp: A New Approach to Enterprise Security [paper]
エンタープライズ規模でのゼロトラストの実装に関する Google の独創的な論文 (USENIX ;ログイン: 2014)
BeyondCorp: Design to Deployment at Google [paper]
Google が 100,000 人以上の従業員をゼロトラストに移行した方法 (USENIX ;ログイン: 2016)
CISA Zero Trust Maturity Model [article]
米国サイバーセキュリティ庁のゼロトラスト実装ガイド
NIST Zero Trust Architecture [article]
NIST SP 800-207 の公式出版物とリソース
Google BeyondCorp [article]
Google の BeyondCorp ドキュメントと研究論文

💬 学習者へ

ゼロトラストは単なるテクノロジーではなく、セキュリティに対する考え方の根本的な変化です。古い「信頼するが検証する」モデルでは、城壁の内側にいる人は安全であると想定されていました。 SolarWinds のような侵害は、境界セキュリティだけでは失敗することを証明しました。ゼロトラストはモデルを反転させます。侵害を想定し、明示的に検証し、最小限の権限を強制します。このシミュレーターを探索すると、すべてのリクエストがどのように複数の検証レイヤーを通過するか、および攻撃者が通過したときにマイクロセグメンテーションにどのようなダメージが含まれるかに注目してください。

始める

無料、登録不要

始める →