ゼロトラストアーキテクチャとは|従来の境界防御との違いをITパスポート向けに整理
ゼロトラストの基本原則、従来の境界防御との違い、SASE・SD-WAN との関係をITパスポート試験向けに整理します。
ゼロトラストとは
ゼロトラストの基本原則は「Never Trust, Always Verify」(決して信頼せず、常に検証する)です。この概念は2010年にForrester Researchによって提唱されました。その後、2020年のコロナ禍でのテレワーク普及に伴い、その注目度が急増しました。
なぜ従来の境界防御では不十分か
従来:境界防御モデル
従来の境界防御モデルでは、「社内は信頼、社外は危険」という前提に基づいていました。ファイアウォールで境界を守ることで社内は安全と仮定し、VPNを利用して社外からアクセスすれば社内扱いとする考え方です。
境界防御の限界
しかし、クラウドサービスの利用により「社内」の境界が曖昧になりました。テレワークやBYODの普及で端末が境界外に存在するケースが増え、内部犯行や標的型攻撃によって境界を突破される事例も多数報告されています。
ゼロトラストの主な原則
ゼロトラストの主な原則は五つあります。第一に、すべてのアクセスを場所・デバイス・時間に基づいて検証します。第二に、最小権限の原則を適用し、必要最小限のアクセス権のみを付与します。第三に、リスクに応じて権限を動的に評価します。第四に、すべての通信を暗号化することを徹底します。第五に、すべてのアクセスをログに記録し、監視を強化します。
ゼロトラストを実現する技術
IAM(Identity and Access Management)
IAMでは、ユーザの認証と認可を一元管理します。特にMFA(多要素認証)を徹底することが重要であり、認証と認可の違いについては認証と認可の違いで詳しく解説しています。
EDR / XDR
EDR(Endpoint Detection and Response)やXDRは、エンドポイントやシステム全体の脅威を検知する技術です。これにより、異常な動作を早期に発見できます。
マイクロセグメンテーション
マイクロセグメンテーションでは、ネットワークを細かく分割し、最小権限の原則に基づいて接続を制御します。これにより、侵害が発生した場合の影響範囲を限定できます。
SASE(Secure Access Service Edge)
SASE(Secure Access Service Edge)は、ネットワーク機能とセキュリティ機能をクラウドで統合的に提供するアーキテクチャです。これにより、場所に依存しないセキュアなアクセスが可能になります。
ITパスポート試験での出題ポイント
ITパスポート試験では、「Never Trust, Always Verify」の原則が頻出です。また、従来の境界防御との違いを理解しておくことが重要です。多要素認証の徹底やテレワーク時代におけるゼロトラストの必要性も問われる傾向があります。
過去問の典型パターン
- 「ゼロトラストの考え方として正しいものはどれか」型
- 「従来の境界防御との違いはどれか」型
関連用語
- VPN との関係(VPNとは)
- ファイアウォール(ファイアウォール・WAF・IDS/IPS)
- 認証と認可(認証と認可の違い)
- サイバー攻撃(サイバー攻撃の種類まとめ)
学習のコツ
学習のコツとしては、まず「Never Trust, Always Verify」という一言原則を暗記すると良いでしょう。次に、境界防御からゼロトラストへの転換背景として、クラウドやテレワークの普及を理解することが重要です。さらに、最小権限と多要素認証が必須要素であることを押さえておきましょう。
まとめ
ゼロトラストの原則や境界防御との対比、実現技術を押さえることで、関連問題で確実に得点できます。テクノロジ系を網羅的に演習したい方はテクノロジ系まとめをご覧ください。本番形式の問題を解くには模擬試験を活用すると良いでしょう。