ゼロトラストネットワーク[実践]入門
書籍情報
発売日 : 2022年02月17日
著者/編集 : 野村総合研究所/NRIセキュアテクノロジーズ
出版社 : 技術評論社
発行形態 : 単行本
書籍説明
内容紹介
本書は、ゼロトラストについての理解を深め、実際に企業システム環境にゼロトラストのコンセプトを取り入れて、変革していくための方法を学んでいただくことを目的として書かれています。個別のセキュリティソリューションのみに焦点をあてていません。企業の業務や働き方のあるべき姿には各々の企業で特徴があり、またこれまで積み重ねてきたシステム構成も企業ごとに異なります。各企業がゼロトラストを取り入れた将来のシステム構成を策定し、移行していく旅路の旅行ガイド。
目次
■第1章:ゼロトラストが求められる理由
1-1:創造性や生産性を高める柔軟な働き方の実現
分散が加速する社会
デジタルを活用した働く環境の高度化
分散する情報資産をいかに守るかが重要となる
1-2:企業間の共創による価値創造
社会課題解決のための企業間共創
企業の競争優位を継続するための企業間共創
共創を支える協業環境
ユーザの広がりにいかに対応するかが重要となる
1-3:デジタル化により増大するセキュリティの脅威
ワークプレイスの移行でセキュリティリスクが顕在化する
サイバー攻撃に狙われるデジタルワークプレイス
デジタルワークプレイスで起きているセキュリティインシデントの事例
1-4:境界防御からゼロトラストセキュリティへ
データセンターをハブとした従来型アーキテクチャの限界
デジタルワークプレイスはゼロトラストセキュリティで守る
ゼロトラストモデルは経営資源を最適化する
Column:企業システムの全体像とゼロトラストの関係
■第2章:ゼロトラストの生い立ちと背景にある脅威を紐解く
2-1:ゼロトラストの生い立ち
ゼロトラストの胎動
Forrester社による「ゼロトラスト」の提唱
Googleによるゼロトラスト大規模実装例
Forrester社によるゼロトラストの具体化
Gartner社によるゼロトラストの解釈
NISTによるZTAのグローバル標準化
CIS ControlsのZTA対応
米国連邦政府におけるZTA移行命令
2-2:これまでの脅威の変遷
インターネットからイントラネットへ侵入する脅威
スタンドアロンネットワークへ侵入する脅威
イントラネットに大規模に広がる脅威
コロナ禍のテレワークの広がりで猛威を振るう脅威
内部者によってもたらされる脅威
クラウドサービスの利用によってもたらされる脅威
2-3:これからより高まるであろう脅威
クラウドへ広がり侵害される組織ネットワーク
委託先への暗黙的な信頼によるビジネスモデルへのリスク
サプライチェーンへの攻撃
フィジカル空間とサイバー空間のつながりによる人命へのリスク
プライバシー保護に求められるセキュリティ
Column:国外企業を委託先とする場合の留意事項
Column:Excecutive Order on Improving the Nation's Cybersecurity
■第3章:ゼロトラストのアーキテクチャ
3-1:コントロールプレーンとデータプレーンを分離した分散型アーキテクチャ
境界防御モデルとゼロトラストモデル
コントロールプレーンとデータプレーン分離
ゼロトラストモデルの主要コンポーネントとアクセス制御プロセス
3-2:PEPの配置によるアーキテクチャの変化
ゼロトラストモデルにおけるデプロイメントのポイントはPEPの配置
3-3:アクセス制御を実現するトラストアルゴリズム
ゼロトラストアーキテクチャにおける思考プロセス
トラストアルゴリズムの評価パターン
Column:分散型アーキテクチャの発展
■第4章:ゼロトラストを構成する技術要素
4-1:4つの主要な技術要素
内向きのデジタル化による変化と対策
4つの主要な技術要素
Column:認証と認可の違い
4-2 認証・認可とデータセキュリティ
ユーザ認証・認可の動向
ゼロトラストにおけるユーザ認証
ゼロトラストにおけるアクセス制御(認可)
トラスト情報
動的アクセスポリシー
製品/サービス選定・導入の考え方(クラウドIAMサービス)
運用上の留意点
4-3:ネットワークセキュリティ
ネットワークアクセスの動向
社外からのプライベートシステムへのアクセス
クラウドサービスへのインターネットアクセス
一般Webサイトへのインターネットアクセス
ネットワークセキュリティ全体のサービス設計
4-4:エンドポイントセキュリティ
エンドポイントセキュリティの全体像
Column:クラウドワークロードのセキュリティ対策
資産管理(端末資産を漏れなく把握して管理)
管理端末の最適化(組織のポリシーに従い、管理端末の状態を最適化)
ウィルス対策
脅威の発見と調査・対応
データ漏えい防止(エンドポイント型DLP)
4-5:ログの収集と監視
ログの収集
ログの監視・分析
セキュリティインシデントの調査と対処
Column:データ・ライフサイクル管理
■第5章:ゼロトラストを導入する流れ
5-1:ゼロトラスト導入はジャーニー
何を得るための旅なのかを考える
ゼロトラストは手段であり、導入がゴールではない
5-2:ゼロトラスト導入の明確化
ゼロトラスト導入の明確化には3つの観点での整理が必要
ゼロトラストがもたらす、「守り」と「攻め」の側面を考える
ゼロトラスト導入の効果を上流から意識する
立場が異なる目線での目的整合を考える
5-3:導入検討のアプローチ概要
【Step1】ありたい姿、将来のユースケースの策定
【Step2】現状の構成・ユースケースの把握と課題分析
【Step3】システム構成パターンの把握
【Step4】インフラ構成のToBe像とロードマップ作成
5-4:【Step1】ありたい姿、将来のユースケースの策定
導入目的から業務実態の変化と適合を考える
変化の適応範囲を定める
肯定的な効果を洗い出す
導入優先度と変化指標を定める
5-5:【Step2】現状の構成・課題分析
現状を把握する
付随的な変化範囲を定める
否定的な影響を洗い出す
対応策の検討
5-6:ゼロトラストの構成パターン
ゼロトラストの目的
利便性の向上とセキュリティ強化に対するアプローチ
ゼロトラストの構成パターン
企業が目指す姿
レベル0:スタート地点としてのセキュリティ
レベル1:認証とエンドポイントセキュリティの強化
レベル2: ワーククラウドシフトとセキュアなローカルブレイクアウトの実現
レベル3:組織ネットワークの廃止とリアルタイムゼロトラストの実現
5-7:インフラ構成のToBe像とロードマップ策定
将来ありたい姿整理の準備
ロードマップの策定
ロードマップの策定(ロードマップ例)
5-8:ゼロトラストのアンチパターン
アンチパターン①:組織方針の連携不足
アンチパターン②:コスト削減目的のゼロトラスト
アンチパターン③:従来のセキュリティ施策への誤った固執
Column:レガシーとどう向き合うか
■第6章:ゼロトラストのサービス選定と展開の検討
6-1:サービスの選定
エコシステムを構成するサービス間連携
将来の変化に対応できる、機能とボリュームの拡張性
サービス導入後の運用性
6-2:ゼロトラストの展開は
対象組織×対象業務・システムの2軸で段階的に
特区で対象組織を絞る
展開計画の策定
社外とのコラボレーション
6-3:ロードマップの進捗管理・見直し
6-4:ゼロトラスト導入後の運用管理
Column:システムアーキテクチャ方針の策定とガバナンス
■Appendix:ゼロトラストモデルに活用される主要サービスの一覧
1-1:創造性や生産性を高める柔軟な働き方の実現
分散が加速する社会
デジタルを活用した働く環境の高度化
分散する情報資産をいかに守るかが重要となる
1-2:企業間の共創による価値創造
社会課題解決のための企業間共創
企業の競争優位を継続するための企業間共創
共創を支える協業環境
ユーザの広がりにいかに対応するかが重要となる
1-3:デジタル化により増大するセキュリティの脅威
ワークプレイスの移行でセキュリティリスクが顕在化する
サイバー攻撃に狙われるデジタルワークプレイス
デジタルワークプレイスで起きているセキュリティインシデントの事例
1-4:境界防御からゼロトラストセキュリティへ
データセンターをハブとした従来型アーキテクチャの限界
デジタルワークプレイスはゼロトラストセキュリティで守る
ゼロトラストモデルは経営資源を最適化する
Column:企業システムの全体像とゼロトラストの関係
■第2章:ゼロトラストの生い立ちと背景にある脅威を紐解く
2-1:ゼロトラストの生い立ち
ゼロトラストの胎動
Forrester社による「ゼロトラスト」の提唱
Googleによるゼロトラスト大規模実装例
Forrester社によるゼロトラストの具体化
Gartner社によるゼロトラストの解釈
NISTによるZTAのグローバル標準化
CIS ControlsのZTA対応
米国連邦政府におけるZTA移行命令
2-2:これまでの脅威の変遷
インターネットからイントラネットへ侵入する脅威
スタンドアロンネットワークへ侵入する脅威
イントラネットに大規模に広がる脅威
コロナ禍のテレワークの広がりで猛威を振るう脅威
内部者によってもたらされる脅威
クラウドサービスの利用によってもたらされる脅威
2-3:これからより高まるであろう脅威
クラウドへ広がり侵害される組織ネットワーク
委託先への暗黙的な信頼によるビジネスモデルへのリスク
サプライチェーンへの攻撃
フィジカル空間とサイバー空間のつながりによる人命へのリスク
プライバシー保護に求められるセキュリティ
Column:国外企業を委託先とする場合の留意事項
Column:Excecutive Order on Improving the Nation's Cybersecurity
■第3章:ゼロトラストのアーキテクチャ
3-1:コントロールプレーンとデータプレーンを分離した分散型アーキテクチャ
境界防御モデルとゼロトラストモデル
コントロールプレーンとデータプレーン分離
ゼロトラストモデルの主要コンポーネントとアクセス制御プロセス
3-2:PEPの配置によるアーキテクチャの変化
ゼロトラストモデルにおけるデプロイメントのポイントはPEPの配置
3-3:アクセス制御を実現するトラストアルゴリズム
ゼロトラストアーキテクチャにおける思考プロセス
トラストアルゴリズムの評価パターン
Column:分散型アーキテクチャの発展
■第4章:ゼロトラストを構成する技術要素
4-1:4つの主要な技術要素
内向きのデジタル化による変化と対策
4つの主要な技術要素
Column:認証と認可の違い
4-2 認証・認可とデータセキュリティ
ユーザ認証・認可の動向
ゼロトラストにおけるユーザ認証
ゼロトラストにおけるアクセス制御(認可)
トラスト情報
動的アクセスポリシー
製品/サービス選定・導入の考え方(クラウドIAMサービス)
運用上の留意点
4-3:ネットワークセキュリティ
ネットワークアクセスの動向
社外からのプライベートシステムへのアクセス
クラウドサービスへのインターネットアクセス
一般Webサイトへのインターネットアクセス
ネットワークセキュリティ全体のサービス設計
4-4:エンドポイントセキュリティ
エンドポイントセキュリティの全体像
Column:クラウドワークロードのセキュリティ対策
資産管理(端末資産を漏れなく把握して管理)
管理端末の最適化(組織のポリシーに従い、管理端末の状態を最適化)
ウィルス対策
脅威の発見と調査・対応
データ漏えい防止(エンドポイント型DLP)
4-5:ログの収集と監視
ログの収集
ログの監視・分析
セキュリティインシデントの調査と対処
Column:データ・ライフサイクル管理
■第5章:ゼロトラストを導入する流れ
5-1:ゼロトラスト導入はジャーニー
何を得るための旅なのかを考える
ゼロトラストは手段であり、導入がゴールではない
5-2:ゼロトラスト導入の明確化
ゼロトラスト導入の明確化には3つの観点での整理が必要
ゼロトラストがもたらす、「守り」と「攻め」の側面を考える
ゼロトラスト導入の効果を上流から意識する
立場が異なる目線での目的整合を考える
5-3:導入検討のアプローチ概要
【Step1】ありたい姿、将来のユースケースの策定
【Step2】現状の構成・ユースケースの把握と課題分析
【Step3】システム構成パターンの把握
【Step4】インフラ構成のToBe像とロードマップ作成
5-4:【Step1】ありたい姿、将来のユースケースの策定
導入目的から業務実態の変化と適合を考える
変化の適応範囲を定める
肯定的な効果を洗い出す
導入優先度と変化指標を定める
5-5:【Step2】現状の構成・課題分析
現状を把握する
付随的な変化範囲を定める
否定的な影響を洗い出す
対応策の検討
5-6:ゼロトラストの構成パターン
ゼロトラストの目的
利便性の向上とセキュリティ強化に対するアプローチ
ゼロトラストの構成パターン
企業が目指す姿
レベル0:スタート地点としてのセキュリティ
レベル1:認証とエンドポイントセキュリティの強化
レベル2: ワーククラウドシフトとセキュアなローカルブレイクアウトの実現
レベル3:組織ネットワークの廃止とリアルタイムゼロトラストの実現
5-7:インフラ構成のToBe像とロードマップ策定
将来ありたい姿整理の準備
ロードマップの策定
ロードマップの策定(ロードマップ例)
5-8:ゼロトラストのアンチパターン
アンチパターン①:組織方針の連携不足
アンチパターン②:コスト削減目的のゼロトラスト
アンチパターン③:従来のセキュリティ施策への誤った固執
Column:レガシーとどう向き合うか
■第6章:ゼロトラストのサービス選定と展開の検討
6-1:サービスの選定
エコシステムを構成するサービス間連携
将来の変化に対応できる、機能とボリュームの拡張性
サービス導入後の運用性
6-2:ゼロトラストの展開は
対象組織×対象業務・システムの2軸で段階的に
特区で対象組織を絞る
展開計画の策定
社外とのコラボレーション
6-3:ロードマップの進捗管理・見直し
6-4:ゼロトラスト導入後の運用管理
Column:システムアーキテクチャ方針の策定とガバナンス
■Appendix:ゼロトラストモデルに活用される主要サービスの一覧
著者情報
野村総合研究所
nriセキュアテクノロジーズ
NRIセキュアテクノロジーズ株式会社