ゼロトラストネットワークでは、すべての通信を信頼できないものとして取り扱う。これを実現するにはどうしたらよいのか。ゼロトラストネットワークの基本は、「デバイスがリソースにアクセスする際にその可否を判定する」である。これを実現するためには、大きく次の3つの要素が必要になる。

ゼロトラストネットワークの基本構造
[画像のクリックで拡大表示]

 1つめはデバイスの状態や利用者などの情報収集。現在出回っている攻撃などの情報も集める。

 2つめは収集した情報と企業ネットワークのセキュリティーポリシーを組み合わせて、アクセスできるレベルを決定すること。

 最後の3つめは、決定したレベルに基づくアクセス制御を実施することである。

NISTが定義する7原則

 NISTの文書では、ゼロトラストネットワークが満たすべき内容を7つの原則としてより細かく定義している。ただし、挙げているのは原則であってその実現方法については触れていない。

NISTが定義するゼロトラストネットワークの7原則
[画像のクリックで拡大表示]

 例えば2つめの原則「ネットワークの場所に関係なく、すべての通信が保護される」を見てみよう。通信を保護する具体的な方法は示していない。

 一般には、通信データを暗号化することで実現する。ゼロトラストネットワークではデータが流れる場所はどこも安全ではないことを前提とする。データを暗号化していない平文の状態でやりとりすれば、盗聴される危険がある。従ってすべての通信データを暗号化する必要がある。

 3つめの原則「リソースへのアクセスはセッションごとに許可される」と4つめの原則「リソースへのアクセスは動的なポリシーによって決定される」を満たすために、すべてのネットワークのフローを処理前に認証し、アクセス制御を実施する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。