ゼロトラストの中核となる原則 – NIST
トピック: Series: Understanding Zero Trust
2022年7月6日、Christine Barry
注:これはゼロトラストの源流と原則についての5回シリーズの第3回です。
ゼロトラストの定義に貢献し、普及を提唱している組織が2つあります。この記事では、以前に紹介した文書でNIST(米国国立標準技術研究所)が定義したゼロトラストの核となる原則を確認します。
NISTは、米国の技術革新と産業競争力を促進するために設立された研究所であり、政府機関です。連邦法では、NISTは情報セキュリティの標準とガイドラインを開発する責任を負うと規定されています。これらの標準とガイドラインの準拠は、ほとんどの組織で任意となっています。
NISTが提唱するゼロトラスト7つの原則
NISTが発行したレポート「NIST Special Publication 800-207」は、「企業のセキュリティ設計者のためにゼロトラストを説明する」ために作成され、ゼロトラストの7つの基本原則が記されています。以下はその原則と、それぞれの非公式な要約です。
- すべてのデータソースとコンピューティングサービスはリソースとみなされる。IoT(Internet of Things)、SaaSアプリケーション、プリンター、その他接続された機器やサービスもここに含まれる。
- すべての通信は、ネットワークの場所に関係なく保護される。ネットワーク内部からの内部トランザクションのリクエストは、外部からのリクエストと同じセキュリティ要件を満たす必要がある。
- 個々の企業リソースへのアクセスは、セッション単位で付与される。信頼は自動的には付与されず、タスクを完了するために必要な最小限の権限を超えてはならない。
- リソースへのアクセスは、クライアントのID、アプリケーション/サービス、要求している資産の観測可能な状態を含む動的ポリシーによって決定され、他の行動および環境属性が含まれる場合もある。ポリシーとは、組織が対象者、データ資産、またはアプリケーションに割り当てる属性に基づく一連のアクセス規則である。この原則では、動的ポリシーとは何であり、ポリシーで使用される属性は何かを説明する。
- 企業は、所有するすべての資産と関連する資産の完全性とセキュリティ状態を監視し、測定する。どの資産も本質的に信頼できるものではなく、安全性が低い可能性のある資産は、最も安全な状態にある資産とは異なる方法で扱われるべきである。
- すべてのリソースの認証と認可は動的であり、アクセスが許可される前に厳格に実施される。ゼロトラストは、「アクセスを取得し、脅威をスキャンして評価し、適応し、継続的なコミュニケーションで信頼を継続的に再評価するという恒常的なサイクル」である。
- 企業は、資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に活用する。継続的なデータ収集により、ポリシーの作成と施行を改善するための知見が得られる。
これらの原則は、NISTの定義するゼロトラストを達成するために何が必要かを示しています。ゼロトラスト・モデルに必要なリソース、属性、およびその他の構成要素を定義しています。また、この原則は、すべてのリクエストは検証されなければならず、最小特権の概念がすべてのリクエストに適用されるというスタンスを強調しています。NISTの文書はこちらから確認できます。ゼロトラストを包括的に理解したい人にとって必読の書と言えるでしょう。
このシリーズの次の投稿では、ゼロトラストとBoundaryless Information Flow™の基本原則に関するThe Open Groupのホワイトペーパーをレビューする予定です。
原文はこちら
The core principles of Zero Trust – NIST
July 6, 2022 Christine Barry
https://blog.barracuda.com/2022/07/06/the-core-principles-of-zero-trust-nist/
