バズワードとしてのゼロトラスト

最近のセキュリティ関係のセミナーでは、「ゼロトラスト」というワードが必ず出てくる。1年程前までは、言葉ばかりが先行して、肝心の中身は、コロナ下ということもあり、大手企業に向けて、かなり高額なサービスという印象だった。

アーリーアダプターの方々の人柱のおかげか、技術要素の整理も進み、IPAからも「ゼロトラスト移行のすゝめ」などという文書も出てきた。

www.ipa.go.jp

ゼロトラストの全体図としては、以下が分かりやすい。

https://xtech.nikkei.com/atcl/nxt/column/18/01311/052200002/　から引用。

上記内容は、以下の書籍にまとめられている。

まず、表紙に書かれている3-4文字の略称が覚えられず、苦労する。

IAM：アイデンティティ＆アクセス管理

IAP：アイデンティティ認証型プロキシー

SWG：セキュアWebゲートウェイ

SIEM：セキュリティ情報イベント管理

CASB：クラウド・アクセス・セキュリティ・ブローカ

MDM：モバイルデイバス管理

EDR：エンドポイント・ディテクション＆レスポンス

DLP：情報漏洩防止

SASE：セキュア・アクセス・サービスエッジ

SDP：ソフトウェアで定義された境界

書籍の中で、具体例などを用いて、説明されており、理解が進んだ。

上記概念が全て提供されているサービスはなく、ベンダーで個別に提供されていたり、複数の機能を併せ持つサービスも提供されていて、混沌としている。

さらに混乱するのが、EDRやSDPなど、似た概念が増えていること。

EDR（EndPoint Detection and Response）周辺

EDRは、

EPP（Endpoint Protection Platform：従来のウイルス対策ソフト）や
NGAV（Next Generation Anti Virus：NGAVは次世代アンチウイルス）

では守れきれなかった場合に、隔離・根絶・復旧までを行う仕組み。

MDR（Managed Detection and Response）は外部の専門家のサポートを受け、EDRをはじめとしたセキュリティ製品によっていち早く脅威を検知し、インシデント対応をするためのサービス。

NDR（Network Detection and Response）とは、ネットワーク上のさまざまな情報（ログ）を収集し、分析することで危険なものを検知するソリューション

XDR（Extended Detection and Response）とは、EDRの機能を拡張することで、エンドポイントだけでなく、ネットワーク、アプリケーションスイート、ユーザーペルソナ、オンプレミスのデータセンター、クラウドでホスティングされているワークロード全体を通じて、サイバー攻撃の検知と防止を実現できるようにするセキュリティアプローチです。

EDRとNDRを併せてXDRという場合もあるようです。

米調査会社ガートナーは、EDRとNDRとSIEMの3つを「SOC Visibility Triad」として、重要な組み合わせであるとしています。

引用：https://medium.com/anton-on-security/back-in-2015-while-working-on-a-gartner-soc-paper-i-coined-the-concept-of-soc-nuclear-triad-8961004c734

SDP（Software Defined Perimeter）の周辺

SDPは、集中的なアクセス制御を「ソフトウェア」で実現することで、物理的な境界では防ぎきれない脅威の防御を可能にする仕組み。

サーバーの仮想化では、以下の単語が出てきた。

SDC:Software Defined Compute
SDS:Software Defined Storage
SDN:Software Defined Network

物理的なリソースを仮想化して、ソフトウェアで制御する

上記以外に、

SDDC:Software Defined Data Center
SDI:Software Defined Infrastructure
SD-WAN:Software Defined Wide Area Network

など、もう少し広い概念となる。

SDP≒ゼロトラスト、と言える気もするが、やはり、ゼロトラスト、という曖昧な概念でなければ、包括的な考えとして、全体を網羅することは難しいのでしょう。