ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

ゼロトラストの周辺

バズワードとしてのゼロトラスト

最近のセキュリティ関係のセミナーでは、「ゼロトラスト」というワードが必ず出てくる。1年程前までは、言葉ばかりが先行して、肝心の中身は、コロナ下ということもあり、大手企業に向けて、かなり高額なサービスという印象だった。

アーリーアダプターの方々の人柱のおかげか、技術要素の整理も進み、IPAからも「ゼロトラスト移行のすゝめ」などという文書も出てきた。

www.ipa.go.jp

 

ゼロトラストの全体図としては、以下が分かりやすい。

 

図 ゼロトラストネットワークの構成要素

https://xtech.nikkei.com/atcl/nxt/column/18/01311/052200002/ から引用。

上記内容は、以下の書籍にまとめられている。

まず、表紙に書かれている3-4文字の略称が覚えられず、苦労する。

IAM:アイデンティティ&アクセス管理

IAP:アイデンティティ認証型プロキシー

SWG:セキュアWebゲートウェイ

SIEM:セキュリティ情報イベント管理

CASB:クラウド・アクセス・セキュリティ・ブローカ

MDM:モバイルデイバス管理

EDR:エンドポイント・ディテクション&レスポンス

DLP:情報漏洩防止

SASE:セキュア・アクセス・サービスエッジ

SDP:ソフトウェアで定義された境界

書籍の中で、具体例などを用いて、説明されており、理解が進んだ。

上記概念が全て提供されているサービスはなく、ベンダーで個別に提供されていたり、複数の機能を併せ持つサービスも提供されていて、混沌としている。

さらに混乱するのが、EDRやSDPなど、似た概念が増えていること。

EDR(EndPoint Detection and Response)周辺

EDRは、

EPP(Endpoint Protection Platform:従来のウイルス対策ソフト)や
NGAV(Next Generation Anti Virus:NGAVは次世代アンチウイルス

では守れきれなかった場合に、隔離・根絶・復旧までを行う仕組み。

MDR(Managed Detection and Response)は外部の専門家のサポートを受け、EDRをはじめとしたセキュリティ製品によっていち早く脅威を検知し、インシデント対応をするためのサービス。

NDR(Network Detection and Response)とは、ネットワーク上のさまざまな情報(ログ)を収集し、分析することで危険なものを検知するソリューション

XDR(Extended Detection and Response)とは、EDRの機能を拡張することで、エンドポイントだけでなく、ネットワーク、アプリケーションスイート、ユーザーペルソナ、オンプレミスのデータセンター、クラウドホスティングされているワークロード全体を通じて、サイバー攻撃の検知と防止を実現できるようにするセキュリティアプローチです。

EDRNDRを併せてXDRという場合もあるようです。

米調査会社ガートナーは、EDRNDRとSIEMの3つを「SOC Visibility Triad」として、重要な組み合わせであるとしています。

引用:https://medium.com/anton-on-security/back-in-2015-while-working-on-a-gartner-soc-paper-i-coined-the-concept-of-soc-nuclear-triad-8961004c734

 

SDP(Software Defined Perimeter)の周辺

SDPは、集中的なアクセス制御を「ソフトウェア」で実現することで、物理的な境界では防ぎきれない脅威の防御を可能にする仕組み。

サーバーの仮想化では、以下の単語が出てきた。

SDC:Software Defined Compute
SDS:Software Defined Storage
SDN:Software Defined Network

物理的なリソースを仮想化して、ソフトウェアで制御する

上記以外に、

SDDC:Software Defined Data Center
SDI:Software Defined Infrastructure
SD-WAN:Software Defined Wide Area Network

など、もう少し広い概念となる。

 

SDP≒ゼロトラスト、と言える気もするが、やはり、ゼロトラスト、という曖昧な概念でなければ、包括的な考えとして、全体を網羅することは難しいのでしょう。