lac.co.jp
lac.co.jp
株式会社ラック / セキュリティ コンサルタント
情シス部門のゼロトラスト導入に向けて#6 認証認可について考えてみよう(前編)
最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについてひもといて行きたいと思います。 前回は、業務プロセス、データの流れ、組織のミッションにおけるそれらの関係を特定しました。資産管理、アイデンティティおよびアクセス管理、ネットワークセキュリティ管理、データ保護管理の4つの機能領域を通じてアタックサーフェスを減らし、サイバーセキュリティ対策を向上させるCDM(Continuous Diagnostic and Mitigation)プログラム、すなわち一時的ではなく継続的に診断し、脅威を軽減する動的なアプローチまたは同様のシステムを確立する仕組みを導入する必要がありました。そこで、NISTによるゼロトラストの考え方から「企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する」について解説しました。