株式会社ラック / セキュリティ コンサルタント
情シス部門のゼロトラスト導入に向けて#4 動的ポリシーについて考えてみよう | LAC WATCH
最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについてひもといて行きたいと思います。 アクセス制御ポリシー作成するためには利用者、端末、場所などから業務で必要となる様々なクラウドサービス等のアクセスを洗い出して、ゼロトラストの成熟度を判断する必要があります。そこで前回は、クラウドの普及が進み始めた2016年をモデルケースとして、NISTによるゼロトラストの考え方から「企業リソースへのアクセスは、セッション単位で付与する」について解説しました。 今回は「リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する」について、ラックの考えるゼロトラストをお伝えいたします。