二本松 哲也

最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについてひもといて行きたいと思います。 リソースのアクセスとアクションの許可ポリシーは、機密性に基づいて動的に変化し、最小特権の原則によって制限する必要がありました。前回は、NISTによるゼロトラストの考え方から「リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する」について解説しました。 今回は「企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する」について、ラックの考えるゼロトラストをお伝えいたします。