はじめに
2021年5月、経済産業省DX室がゼロトラストの概念を取り入れた「デジタルツール導⼊実証・調査事業報告書」を公開しました!(話題沸騰のレポートはこちら)
今回はYoutube Live1本でやってみました!2時間以上の動画なのでブログでは前半と後半にわけてざっくり解説していきます。
どんな内容?
前半1時間はゼロトラストってそもそもなんだっけ?を説明していました。某大手M社の有名な方が話していた内容を、シンジがさらにわかりやすく、噛み砕いて説明していました。(ご本人から真似していいよと許可いただいてます)
後半1時間は経産省の方も呼んで経産省のレポートをざっくり説明していました。経産省の方ってもっとお堅い感じの方かと思ったら、軽快なトークで盛り上げてくださっていました。お一人は経産省をもう退職されているので、現役では話せない内容も織り込みつつ解説いただきました。
内容難しそう・・・
わたくし入社したてのサラリーマンですが、ゴマスリ隊ではないのでヨイショする気は全くもってないのですが、シンジの話し方はとにかく誰が聞いてもわかりやすい!そして難しい話だけど眠くならない!
一応IT系に転職するしと、事前にIT系の講演のYoutubeとか結構見たのですが、難しい言葉がたくさん並んでいて業界にいない人にとってはわかりにくいものが多いです。
シンジは難しい言葉を使いません!使う時はちゃんと解説してくれます。録画はYoutubeにあがっているので、安心してみてください♪
ただ、2時間以上の動画をみる時間がない忙しい人も多いと思うので、さゆりがざっくりBlogで説明します!ざっくり解説を、さらにざっくり説明しているのでちゃんと勉強したい人は動画を見ましょう!
ゼロトラストっていう前に・・・
まずは、IT環境をシンプルにしましょう!
企業内のITって積み重ねになってしまいがちなので、ある調査では予算の8割が現状のシステムの維持に使われていて、イノベーションや投資に2割しか使われていないのが現状のようです。これだけたくさんのシステム/サービスが毎年毎年出てくるのに、新しいものを導入する予算って2割しかないんです。
セキュリティはシンプルになればなるほど、わかりやすくなります。なんでもシンプルな方がわかりやすいですよね。当たり前ですよね!
シンプルな基盤を作り直すことが大事で、それこそが最高のセキュリティ環境を作るということになります。
サイバーハイジーン
なんかかっこいい言葉出ましたね!格闘漫画の技みたいな名前ですね。
事故がなぜ起こるかというと、【脅威=攻撃する人】と【脆弱性=意図しないセキュリティ上の欠陥】が合わさってできます。
攻撃する人がいないと事故おきませんもんね。ただ、これって自分たちがどうこうできる問題ではないので、脆弱性をなくすことが大事で、脆弱性が全くない状態を【サイバーハイジーン】と呼びます。
脆弱性をなくすには?
脆弱性がない状態を作るにはどうすればいいのか。大前提として、【どこに何があって、どんな脆弱性があるか】など、現場の全てを把握する必要があります。
必要なポイントは3点!
- インベントリ管理:情報資産の管理 (PC何台あってMacbookが何台あってとか)
- 構成管理:資産の状態を管理 (PCのバージョンとか、どの部署が何のソフトウエア使っているかとか)
- 管理の連鎖: 資産のやりとりを把握 (今その資産を誰が使っているか、過去に誰が使っていたかとか)
何が一番難しいかというと、物理的なインベントリの部分!(大量にある紙の書類とか)もうどこになにがあるのかわからないですよね。
だからデジタライゼーションしたい!
いきなりデジタライゼーションしたい!と言って、デジタライゼーションの部分をもってくるのはよくないです!残念っ!ジャジャーン!!
「クラウド化しましょう」とか「紙を無くしましょう」とかよく言われますけど、なんとなくそうした方がいいんだろうという感覚でやるのはおすすめできません。
インベントリを管理して、構成管理をして、その管理の連鎖を把握してはじめてデジタライゼーション!という話になります。
なんとなく流行りに乗ったデジタライゼーションではなく、何のためにそれをやるのかが重要なんですねー。
境界型防御ってもう限界だよね
過去: ファイヤーウォールで囲われたLANの中は安全だ!
今: (2008年ごろから)ファイヤーウォール簡単にこえてくる攻撃たくさんあるやん!
2008年ごろからっていま2021年だからね。ITの1年って大きいのに、13年前だからね!
ちなみに、iPhoneが日本で発売されたのが2008年です!「2008 ユーキャン新語・流行語大賞」はタレントのエド・はるみのギャグ「グ~!」です。 エドさん・・・最後にみたのはライザップのCMです。(そのくらい前だってことがいいたい)
ここでトラブル発生!
iPadが映らなくなりました!即座にパワポに切り替えましたが画面真っ暗で、ちょびっとだけワタワタしていました。
気を取り直しまして・・・
ファイヤーウォール超えてくるなら、壁をたくさんつくればいいじゃん(多層防御)やろうよという流れになりました。
そして、この2008年ごろにネットワーク信用できないんじゃない説がでてきて、2010年ごろからエンドポイントちゃんとやらんといかんぜよ!という風になったのが、今はゼロトラストって名前がついているだけですよー。
で、ゼロトラストってなんなんだ?
ゼロトラストネットワークとは!
トラストネットワークだったのに、それがトラスト(信頼)できなくなったよね。ゼロトラストネットワークはトラストネットワークがゼロですよということなんです!
全てを信用しない、何もかも信頼しない、性悪説なんですよ!というわけではありません。ひとつひとつ検証して信頼できるようにしたいよね!という考え方なんです。
ゼロトラストの実戦のために
ポイントは4つです。
- トランザクションのトラスト
- サブジェクトのトラスト
- オブジェクトのトラスト
- ポリシーのトラスト
動的な検証とポリシーの構築が大事!ここは説明してると長いので、動画みてください!
セキュリティはITに組み込まれていっているよ
今はIT(デバイスもそうだけど)にどんどんセキュリティが組み込まれています。
セキュリティの変化の歴史をお話すると・・・
脆弱性については、守るべきものを保護・何かあったらすぐ検知・24/7ですぐ対応!それじゃ対応できなくなってきて、攻撃される面を減らそうという考え方につながり、サイバーハイジーンへ。
また、境界型防御からエンドポイントセキュリティへという流れの中で、場所やデバイスを選ばないからこそ一辺倒なポリシーではなくて、いろーんな要素から判断される動的ポリシーも必要だよねという考え方に。(ポリシーというのは、この人がこういう状態の場合はここは通すけど、ここは通さない、みたいなルールや制御を定義するものと考えてください。)
パスワード管理も8桁にしろとか大文字いれろ記号いれろとか、より複雑なパスワードを推奨する考え方から、多要素認証というアプローチになって、そこから今は認可連携によってパスワードレスという時代になりました。
こういった脆弱性をなくしていくアプローチや、動的なポリシーで運用できるようにしましょう、認可連携をしてパスワードレスにして利便性とセキュリティをあげていきましょう、みたいなことがそれぞれ別軸で動いて、それらを突き詰めていくと、これってゼロトラストじゃん?ってなって、ゼロトラストという考え方に行き着いたんですね。
ゼロトラストはこれまでのセキュリティの考え方の積み重ねって、どこかでシンジが言ってましたが、そういうことなんですねー。
まとめ
ゼロトラストを考え方を取り入れながらデジタライゼーションしていくと、セキュリティはもちろんだけど、コンプライアンスはもちろん確保されるし、働き方改革もできますよ。ネットワークに縛られない素敵な働き方ができますよ!
という感じの、配信の前半部分だけですが、ゼロトラストの解説でしたー。
終わりに
あくまでこれはざっくり説明したものを、さらにざっくり説明した記事です。詳細は動画をチェックしてください!詳細な動画はこちら♪
前半はここまで!後半のBlogでは、経産省のレポートを解説します!お楽しみに〜
