#### ゼロトラストの前提となる考え方 「攻撃者の侵入の可能性を排除できない限り、組織が保有するネットワークの信頼性は、その他のネットワークと同程度でしかない」 #### ゼロトラストの定義 「アクセス側に対し暗黙の信頼を置かず、被アクセス側の資産や機能に対するリスクを継続的に分析し防御すること」 #### 要件 1. 全てのデータソース及び計算サービスをリソース(保護対象)とみなす 2. ネットワーク上の位置に依存せず全通信を保護する 3. 個々のリソースへのアクセスに対してセッション単位で認可を行う 4. アクセス可否は，アクセス要求側のアイデンティティやアプリケーション/サービス及び資産情報に加え，挙動や環境に関する属性も含む動的ポリシーに基づき決定される 5. 組織が保有するデバイスの完全性・セキュリティ状態を監視・計測する 6. 全ての認証・認可は，アクセスの確立に先立って動的かつ厳密に行われる 7. 組織内の資産，ネットワークインフラ・通信に関する 情報を可能な限り収集しセキュリティ向上に活用する #### 参考 NIST SP800-207を基にしている。 Scott Rose, Oliver Borchert, Stu Mitchell and Sean Connelly. NIST SP800-207: Zero Trust Architecture, https://csrc.nist.gov/publications/detail/sp/800-207/final