Opensourcetechブログ

OpensourcetechによるNGINX/Kubernetes/Zabbix/Neo4j/Linuxなどオープンソース技術に関するブログです。

ITセキュリティ・ゼロトラスト概論(技術評論社)を読んでみた

技術評論社 ITセキュリティ・ゼロトラスト概論 ゼロトラスト セキュリティ

LinuCエヴァンジェリスト・Open Source Summit Japanボランティアリーダー鯨井貴博@opensourcetechです。


はじめに

先日、OSC名古屋2025に参加した際に、ITセキュリティ・ゼロトラスト概論(技術評論社)を頂いたので読んでみました。

https://gihyo.jp/book/2025/978-4-297-14970-3


目次

第1章 ゼロトラストが登場した背景
人も資産も組織ネットワークの外側に
セキュリティ業界への失望

第2章 ゼロトラストという戦略
情報システムは組織のコアになっている現実
リスクとは
データガバナンスとは

第3章 ゼロトラストを理解するための4つの要素
ゼロトラストは概念であり考え方
サイバーハイジーン
ビジネスに関わるすべてを把握するための仕組みづくり
すべての資産を把握し適切な構成を設定し管理する
動的ポリシー制御
マイクロセグメンテーションの先
先進認証

第4章 セキュリティの潮流から見たゼロトラスト
サイバーセキュリティの変遷
境界型防御の起源とモデル
ゼロトラスト:新たなセキュリティモデル

第5章 ゼロトラストの実践
概要
ケース1:FinTech(100名規模)
ケース2:ゲーム開発会社(500名規模)
ケース3:コンサルティング会社(1,000名規模)
ケース4:製造業(1,000名規模)
ケース5:製造業(8,000名規模)
ケース6:医療系ベンチャー企業(150名規模)
ケース7:不動産業(50名規模)
ケース8:医療系グループ企業(7,000名規模)
《参考情報》ゼロトラスト化の検討に必要な資料

第6章 ゼロトラストを構成する道具の解説
CASB(Cloud Access Security Broker)
SDN/SD-WAN(Software Defined Networking)
SSE/SASE(Security Service Edge/Secure Access Service Edge)
SASEはVPNの代替となるか
IdP(Identity Provider/IDaaS)
認可を専門に行う認可サービス
MDM(Mobile Device Management)
EDR(Endpoint Detection and Response)
SIEM/SOAR
脅威インテリジェンス
CSPM/SSPM
IPS(侵入防止システム)とIDS(侵入検知システム)

第7章 おわりに代えて──これからの展望
AIの進化とゼロトラストへの影響
量子コンピューティングと暗号の脅威
ゼロトラストの旅路は続く

付録1:一般的な攻撃ベクトルと緩和策の例
付録2:ゼロトラストアーキテクチャの脆弱性と緩和策の例
付録3:ゼロトラスト関連図書一覧


感想

前から順に読めよっていう話かもしれませんが、私の場合ゼロトラストに関してフワッとした理解(管理するNWの内外どこからのアクセスも信用しないという程度)であったので、第3章から読みました。

ゼロトラスという考え(概念)は、NIST SP 800-207で定義されているものが基準になっているとのこと。

それによると、
"ゼロトラスト(ZT)は、ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことである。"
NIST SP 800-207
NIST SP 800-207(日本語版)

ゼロトラストの基本的な考え
1.すべてのデータソースとコンピューティングサービスをリソースとみなす
2.ネットワークの場所に関係なく、すべての通信を保護する
3.企業リソースへのアクセスは、セッション単位で付与する
4.リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5.すべての資産の整合性とセキュリティ動作を監視し、測定する
6.すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
7.資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する

このように書かれていました。

書籍では、まずゼロトラスト以前の境界型セキュリティ(管理するLANは信頼される、WANは信頼できない)との違いやそこで使われる技術について説明されています。

SDN/SD-WAN・IdP・EDR・SIEM・IPS/IDSなどある程度理解しているものについては深堀りを、SASEなど聞いたことある程度のものについては概要の理解をすることが出来ました。

なお、SASEの構成要素として、
セキュリティサービス(SSE)として、CASB・SWG・ZTNA・FWaaS・認証・分離/無害化、
ネットワークサービスとして、MPLS/VPN・SD-WAN・インターネットという個別機能があるとのこと。
これだけで一冊の書籍になりそうですねw

また、この本でいいなと感じたのはゼロトラストの導入ケースを大小様々な規模で紹介してあるところかなと思います。

既存システムの課題、ゼロトラストの検討、実装のスケジュールや選定されたサービスや製品、導入してみてのギャップなどが記載されており、導入にあたり参考になるかと思います。

情報処理安全確保支援士として活動するにあたっても、いい教材だなと思いました。

おわりに

しかし、セキュリティって、
クラウド・オンプレ・物理・仮想・コンテナ・アプリケーションなどなど幅広く、米国を始め世界各国の機関から多くのドキュメントが出ており、その把握が必要など大変ではあるけども、面白い分野ですね♪

もっと精進しようっと!

Opensourcetech by Takahiro Kujirai