Upgrade to Pro — share decks privately, control downloads, hide ads and more …

InfraStudy2nd_4_LT1

Avatar for Tjumpei Tjumpei
August 24, 2021
Technology
730
0

 InfraStudy2nd_4_LT1

ゼロトラスト大全読んでゼロトラ完全に理解した

Avatar for Tjumpei

Tjumpei

August 24, 2021

More Decks by Tjumpei

See All by Tjumpei
ssmjp202106_未枠
Avatar for Tjumpei tjumpei
0
890

Other Decks in Technology

See All in Technology
2026年6月23日 Syncable Tech + Start Python Club にて
Avatar for Kimikazu Kato hamukazu
0
140
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
Avatar for MUSUBI musubi
0
270
Claude Codeをどのように キャッチアップしているか
Avatar for Oikon oikon48
13
8.6k
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
Avatar for yoshimi0227 yoshimi0227
0
310
iOS アプリの「これって不具合ですか?」を AI に調べてもらう
Avatar for Yuki Miida miichan
0
100
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
300
AI-DLCを “そのまま導入しなかった”話 ~組織に合わせてアジャストした 私たちの実践共有~
Avatar for hiroramos hiroramos4
PRO
0
210
Flow 不死:AI 時代 DevOps 的不變本質
Avatar for Cheng-Wei Chen cheng_wei_chen
2
320
SONiCで構築・運用する生成AI向けパブリッククラウドネットワーク ~実装編~
Avatar for SONiC Users Group Japan sonic
0
280
現地で盛り上がった WWDC26 Keynote
Avatar for ZOZO Developers zozotech
PRO
1
270
SONiCのLinuxベースを活かしたZabbix監視
Avatar for SONiC Users Group Japan sonic
0
230
Kiroで書いた 設計書 が AI レビューの 採点基準 になる
Avatar for shinji ezaki ezaki
0
130

Featured

See All Featured
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
3
420
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
62
44k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1.1k
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
220
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
250
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
430
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
2
1.5k
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4.1k
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.3k

Transcript

  1. ゼロトラスト大全読んで ゼロトラ完全に理解した Jumpei Toyota (@porinkysan) #InfraStudy 2021/08 Infra Study 2nd

    #4 セキュリティエンジニアリングの世界

  2. 自己紹介 • Twitter:しゃべるペンギン(@porinkysan) • 所属:株式会社日立情報通信エンジニアリング • 仕事:インフラエンジニア • 趣味:おいしいもの食べに行く Instagram(@jumpei5)

    ダイビング (PADI Advance Open Water Diver) スキー(北海道出身なので)

  3. Agenda 目的 1 ゼロトラストとは 2 境界防御モデルの課題 3 境界防御とゼロトラストネットワークの歴史 4 Zero

    Trust Architecture(NIST7原則) 5 Zero Trust strategy – what good looks like 6 概念提唱者に聞くゼロトラスト導入の5Step 7 ゼロトラストネットワークの構成要素 8 ゼロトラスト実装について 9 事例に学ぶ 10 まとめ 11

  4. 目的 1 ゼロトラ大全を読んだので ゼロトラの基本と各技術要素などを まとめ、アウトプットすること (すべてわかるゼロトラスト大全 さらば VPN・安全テレワークの切り札 (日経BPムッ ク)

    | 日経クロステック |本 | 通販 | Amazon)

  5. 2 ゼロトラストネットワークとは ゼロトラストネットワークはすべての通信を「信頼できな いもの」とする考え (O'Reilly Japan - ゼロトラストネットワー ク (oreilly.co.jp))

    “ゼロトラストネットワークとは、 ファイアウォールやVPNに代表される 従来型のセキュリティ(境界防御モデ ル)が通用しなくなった現状を踏まえ、 すべてのトラフィックを信頼しないこ とを前提とし、検証することで脅威を 防ぐというアプローチです。”

  6. 境界防御モデルの課題 3 一度中に入られてしまうと、無防備になってしまう。 クラウド化やモバイル化の広がりにより、企業ネットワー クの「境界」そのものも揺らいでいる、

  7. 境界防御とゼロトラストネットワークの歴史 4 境界防御の誕生 境界防御の発展 ゼロトラストネットワークの誕生 1990年代 2000年代 2010年代 1994 ・NAT

    ・IPsec ・プライベー トIPアドレス 2004 Jericho(エリコ) フォーラム 非境界型の防 御普及団体 2010 ゼロトラ スト提唱 2014 BeyobdCorp論文公開 (Google) 2014 NISTのZTA NIST: National Institute of Standards and Technology ZTA: Zero Trust Architecture

  8. Zero Trust Architecture(NIST7原則) 5 Tenets of Zero Trust References: NIST

    Special Publication 800-207 Zero Trust Architecture (nist.gov) 1. All data sources and computing services are considered resources. 2. All communication is secured regardless of network location. 3. Access to individual enterprise resources is granted on a per- session basis. 4. Access to resources is determined by dynamic policy 5. The enterprise monitors and measures the integrity and security posture of all owned and associated assets. 6. All resource authentication and authorization are dynamic and strictly enforced before access is allowed. 7. The enterprise collects as much information as possible about the current state of assets, network infrastructure and communications and uses it to improve its security posture.

  9. Zero Trust strategy – what good looks like (Microsoft) 6

    References: Zero Trust Maturity Model (microsoft.com)

  10. 概念提唱者に聞くゼロトラスト導入の5Step 7 Step1. 守るべき表面(Surface)の定義 Data(データ)、Asset(資産)、Application(アプリケーション)、 Service(サービス)からなる「DAAS」を個別に守る。 従来の外部からの攻撃されてた境界を攻撃表面、守るべき表面を 防御表面(ProtectSurface)と呼ぶ Setp2. 業務システムにおけるトランザクションの把握

    DAASに適切なアクセス制御を講じるには誰がどのような流れで データを処理するのかを理解する必要がある Step3. ゼロトラストを実現するためのIT環境の設計、アクセス制御の実装 IAPのようなDAASへの門番を設けるのが1つの手 Step4. DAASに誰がアクセスできるのかを示すポリシーの策定 Step5. コントロールシステムの監視と維持 概念の提唱者:ジョン・キンダーバグ氏 2010年フォレスターリサーチ在籍時にゼロトラストモ デル提唱。2017年よりパロアルトネットワークス在籍

  11. ゼロトラストネットワークの構成要素 8

  12. 8 ゼロトラストネットワークの構成要素 ユーザーの認証・アプリへのアクセス認可の強化(メイン) ① Identity & Access Management (IAM) ・複数システムへのSSO

    ・多要素認証 ・コンテキストベース認証 ②Identity Aware Proxy (IAP) ・アプリの門番として機能し、ユーザーによる正当な悪瀬薄だけをアプリ へと中継するプロキシ ・ユーザー・デバイスの属性(IAMと連携)、デバイスのセキュリティ強度、 アクセス元などをチェックして、社内アプリの利用可否を細かく制御 IAMの主な製品 Okta Okta Identity Cloud Google Cloud Identity Microsoft Azure Active Directory IAPの主な製品 Akamai Akamai Enterprise Application Access(EAA) Google Identity-Aware Proxy Microsoft Azure Active Directory Application Proxy

  13. 8 ゼロトラストネットワークの構成要素 デバイスの防御 ③ Endpoint Detection & Response(EDR) ・検知 ・封じ込め

    ・調査 ・修復 ※MDMと連携 ④Mobile Device/Application Management(MDM/MAM) ・IT資産管理ツールとしての機能(version,パッチ,app)※IAMと連携 ・クライアント管理(初期設定、アプリ一斉配布など) ・内部カメラ、SDカードへのアクセス禁止 ・リモートロック/ワイプ(消去) EDRの主な製品 Cisco Cisco AMP for Endpoint Trendmicro ApexOne Endopint Microsoft Microsoft Defender for Endpoint (旧ATP) VMware Vmware Carbon Black Cloud MDM/MAMの主な製品 VMware VMware Workspace ONE Google Googleエンドポイント管理 Microsoft Microsoft Intune Citrix Citrix XenMobile 通信キャ リア 通信キャリアのMDM/MAM

  14. 8 ゼロトラストネットワークの構成要素 全ての行動の監視と分析 ⑤Security Information Event Management(SIEM) システムのログを一元管理・分析 ※EDR.IAM.CASBと連携 Security

    Operation Center(SOC)やシステム管理者へ通報 ⑥Cloud Access Security Broker(CASB) ※SWG,SIEMと連携 SaaSなどの自社のコントロールにないアプリの利用状況を監視・分析 ⑦Secure Web Gateway(SWG) ※CASB,IAPと連携 ユーザーによるインターネット利用を監視・制御 SIEMの主な製品 Google Chronicle Security Analytics Platform Splunk Splunk Enterprise Security Microsoft Azure Sentinel CASBの主な製品 Cisco Cisco Cloudlock Microsoft Microsoft Cloud App Security McAfee MVISION Cloud SWGの主な製品 Cisco Cisco Umbrella Zscaler Zscaler Internet Access

  15. 8 ゼロトラストネットワークの構成要素 Secure Access Service Edge(SASE) SASEは新しいコンセプトであり、厳密に何をもってSASEと称するかは提 供ベンダーごとに異なる SASEに含まれる機能の代表的なもの CASB、SWG、WAF、SD-WAN、CDN、ZTNA、SDP・・・など

  16. ゼロトラスト実装について 9 ゼロトラストの概念や原則などはまとまっているが、 実現方法は多様であり、正解は1つではない。 様々な要素を組み合わせて対応しなければならいないため 段階的に時間をかけて導入するのが現実的 ID基盤整備 (IAM) デバイス保護 (MDM/MAM,EDR)

    脱VPN (IAP導入でVPNなしで社 外から利用可) SaaS利用の監視・分析 (CASB) 全てのアプリ監視・分析 (SIEM)

  17. ゼロトラスト実装について 9 実装するためのサービス選定の課題 ・オンプレADいるからなんとか有効利用したい ・コロナでタブレット買ったからリモートワークで使える? ・オンプレで認証頑張りたい Active Directoryフェデレーションサービス(ADFS) Webアプリケーションプロキシ Azure

    AD Connectのセット運用きつい ・全部MSでそろえたい、全部Googleでできる? ・結局SIerのかついでる製品or実績ある製品の組み合わせ 活用できそうな事例・情報みんな共有して幸せに なりたい

  18. 事例に学ぶ 10 NTTコミュニケーションズ 課題 https://xtech.nikkei.com/atcl/nxt/column/18/01418/092400006/ シンクライアント端末の使い勝手が悪い 施策 EDR・BitLocker・Windows Hello導入 暗号化を施した「FAT端末」採用

    情報漏洩の基準変更が背景に 2017/05 個人情報保護法改正に伴う情報漏洩の扱いに関する指針が変更 高度な暗号化が施されている場合は端末を紛失しても外部に漏洩していな いとみなされるようになった!

  19. まとめ 11 ゼロトラ完全に理解したふわっと概念理解 コロナだし、みんな快適なテレワークしたい! 高いお金払っていろんなセキュリティ製品 導入している企業は多いと思うので ゼロトラストの概念を意識してデータアクセス・ ネットワークを刷新すればもう少し日本人働きや すくなると思う 今後:

    手を動かして実装してみる