ゼロトラストネットワークの...
TRANSCRIPT
![Page 1: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/1.jpg)
ゼロトラストネットワークの 現在と実装
2020/07/10
1
![Page 2: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/2.jpg)
なぜゼロトラストなのか
2
![Page 3: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/3.jpg)
- 2007年、ホストで防御すれば多層防御要らない説- セキュリティの進化と攻撃の変化- インターネット側に便利なサービス多すぎ状態- コロナという強烈な強制力
ゼロトラストは歴史の積み上げ
3
![Page 4: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/4.jpg)
- 徹底的なマイクロセグメンテーション- 全アクセス拒否という大前提- どうやってアクセス許可するかという考え方- セキュリティモデルであり設計の指針- ゼロトラスト対応製品など存在しない
ゼロトラストとは何なのか
4
![Page 5: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/5.jpg)
- 仕事でインターネットを使いたいから- 仕事でインターネットを使いたいから- 仕事でインターネットを使いたいから
ゼロトラストなぜやりたいのか
5
![Page 6: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/6.jpg)
ゼロトラスト常に評価されるトラスト(信頼)を付与することで リソースを保護するサイバーセキュリティの規範。
6
![Page 7: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/7.jpg)
ゼロトラストリクエスト毎の適切なアクセス可否を、 適用する際の不確実性を低減する
考え方の集合
7
![Page 8: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/8.jpg)
ゼロトラスト・アーキテクチャゼロトラストの考え方をベースにした
各種コンポーネントの関係性、ワークフロー、アクセスポリシーを包含したサイバーセキュリティ戦略
8
![Page 9: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/9.jpg)
社内リソースで業務が(ほぼ)完結する時代は、 トラストの基点がFW・NWだったのが
9
DMZ
運 業
基幹システムNW
運用者向けNW
踏み台
人事DB
Untruste
Truste
![Page 10: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/10.jpg)
もろもろがインターネット側へ
Trusted
Untruted
DM
リバプロ
10
![Page 11: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/11.jpg)
- リスト- リスト- リスト- リストの強調文字- リスト
見出し
The SaaS-Powered Workplace: The Present & Future of Work : https://www.bettercloud.com/monitor/saas-powered-workplace-multi-saasmanagement/11
![Page 12: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/12.jpg)
情報システム基盤もUntrust側へ (2006)
DMZ
運用 業務
運用者向けNW
踏み台Trust
12
![Page 13: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/13.jpg)
業務執行の主体(人、デバイス)の物理的活動領域のUntrust化 (2010)
Trusted
Untruted
DM
リバプロ
13
![Page 14: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/14.jpg)
社会情勢やサービスの変化に伴う業務データの分散と経路の多様化
重重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
14
![Page 15: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/15.jpg)
社会情勢やサービスのデジタル化に伴う業務データの分散とUntrust化
重
業務 アプリ
業務 アプリ
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
15
![Page 16: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/16.jpg)
社会情勢やサービスのデジタル化に伴う業務データの分散とUntrust化
重
重要な データ
重要な データ
基幹 データ
基幹 データ
業務 アプリ
業務 アプリ
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
16
![Page 17: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/17.jpg)
社会情勢やサービスのデジタル化に伴う業務データの分散とUntrust化
重
重要な データ
重要な データ
基幹 データ
基幹 データ
業務 アプリ
業務 アプリ
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
17
![Page 18: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/18.jpg)
社会情勢やサービスのデジタル化に伴う業務データの分散とUntrust化
重
重要な データ
重要な データ
重要な データ
重要な データ
業務 アプリ
業務 アプリ
基幹 データ
基幹 データ
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
18
![Page 19: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/19.jpg)
あるいは社内のトラストが保証できなくなって
19
VPN トンネル 重要なデータ On サーバー重要なデータ On サーバー
業務アプリ
業務アプリ
業務アプリ
業務アプリ
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
19
![Page 20: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/20.jpg)
脅威の変化
20
![Page 21: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/21.jpg)
Trust領域の時間経過による劣化
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
21
![Page 22: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/22.jpg)
VPN トンネル 重要なデータ On サーバー重要なデータ On サーバー
業務アプリ
業務アプリ
業務アプリ
業務アプリ
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
Trust領域の根本的な根拠の毀損
22
![Page 23: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/23.jpg)
トラストを物理からデジタルへ
重要なデータ On サーバー
データ on
外部サービス
データ On 端末
データ on
基幹システム
• 個あるいは小さな集合単位での境界 => 「Identity Centric」 • 場所や時間を問わない検証 =>「Always Verify」
23
![Page 24: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/24.jpg)
1. アクセス制御 2. 意識向上と訓練 3. 監査と責任追認性 4. 構成管理 5. 識別と認証 6. インシデント対応 7. メンテナンス
8. メディア保護 9. 人的セキュリティ 10.物理的保護 11.リスクアセスメント 12.セキュリティアセスメント 13.システムと通信の保護 14.システムと情報の完全性
要件はかわらず、されど産業周辺の環境が変化
24
![Page 25: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/25.jpg)
- 全データソースとコンピュータ資源はリソースである - ネットワークに関係なく通信をセキュアにする - リクエストごとにリソースへのアクセス権限が付与される - リソースへのアクセス権限は動的ポリシーにより決定される - デバイスのセキュアな状態維持と監視をする - 全リソースにはアクセス前に認証・認可を動的かつ確実に適用する
ゼロトラストの原則が生まれました
25
![Page 26: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/26.jpg)
ここまでのまとめゼロトラストという呼称や定義について議論する意味ない 現代ではゼロトラスト的な考え方・設計・思想をしないと
話にならない(仕事が行えない)
26
![Page 27: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/27.jpg)
トラストを付与するためのソースが分散化・多様化
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf27
![Page 28: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/28.jpg)
28
データソース
![Page 29: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/29.jpg)
コンポーネント
リソース リソース https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
リソース リソース 29
![Page 30: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/30.jpg)
コンポーネント
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
Networkそれ単体では セキュアな通信の決定を
考慮しない
30
![Page 31: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/31.jpg)
コンポーネント
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf31
![Page 32: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/32.jpg)
コンポーネント
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
リソースTrustはPDP によって検証された後に付与32
![Page 33: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/33.jpg)
コンポーネント
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf33
![Page 34: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/34.jpg)
Trust判断・付与機関の抽象化
34
![Page 35: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/35.jpg)
Trust判断と適用機関の分離
Trust判断のみ Trust判断の適用
35
![Page 36: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/36.jpg)
コンポーネント
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
ユーザー、デバイス、(デバイス属性)としてのNW36
![Page 37: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/37.jpg)
https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html > ISO/IEc 24760-1:2019
データベース化とライフサイクル
• attribute1 • attribute2 • attribute3 • attribute1 • attribute2 • attribute3
• attribute1 • attribute2
37
![Page 38: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/38.jpg)
デバイスのDB登録の流れ購入
登録配送
• attribute1 • attribute• attribute1 • attribute
• attribute1 • attribute
初回起動 & Kitting
配送
管理者
利用者38
![Page 39: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/39.jpg)
デバイスの手動登録(最もprimtive)登録
収集
NW機器 ログ
パケキャプ
管理者
登録• attribute1 • attribute• attribute1 • attribute
• attribute1 • attribute
認証局
39
![Page 40: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/40.jpg)
デジタル化されたセキュアなデバイス登録
ベンダー
購入 登録
配送
• attribute1 • attribute• attribute1 • attribute
• attribute1 • attribute
初回起動
登録 サービス
通知
管理者
利用者 40
![Page 41: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/41.jpg)
デジタル化されたセキュアなデバイス登録
ベンダー
購入 登録
配送
• attribute1 • attribute• attribute1 • attribute
• attribute1 • attribute
初回起動
登録 サービス
通知
管理者
利用者
- データベース登録までの危殆(Compromise)される機会が少ない - デジタル化により、情報処理技術を用いたデバイス認証が可能に
41
![Page 42: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/42.jpg)
デバイスのDB登録の流れ購入
登録配送
• attribute1 • attribute• attribute1 • attribute
• attribute1 • attribute
初回起動 & Kitting
配送
管理者
利用者
データベース登録までセキュアに一気通貫できる = Trustがある
42
![Page 43: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/43.jpg)
TPM- provides methods for collecting
and reporting these identitties.- セキュアな暗号プロセッサーの国際標準
- ブート時のソフトウェア監査(pltaform integrity)
- 機密データの保管、暗号鍵の管理
43
![Page 44: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/44.jpg)
Windows10登録例(Autopilot)
https://myignite.techcommunity.microsoft.com/sessions/6711044
![Page 45: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/45.jpg)
見出し
https://www.jamf.com/blog/apple-device-enrollment-program-apple-it-innovation/
Mac登録(ADE + Mac)
45
![Page 46: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/46.jpg)
- セキュアな状態監視のためには構成(属性)情報- 最後に状態確認された時間- 起動時間- ログインしたユーザー- HW情報- OSバージョン- SWやそのバージョン- ディスク暗号化の状態- 上記にひもづく脆弱性情報
- 健康状態の収集
デバイスの構成情報の収集
• attribute1 • attribute• attribute1 • attribute
• attribute1 • attribute
46
![Page 47: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/47.jpg)
47
![Page 48: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/48.jpg)
- リスト- リスト- リスト- リストの強調文字- リスト
見出し
48
![Page 49: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/49.jpg)
- セキュアな状態監視のためには構成(属性)情報- 最後に状態確認された時間- 起動時間- ログインしたユーザー- HW情報- OSバージョン- SWやそのバージョン- ディスク暗号化の状態- 上記にひもづく脆弱性情報
- 健康状態の評価
デバイスの構成情報の収集
• attribute1 • attribute• attribute1 • attribute
• attribute1 • attribute
49
![Page 50: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/50.jpg)
デバイスのヘルスチェック- Verified Boot- Measured Boot
https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-windows-10-boot-process50
![Page 51: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/51.jpg)
- Secure Boot- Trusted Boot- ELAM- Early Launch Anti-Malware
Verified Boot
https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-
windows-10-boot-process51
![Page 52: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/52.jpg)
- Secure Boot- Trusted Boot- ELAM
Verified Boot
https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-
windows-10-boot-process
Chain Of Trust
52
![Page 53: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/53.jpg)
Measured Boot
- Generates immutable logs which is in expression of hashes of booting components
- Can be remotely verified- separation of measurement
and verification
53
![Page 54: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/54.jpg)
Measured Boot
- 各ブートコンポーネントが次のコンポーネントのハッシュ値を取得
- ハッシュをTPM内のPCRに補完- この値はログとして記録- PCRとログを検証するコンポーネントに電子署名された上で送信
https://docs.microsoft.com/en-us/windows/security/threat-protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices54
![Page 55: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/55.jpg)
Measured Boot- 各ブートコンポーネントが次のコンポーネントのハッシュ値を取得
- ハッシュをTPM内のPCRに補完- この値はログとして記録- PCRとログを検証するコンポーネントに電子署名された上で送信
https://docs.microsoft.com/en-us/windows/security/threat-protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices55
![Page 56: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/56.jpg)
Measured Boot
- 各ブートコンポーネントが次のコンポーネントのハッシュ値を取得
- ハッシュをTPM内のPCRに保管- この値はログとして記録- PCRとログを検証するコンポーネントに電子署名された上で送信
https://docs.microsoft.com/en-us/windows/security/threat-protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices56
![Page 57: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/57.jpg)
Measured Boot- 各ブートコンポーネントが次のコンポーネントのハッシュ値を取得
- ハッシュをTPM内のPCRに保管- この値はログとして記録- PCRとログを検証するコンポーネントに電子署名された上で送信- Remote Health Attestation
https://docs.microsoft.com/en-us/windows/security/threat-protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices57
![Page 58: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/58.jpg)
58
これが大事!
![Page 59: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/59.jpg)
1. アクセス制御 2. 意識向上と訓練 3. 監査と責任追認性 4. 構成管理 5. 識別と認証 6. インシデント対応 7. メンテナンス
8. メディア保護 9. 人的セキュリティ 10.物理的保護 11.リスクアセスメント 12.セキュリティアセスメント 13.システムと通信の保護 14.システムと情報の完全性
SP800-171: 民間企業が講じるべきセキュリティ対策の要件
![Page 60: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/60.jpg)
ここまでのまとめ個別のデータソースおよび管理ツール間でデータ連携できないと、
最終的に確保したい信頼が下がる or 工数が極端に上がる
60
![Page 61: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/61.jpg)
ゼロトラストしたくなった 何をどうする
61
![Page 62: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/62.jpg)
VPN捨てました は
ゼロトラストではない62
![Page 63: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/63.jpg)
- 社内外のID管理の為の基盤作成(統合認証環境)- トラストデバイスの作り込みと統制- トラストアプリケーション決めと統制- 物理の排除とクラウド化
トラストできるならBYODかどうかは関係無い
現在の技術で実装できる部分的なもの
63
![Page 64: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/64.jpg)
- アクセス先サービスの完全なマイクロサービス化- 厳密な信頼度スコアの計算- 動的ポリシーの適用と積極的な証明書破棄- クラウドサービス側でセキュリティが高額- OSでばらける対応非対応- 複合機やIoTという地獄
トラストアンカーが沢山設置されることになる
現在の技術で難しいものオシイもの
64
![Page 65: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/65.jpg)
計画策定
デバイス (デプロイ・エンドポイントセキュリティ)
認証 (AD・IdP)
コミュニケーション
データセンター・クラウド ログ・監視
リモートアクセス(VPN)ネットワーク (有線・無線LAN)
AD IdPIDM
デバイス デプロイ
エンドポイント
セキュリティ
グローバル
外部従事者
社内リソース
仮想環境
チャット リモート会議
アプリ
- ID統合- グローバル- 権限管理
- SSO- デバイス- MFA
- Mac- BYOD- タブレット
モバイル
- コスト削減- 海外利用- スマートフォン
- CASB- EDR
クラウド
- AWS/Azure/GCP- AIトライアル- セキュリティ・マスデプロイ
- 新規リージョン展開テンプレート化- インフラのコード化
レガシーOS
DR
中国
社内LAN(無線含む) 工場LAN
VPN
ログ監視
ログ可視化 ログ活用
ネットワークサーバ監視
サービス監視
- LINE- WhatsApp- Teams- Slack- Chatwork
- BCP- 社外出向
外部コラボレーション
VDIシンクライアント
迷惑メール
ライセンス
ITガバナンス働き方改革対応セキュリティ強化グローバル展開(GDPR)監査証跡運用自動化
ゼロトラストの範囲はIT守備範囲全部
コンテンツマネジメント • ファイルサーバ • クラウドストレージ • バックアップ
![Page 66: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/66.jpg)
真っ先にやるべきは統合ID管理基盤
他の優先度が高くてもIDは絶対、これは絶対
並行して進めるのはありよりのあり
ロードマップの作成
![Page 67: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/67.jpg)
統合ID基盤の構築
![Page 68: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/68.jpg)
統合ID基盤の構築
・既に既存の何かがある場合 それでよかったっけ、再検討
・何もない場合 このケースはまずありえない
![Page 69: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/69.jpg)
統合ID基盤の構築
よくあるケース
・Active Directory(オンプレ) ・Azure AD(Office365) ・G Suite
![Page 70: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/70.jpg)
統合ID基盤の構築
絶対に悩むポイント
人事のID基盤との連携 社員ではないIDの扱い
![Page 71: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/71.jpg)
統合ID基盤の構築
統合ID基盤、作り方のコツ
クラウド化 ADやIdPは複数あっても良い ただし可能な限り1つに
![Page 72: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/72.jpg)
統合ID基盤の構築SAMLなIdP基盤を持っても
繋ぐ先が喋らなければ意味がない?
ユーザ属性 デバイス属性 認証(認可)
![Page 73: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/73.jpg)
統合ID基盤の構築
![Page 74: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/74.jpg)
統合ID基盤の構築
![Page 75: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/75.jpg)
統合ID基盤の構築
![Page 76: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/76.jpg)
統合ID基盤の構築
![Page 77: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/77.jpg)
統合ID基盤の構築
![Page 78: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/78.jpg)
統合ID基盤の構築
MFAデバイスどうする問題
私物スマホor会社支給スマホ Yubikey
SMSと電話は非現実的
![Page 79: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/79.jpg)
統合ID基盤の構築
IdPの選び方 どれがいいとかあんまりない 世界で戦えてるサービスかどうか
AzureAD P1P2, Okta, Ping Identity, Auth0 OneLogin, G Suite, Lastpass Enterprise…
![Page 80: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/80.jpg)
デバイスの統制
![Page 81: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/81.jpg)
デバイスの統制
管理対象を定義する 会社のデータにアクセスできる端末
MFAだけなら対象外
保存、持ち出し、ではなくアクセス
![Page 82: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/82.jpg)
デバイスの統制
デバイスは製造元と流通経路を 信頼するしかない(トラストアンカー)
戦略的なデバイス固定もありよりのあり
![Page 83: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/83.jpg)
デバイスの統制
Apple Jamf ProWin10 Pro IntuneChromebook G SuiteAndroid Android Enteprise
それ以外 諦めよう
![Page 84: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/84.jpg)
デバイストラスト (オプション)
![Page 85: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/85.jpg)
デバイストラスト
IdPもしくはアプリ、 データへのアクセス時のポリシー定義
![Page 86: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/86.jpg)
デバイストラストよくやる構成(Intune)
・OSバージョン ・ディスク暗号化 ・脱獄andRoot化 ・不要機能無効化 ・USBストレージOFF/RO ・AppLocker(アプリ禁止) ・証明書配付 ・Endpoint Protection関係
・ブラウザ設定(Chromeとか ・Microsoftストア制御 ・Defender ATPぶっこみ ・WinUpdate制御 ・Edgeのデフォルトサーチエンジンをgoogleに変える ・ロック画面強制 ・ログイン画面でのセルフパスワードリセット
![Page 87: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/87.jpg)
デバイストラストよくやる構成(Jamf Pro)・OSバージョン ・ディスク暗号化 ・コンピュータ名変更 ・アプリインストール ・brewコントロール ・証明書配付 ・Endpoint Protection関係
![Page 88: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/88.jpg)
デバイストラストよくやる構成(IdP)(Okta)
![Page 89: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/89.jpg)
デバイストラストBoxにもあるんだが…
![Page 90: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/90.jpg)
マスデプロイ環境
![Page 91: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/91.jpg)
設定やアプリを一括制御 デバイス暗号化鍵の管理
脆弱アプリのバージョン制御 ゼロタッチデプロイ データ破棄エビデンス
AuditLog
マスデプロイ環境
![Page 92: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/92.jpg)
デバイスの統制
Apple Jamf ProWin10 Pro Intune AutoPilotChromebook G SuiteAndroid Android Enteprise
それ以外 諦めよう
![Page 93: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/93.jpg)
Windows10の場合マスデプロイ環境
製造元から送られるデバイスIDを AzureADに取り込むことでゼロタッチデプロイ
ゼロタッチは必須ではない
AzureAD JoinあるいはHybrid AD Join Intuneがコントロール
![Page 94: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/94.jpg)
macOSの場合マスデプロイ環境
Apple Business Manager(旧DEP)を利用 Jamf ProにデバイスIDを取り込むとゼロタッチ
ゼロタッチは必須ではない
Jamf Pro単体ではデバイスしか見ない Intune連携、Jamf Connectでユーザも
![Page 95: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/95.jpg)
Androidの場合マスデプロイ環境
Android Enterpriseを利用 G Suite, Cloud Identity, O365 対応デバイス、対応EMMが存在 例えばIntuneやVMwareが対応
G Suiteも フル機能使うには初期化必須
![Page 96: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/96.jpg)
iOSの場合マスデプロイ環境
Apple Business Manager(旧DEP)を利用 Jamf ProにデバイスIDを取り込むとゼロタッチ
ゼロタッチは必須ではない
端末にプロファイルをインストールする フル機能使うには初期化必須
![Page 97: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/97.jpg)
エンドポイントセキュリティEDR/XDR
![Page 98: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/98.jpg)
エンドポイントセキュリティ
改善 -エンドポイントセキュリティ導入によるネットワークの境界の変化
外部との境界
閉域網
クラウド
ルーター
データセンター
デバイス
ネットワーク
インターネット
エンドポイント
外部との境界
外部との境界が「ネットワーク」
外部との境界が「エンドポイント」
自社のネットワーク以外はセキュリティが担保できない
セキュリティはエンドポイントで担保場所やネットワークに依存しない
自社のネットワークでセキュリティを担保VPNが必要
どこからでも安全にインターネットへアクセスできるようになる
ルールが厳しくシャドーITが発生 適切な監視により自由な環境を提供= シャドーITの撲滅
大規模な回線やプロキシの増強対応が必要 拠点ごとの小規模な増強の対応
自社のネットワークのすべてのエリアで安全性を確保する必要がある
守るべきネットワークの範囲が限定的必要な箇所のみ保護する
ネットワークが持っている機能をエンドポイントに寄せることでセキュリティと利便性が向上する
リモートワークでもセキュアな環境になる
外部との境界線はデバイスへ
Firewall
Proxy
Firewall
Proxy
![Page 99: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/99.jpg)
エンドポイントセキュリティ
アンチウイルスとかどうでもいい EDR/XDRが大前提
学習データをテナント共有できるか 誤検知との戦い
(後ほどSIEMの話)
![Page 100: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/100.jpg)
エンドポイントセキュリティ
Apple Microsoft Defender ATP CrowdStrike…etc
Win10 Pro Microsoft Defender ATP CrowdStrike…etc
Chromebook 不要Android Microsoft Defender ATP
それ以外 諦めよう
![Page 101: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/101.jpg)
エンドポイントセキュリティ
![Page 102: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/102.jpg)
エンドポイントセキュリティCASB
![Page 103: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/103.jpg)
接続先クラウドサービスへの制御 そのコンテンツは、そこにあってよいか
許可・拒否 ではない コントロール
シャドーITを武器にできるNot許容
エンドポイントセキュリティ
![Page 104: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/104.jpg)
Netskope MCAS
Akamai EAA Zscaler
Skyhigh, Bitglass, Palo
エンドポイントセキュリティ
![Page 105: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/105.jpg)
CASBをどこで効かせるか エンドポイント、リバプロ
CASBをどう運用するか SOCと同じ
エンドポイントセキュリティ
![Page 106: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/106.jpg)
![Page 107: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/107.jpg)
CASB運用設計のコツ ・制御よりも可視化を最優先 ・規模でかいなら外注で24/365 ・ユーザトラブルへの対処 ・制御より業務優先<bypass ・接続先サービス評価は定例で
エンドポイントセキュリティ
![Page 108: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/108.jpg)
計画策定
デバイス (デプロイ・エンドポイントセキュリティ)
認証 (AD・IdP)
コミュニケーション
データセンター・クラウド ログ・監視
リモートアクセス(VPN)ネットワーク (有線・無線LAN)
AD IdPIDM
デバイス デプロイ
エンドポイント
セキュリティ
グローバル
外部従事者
社内リソース
仮想環境
チャット リモート会議
アプリ
- ID統合- グローバル- 権限管理
- SSO- デバイス- MFA
- Mac- BYOD- タブレット
モバイル
- コスト削減- 海外利用- スマートフォン
- CASB- EDR
クラウド
- AWS/Azure/GCP- AIトライアル- セキュリティ・マスデプロイ
- 新規リージョン展開テンプレート化- インフラのコード化
レガシーOS
DR
中国
社内LAN(無線含む) 工場LAN
VPN
ログ監視
ログ可視化 ログ活用
ネットワークサーバ監視
サービス監視
- LINE- WhatsApp- Teams- Slack- Chatwork
- BCP- 社外出向
外部コラボレーション
VDIシンクライアント
迷惑メール
ライセンス
ITガバナンス働き方改革対応セキュリティ強化グローバル展開(GDPR)監査証跡運用自動化
エンドポイントセキュリティ
![Page 109: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/109.jpg)
コンテンツマネジメント
![Page 110: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/110.jpg)
守りたいのはデータ
データが守れる証明あれば 端末とかなくなってもどうでもいい
データ=コンテンツ
コンテンツマネジメント
![Page 111: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/111.jpg)
代表的な保存先 ・オンプレの何か ・それぞれの端末 ・メールサーバ ・OneDrive, Google Drive, Box, Dropbox
コンテンツマネジメント
![Page 112: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/112.jpg)
分散しがちな保存先 ・Slack, LINE, Chatwork ・Zoom, Teams ・SNS ・課題管理ツールJIRA, Backlog ・個人利用クラウドEvernoteとか
コンテンツマネジメント
![Page 113: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/113.jpg)
データの価値判断は? コントロールプレーンを何にする?
コンテンツマネジメント
![Page 114: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/114.jpg)
コンテンツマネジメント
![Page 115: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/115.jpg)
コンテンツマネジメント
![Page 116: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/116.jpg)
コンテンツマネジメント
分散しがちな保存先 ・Slack→Boxへ(Lambda) ・Zoom→チャットOFF ・SNS→CASBで制御 ・課題管理ツール→直接アップロード禁止
![Page 117: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/117.jpg)
コンテンツ保護の完成形はまだない 多くが運用設計でカバーBut超重要
利便性を追求しつつ 会社としての説明責任を果たせるか
コンテンツマネジメント
![Page 118: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/118.jpg)
最上位構成は、クラウド、サーバ、端末 全てのデータを常にバックアップ
集めたデータを解析、制御する
コンテンツマネジメント
![Page 119: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/119.jpg)
コンテンツマネジメント
![Page 120: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/120.jpg)
情報が集まるところに 人が集まるの法則
メインの保存先はこれです! 会社が守ってるのはここだよ!
コンテンツマネジメント
![Page 121: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/121.jpg)
鍵管理
暗号化鍵の取り扱い
![Page 122: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/122.jpg)
鍵管理
クラウドに上げたデータは 自社のものであるか?
暗号化鍵の取り扱い
![Page 123: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/123.jpg)
某クラウドサービス
全てのデータは暗号化されているので安全です (復号化できるのはわたしたちだけです) (見ようと思えば見られます管理者ですもの)
暗号化鍵の取り扱い
![Page 124: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/124.jpg)
クラウドサービスの鍵管理は限定的 Box, Slackなど
暗号化鍵の取り扱い
![Page 125: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/125.jpg)
現場面 ・業務量削減を体感する
小規模なPoCを行う ・デバイス買い替え(ユーザー視点) ・デバイス追加とデプロイメント(管理者視点) ・統合管理(統制、セキュリティ視点)
マネジメント面 ・投資先の全体像を把握する
網羅されているソリューションを選択する ・推進から具体的な方法、数字で明確に ・業務と担当者の明確化 ・説明責任の達成
![Page 126: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/126.jpg)
なぜクラウドなのか
- 不確実性への挑戦をするための手段を情報システム部門が提供する
- 無駄をなくす文化と仕組みを作るための手段
不確実性への挑戦
- 課題が曖昧
- マーケットの未来がわからない
- アイディアを即座に製品化する
- 効果を計測する
- 学習のサイクルを早く回す
継続的な開発・テスト・リリースの実現が必要であり、これら実現するためのインフラストラクチャがクラウドであり、様々なサービスを組み合わせて無駄を削り、運用コストを最適化し、利益を出すことを目標とする。
![Page 127: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/127.jpg)
1. アクセス制御 2. 意識向上と訓練 3. 監査と責任追認性 4. 構成管理 5. 識別と認証 6. インシデント対応 7. メンテナンス
8. メディア保護 9. 人的セキュリティ 10.物理的保護 11.リスクアセスメント 12.セキュリティアセスメント 13.システムと通信の保護 14.システムと情報の完全性
SP800-171: 民間企業が講じるべきセキュリティ対策の要件
![Page 128: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/128.jpg)
社内リソースで業務が(ほぼ)完結する時代は、 MicrosoftのActive Directory(LDAP)が担ってた
128
運用 業務
基幹システムNW
運用者向けNW
踏み台
人事DB
![Page 129: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/129.jpg)
- ✔ユーザーオブジェクトDB - ✔PCオブジェクトDB - ✔構成情報取得 - ✔リモート構成 - ✔アクセス制御 - ✔他組織連携 - ✔証明書管理(CA)
実はすごいActive Directory since 2000
129
![Page 130: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/130.jpg)
- PC - サーバー - 基幹ツール - メール、ファイル共有など - モバイル - こけたけど…
他にも色々
130
![Page 131: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/131.jpg)
- クラウドソリューション - Windows10エンタープライズ - Office365スイート - Azure AD(Id管理) - Intune(デバイス管理) - Microsoft Defender(EDR) - Application Proxy(プロキシ)
SP800-171という要求事項を満たしたまま、デジタル化と新しいビジネス形態(サブスクビジネス)に転換
131
} Microsoft 365
![Page 132: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/132.jpg)
- クラウドソリューション - Windows10エンタープライズ - Office365スイート - Azure AD(Id管理) - Intune(デバイス管理) - Microsoft Defender(EDR) - Application Proxy(プロキシ)
SP800-171という要求事項を満たしたまま、デジタル化と新しいビジネス形態(サブスクビジネス)に転換
132
} Microsoft 365
![Page 133: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/133.jpg)
133
それがMicrosoft365 E5
![Page 134: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/134.jpg)
足りない部分を連携可能とするインターフェースも揃っている
![Page 135: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/135.jpg)
Azure AD B2C
![Page 136: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/136.jpg)
Microsoftコンプライアンスマネージャー
![Page 137: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/137.jpg)
Microsoftコンプライアンスセンター
![Page 138: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/138.jpg)
Microsoftインサイダーリスクマネジメント
![Page 139: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/139.jpg)
ここまでのまとめ2000年からゼロトラスト(っぽい)社内基盤を提供していた 自らデジタル時代にあわせてきたのが、Microsoft365 E5 ゼロトラストを組む上でMicrosoftの存在は大きい
139
![Page 140: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/140.jpg)
Next (Post2020) Zero Trust
140
![Page 141: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/141.jpg)
デジタル化・イノベーションの流れ
141
![Page 142: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/142.jpg)
トラストチェーン
142
![Page 143: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/143.jpg)
- 実世界(フィジカル空間)にある多様なデータをセンサーネットワーク等で収集し、サイバー空間で大規模データ処理技術等を駆使して分析/知識化を行い、そこで創出した情報/価値
- 製造業を超えて、モノとモ ノ、人と機械・システム、人と技術、異なる産業に属する企業と企業、世代を超 えた人と人、製造者と消費者など、様々なものをつなげる”産業社会
Cyber Physical Society / Connected Industry
https://www.jeita.or.jp/cps/about/143
![Page 144: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/144.jpg)
エコシステム全体の中でのTrust
エンドユーザー
144
![Page 145: ゼロトラストネットワークの 現在と実装徹底的なマイクロセグメンテーション-全アクセス拒否という大前提-どうやってアクセス許可するかという考え方-セキュリティモデルであり設計の指針-ゼロトラスト対応製品など存在しない](https://reader035.vdocuments.mx/reader035/viewer/2022070901/5f4ea8b0bead9b48d45b6860/html5/thumbnails/145.jpg)
組織を超えたトラストチェーン
145