ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計

著者 : Evan Gilman Doug Barth

• オライリージャパン (2019年10月28日発売)

作品紹介・あらすじ

ゼロトラストネットワークの原則と実装に必要な知識を1冊で学ぶ！
ゼロトラストネットワークとは、2010年にForester Researchが提唱した考え方で、「社内（ネットワーク内）は安全である」という前提に立って境界を守るやり方では守れなくなった現状を踏まえ、「信頼しないことを前提とし、全てのトラフィックを検査、ログ取得を行う」というアプローチです。本書は、そのゼロトラストネットワークの概念と、それを実装するために必要な知識を1冊で学べる解説書です。

感想・レビュー・書評

[mtkwskさんの感想 · 2021年11月20日]

最近流行りのゼロトラスト、それもインターネット技術の分野では定評のあるオライリーから出ている解説だが、私はこの本を推さない。
ペリメタ防御では新興の脅威に対処できないと言う指摘はその通り、だから、いかなる通信も操作も信用せずに(これをゼロトラストと呼ぶ)認証と認可を細かく実施かつしばしば再検証するかつビヘイビアまで評価すべし、もそうだろう。
ではそれをどうやって実現するのか、を期待して読んだが、しかし、本書にあるのは既存の要素技術の概説であって、そのゼロトラスト的使い方の提案もなければ実装の一例もない(ケーススタディの章に片鱗はあるが)。
ゼロトラスト概念そのものはそれほど目新しいものでもなく、オペレーションエクセレンスが勝負の分かれ目だと思うのだが、これではコンサル屋さんのホワイトペーパーと大同小異だろう。
とはいえ、ゼロトラスト概念やセキュリティ技術のカタログ的な者が欲しければ、一通り目を通すのも全くの無駄にはならないかもしれない。

[Takumaさんの感想 · 2021年10月7日]

従来との比較や生まれた経緯、目的、構成要素と分かりやすくまとまってる

[ぼさんの感想 · 2021年3月22日]

ゼロトラスト特有の話なのか、一般的なセキュリティの話なのか今どっちのことを話しているのか悩みながら読んだ。

[fraserlibさんの感想 · 2020年12月4日]

請求記号　007.6/G 45

[からべーさんの感想 · 2020年9月24日]

■書名

書名：ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計
著者：Evan Gilman (著), Doug Barth (著), 鈴木 研吾 (監修)

■概要

ゼロトラストネットワークとは、ファイアウォールやVPNに代表される従来型の
セキュリティ(境界防御モデル)が通用しなくなった現状を踏まえ、すべての
トラフィックを信頼しないことを前提とし、検証することで脅威を防ぐというアプローチです。
近年、クラウドサービスやモバイルの普及により、セキュリティで守るべき内外の
境界があいまいになってきたことにより、強く注目を集めています。
本書は、ゼロトラストネットワークの概念と実装するために必要な知識が学べる
解説書です。基本的な概念の説明に始まり、デバイス、ユーザー、アプリケーション、
トラフィックの信頼を実際にどのように確立していくかについて、詳しく紐解いていきます。
また、Googleのゼロトラストモデル「BeyondCorp」を含む2つの詳細なケーススタディ
も収録しており、実装に役立つ知識を深めることができます。
(amazon.co.jpより引用)

■感想

オライリーは相変わらず難しい日本語が多いですね。
ゼロトラストネットワークについては、まだ書籍が少ないため、とりあえずこれを
読みました。
この概念自体は難しい話ではないと思います。
「全てを信用できないものを扱う」
これだけです。

ですが、ここを起点にした場合に、今のネットワーク、アプリケーション、クライアント、
サーバをどうやって更改していくか、また、新規で設計していくかについては、山ほど
議論、検討することがあります。
どこかに書いてある一文に対してだって、一体何人月かけて検討するんだ？というような
ものばかりです。

なので、勿論全部をやれとも言ってないし、全部こうあるべきとも言ってないです。

ある程度の道しるべはあるけど、まずは出来る範囲からやっていくというスタンスです。
というか、このスタンスでないと現実的にまず無理です。
やれるとしたら大手SIで、しかもそのほとんどのSEを投入できる超大規模PJだけです。
それでさえ、出来るかどうかは不透明です。
おおまかな流れは、認証、認可の仕組みを構築した後、アクセス制御を実施していく感じです。
ただし、「全部を信用しない」ので当然、やることは山ほどありますし、ほとんどのシステム
において、今のセキュリティ基準を大幅に見直す必要があると思います。

これが今後流行っていくのか？と言われると、うーん、と思う部分もありますが、
セキュリティという未来永劫課題となるものがある以上、こういう考え方になっていく
のかな？と思います。
量子コンピュータが流行りだして一般化したら、ここら辺も変わっていくと思いますけど。

先は分からないですが、概念として面白かったし勉強になりました。

今後、もう少し分かり易く具体的な製品が記載された書籍が出るといいな～と思います。

[oracchaさんの感想 · 2020年5月10日]

ネットワークセキュリティの知識をアップデートするために。

[hokkaidoさんの感想 · 2020年5月3日]

Googleが8年以上もの社内トライアルを行って実装に至ったBeyondCorpなどの登場により、セキュリティ領域でのホットトピックとなりつつあるゼロトラストネットワークについてのみんな大好きオライリー解説本。

コロナウイルスによるリモートワークの急激な社会実装に伴い顕在化している一つの問題は「VPN遅くて接続できない、ワロタ」問題であろう。その解決策として、ネットワーク自体のセキュリティを高めるのではなく、VPNではない通常のインターネット回線を経由して、いかに同等のセキュリティを担保するかというゼロトラストネットワークは、間違いなくポストコロナ社会において重要な役割を果たすはずである。

本書では、端末・ユーザ・信用スコアによる個々の”認証”の組み合わせによる”認可(各種の社内アプリケーションへの接続など)”の概念、そのためにシステムに求められる機能と設計、運用ポリシーなど、多岐に渡る論点がガイドされている。特に信用スコアについては、これまでのコーポレートセキュリティではあまり用いられてこなかった概念であり、そのレベル感などを把握できた点が個人的に有益だった。

[tamamura57さんの感想 · 2019年11月24日]

ゼロトラストネットワークとは、ファイアウォールやVPNに代表される従来型のセキュリティ（境界防御モデル）が通用しなくなった現状を踏まえ、すべてのトラフィックを信頼しないことを前提とし、検証することで脅威を防ぐというアプローチです。ユーザ/アプリケーション認証、デバイス認証、信用という三つの要素で構成され、その動きによって信用スコアを算出して、そのスコアに応じてその都度許認可を判断する。ここでの新しい発想は変化する信用です。ディテールまで読み込もうとすると私には難度が高く、斜め読みでお茶を濁した感は拭えませんでした^^;