技術評論社サイトのロゴ

ゼロトラストネットワーク[実践]入門

「ゼロトラストネットワーク[実践]入門」のカバー画像
著者
野村総合研究所NRIセキュアテクノロジーズ 著
定価
3,278円(本体2,980円+税10%)
発売日
2022.2.17 2022.2.14
判型
A5
頁数
304ページ
ISBN
978-4-297-12625-4 978-4-297-12626-1

サポート情報

概要

ゼロトラストは、これまでの情報セキュリティにおける外部と内部の境界を防御するという概念ではなく、「接続されるモノには完全に信頼できるものはない」ということを前提としており、何かのツールやサービスを導入して実現するものではありません。リモートワークのように外部から企業内ネットワークに接続するような状況が多くなった昨今、さらに注目を集めています。

本書は、セキュリティエンジニアのみならず、CTO、システム部門長、アーキテクト、インフラエンジニアといったシステム環境全体の構想検討や、実際に製品を選定/導入/展開を担当するすべての方々を対象に、企業におけるシステム環境全体のセキュリティアーキテクチャと、ゼロトラストの導入/展開に重点を置いて解説しています。

こんな方にオススメ

  • ゼロトラストに興味のある方、導入を考えている方
  • インフラエンジニア、ネットワークエンジニア
  • セキュリティエンジニア
  • CIO、CTO、アーキテクト

目次

第1章 ゼロトラストが求められる理由

  • 1-1 創造性や生産性を高める柔軟な働き方の実現
    • 分散が加速する社会
    • デジタルを活用した働く環境の高度化
    • 分散する情報資産をいかに守るかが重要となる
  • 1-2 企業間の共創による価値創造
    • 社会課題解決のための企業間共創
    • 企業の競争優位を継続するための企業間共創
    • 共創を支える協業環境
    • ユーザの広がりにいかに対応するかが重要となる
  • 1-3 デジタル化により増大するセキュリティの脅威
    • ワークプレイスの移行でセキュリティリスクが顕在化する
    • サイバー攻撃に狙われるデジタルワークプレイス
    • デジタルワークプレイスで起きているセキュリティインシデントの事例
  • 1-4 境界防御からゼロトラストセキュリティへ
    • データセンターをハブとした従来型アーキテクチャの限界
    • デジタルワークプレイスはゼロトラストセキュリティで守る
    • ゼロトラストモデルは経営資源を最適化する
  • Column 企業システムの全体像とゼロトラストの関係

第2章 ゼロトラストの生い立ちと背景にある脅威を紐解く

  • 2-1 ゼロトラストの生い立ち
    • ゼロトラストの胎動
    • Forrester社による「ゼロトラスト」の提唱
    • Googleによるゼロトラスト大規模実装例
    • Forrester社によるゼロトラストの具体化
    • Gartner社によるゼロトラストの解釈
    • NISTによるZTAのグローバル標準化
    • CIS ControlsのZTA対応
    • 米国連邦政府におけるZTA移行命令
  • 2-2 これまでの脅威の変遷
    • インターネットからイントラネットへ侵入する脅威
    • スタンドアロンネットワークへ侵入する脅威
    • イントラネットに大規模に広がる脅威
    • コロナ禍のテレワークの広がりで猛威を振るう脅威
    • 内部者によってもたらされる脅威
    • クラウドサービスの利用によってもたらされる脅威
  • 2-3 これからより高まるであろう脅威
    • クラウドへ広がり侵害される組織ネットワーク
    • 委託先への暗黙的な信頼によるビジネスモデルへのリスク
    • サプライチェーンへの攻撃
    • フィジカル空間とサイバー空間のつながりによる人命へのリスク
    • プライバシー保護に求められるセキュリティ
  • Column 国外企業を委託先とする場合の留意事項
  • Column Executive Order on Improving the Nation's Cybersecurity

第3章 ゼロトラストのアーキテクチャ

  • 3-1 コントロールプレーンとデータプレーンを分離した分散型アーキテクチャ
    • 境界防御モデルとゼロトラストモデル
    • コントロールプレーンとデータプレーン分離
    • ゼロトラストモデルの主要コンポーネントとアクセス制御プロセス
  • 3-2 PEPの配置によるアーキテクチャの変化
    • ゼロトラストモデルにおけるデプロイメントのポイントはPEPの配置
  • 3-3 アクセス制御を実現するトラストアルゴリズム
    • ゼロトラストアーキテクチャにおける思考プロセス
    • トラストアルゴリズムの評価パターン
  • Column 分散型アーキテクチャの発展

第4章 ゼロトラストを構成する技術要素

  • 4-1 4つの主要な技術要素
    • 内向きのデジタル化による変化と対策
    • 4つの主要な技術要素
  • Column 認証と認可の違い
  • 4-2 認証・認可とデータセキュリティ
    • ユーザ認証・認可の動向
    • ゼロトラストにおけるユーザ認証
    • ゼロトラストにおけるアクセス制御(認可)
    • トラスト情報
    • 動的アクセスポリシー
    • 製品/サービス選定・導入の考え方(クラウドIAMサービス)
    • 運用上の留意点
  • 4-3 ネットワークセキュリティ
    • ネットワークアクセスの動向
    • 社外からのプライベートシステムへのアクセス
    • クラウドサービスへのインターネットアクセス
    • 一般Webサイトへのインターネットアクセス
    • ネットワークセキュリティ全体のサービス設計
  • 4-4 エンドポイントセキュリティ
    • エンドポイントセキュリティの全体像
  • Column クラウドワークロードのセキュリティ対策
    • 資産管理(端末資産を漏れなく把握して管理)
    • 管理端末の最適化(組織のポリシーに従い、管理端末の状態を最適化)
    • ウィルス対策
    • 脅威の発見と調査・対応
    • データ漏えい防止(エンドポイント型DLP)
  • 4-5 ログの収集と監視
    • ログの収集
    • ログの監視・分析
    • セキュリティインシデントの調査と対処
  • Column データ・ライフサイクル管理

第5章 ゼロトラストを導入する流れ

  • 5-1 ゼロトラスト導入はジャーニー
    • 何を得るための旅なのかを考える
    • ゼロトラストは手段であり、導入がゴールではない
  • 5-2 ゼロトラスト導入の明確化
    • ゼロトラスト導入の明確化には3つの観点での整理が必要
    • ゼロトラストがもたらす、「守り」と「攻め」の側面を考える
    • ゼロトラスト導入の効果を上流から意識する
    • 立場が異なる目線での目的整合を考える
  • 5-3 導入検討のアプローチ概要
    • 【Step1】ありたい姿、将来のユースケースの策定
    • 【Step2】現状の構成・ユースケースの把握と課題分析
    • 【Step3】システム構成パターンの把握
    • 【Step4】インフラ構成のToBe像とロードマップ作成
  • 5-4 【Step1】ありたい姿、将来のユースケースの策定
    • 導入目的から業務実態の変化と適合を考える
    • 変化の適応範囲を定める
    • 肯定的な効果を洗い出す
    • 導入優先度と変化指標を定める
  • 5-5 【Step2】現状の構成・課題分析
    • 現状を把握する
    • 付随的な変化範囲を定める
    • 否定的な影響を洗い出す
    • 対応策の検討
  • 5-6 ゼロトラストの構成パターン
    • ゼロトラストの目的
    • 利便性の向上とセキュリティ強化に対するアプローチ
    • ゼロトラストの構成パターン
    • 企業が目指す姿
    • レベル0 スタート地点としてのセキュリティ
    • レベル1 認証とエンドポイントセキュリティの強化
    • レベル2  ワーククラウドシフトとセキュアなローカルブレイクアウトの実現
    • レベル3 組織ネットワークの廃止とリアルタイムゼロトラストの実現
  • 5-7 インフラ構成のToBe像とロードマップ策定
    • 将来ありたい姿整理の準備
    • ロードマップの策定
    • ロードマップの策定(ロードマップ例)
  • 5-8 ゼロトラストのアンチパターン
    • アンチパターン① 組織方針の連携不足
    • アンチパターン② コスト削減目的のゼロトラスト
    • アンチパターン③ 従来のセキュリティ施策への誤った固執
  • Column レガシーとどう向き合うか

第6章 ゼロトラストのサービス選定と展開の検討

  • 6-1 サービスの選定
    • エコシステムを構成するサービス間連携
    • 将来の変化に対応できる、機能とボリュームの拡張性
    • サービス導入後の運用性
  • 6-2 ゼロトラストの展開は
    • 対象組織×対象業務・システムの2軸で段階的に
    • 特区で対象組織を絞る
    • 展開計画の策定
    • 社外とのコラボレーション
  • 6-3 ロードマップの進捗管理・見直し
  • 6-4 ゼロトラスト導入後の運用管理
  • Column システムアーキテクチャ方針の策定とガバナンス

Appendix ゼロトラストモデルに活用される主要サービスの一覧

プロフィール

浦田壮一郎

担当:第1章
2004年、日本IBMに入社し、国内金融機関やグローバル企業向けのアウトソーシング事業の経験を経て、2016年に野村総合研究所(NRI)入社。現在はシステム化構想・計画の策定、アーキテクチャ標準の策定、PMO支援などコンサルティング業務に従事。専門はシステム化構想・計画の策定、アーキテクチャ設計。

岡部拓也

担当:第1章、第4章、第5章
2007年、日本IBMに入社し、基盤設計・アウトソーシングに従事。2011年、デロイトトーマツコンサルティングに入社し、IT中計策定、ITデューデリジェンス等の経験を経て、2016年に野村総合研究所(NRI)入社。現在は、セキュリティ戦略策定、ゼロトラスト構想・アーキテクチャ設計、セキュリティアセスメント、CSIRT構築、セキュリティソリューション導入支援に従事。著書に『セキュリティ設計実践ノウハウ』(共著、日経BP社)などがある。

羽田昌弘

担当:第2章
2002年、日本IBMに入社し、国内金融機関向けのアウトソーシング事業の経験を経て、2015年に野村総合研究所(NRI)入社後、NRIセキュアテクノロジーズへ出向。現在はITサービス不正利用監視構築PMOに従事。専門は、セキュリティ要件定義、セキュリティアーキテクチャ設計、セキュリティアセスメント。

原田弘道

担当:第3章
2015年、国内大手SIerに入社し、クラウド型プロキシ・Web情報漏えい対策などのセキュリティに係るプリセールスおよびIaaSの認証取得業務を経験。その後2020年に野村総合研究所(NRI)へ入社。現在は、認証認可に係るシステム構想企画、PMO支援などのコンサルティング業務に従事。専門はシステム化構想の策定と実行支援。

堀木章史

担当:第4章
2006年、大和総研に入社し、通信業界、及び証券業界のアプリケーション、インフラ、セキュリティ製品に関する、要件定義からリリースまでの全工程を経験。2020年に野村総合研究所(NRI)に入社しNRIセキュアテクノロジーズへ出向。現在は、ゼロトラストやIAM領域、サービスセキュリティなど、DX関連のセキュリティ・コンサルティングに従事。

川内谷直樹

担当:第4章
2007年、国内大手SIerに入社し、金融業界を中心にアプリケーション、ITインフラ、クラウド、およびPCIDSS準拠関連サービスに係る、要件定義、設計、構築、運用を経験。2020年に野村総合研究所(NRI)に入社しNRIセキュアテクノロジーズへ出向。現在は、ゼロトラストやIAM領域、サービスセキュリティなど、DX関連のセキュリティ・コンサルティングに従事。

小坂充

担当:第4章、第5章
2009年、IIJに入社し、SD-WAN/SASEサービスの先駆けとなる「SEIL」事業に携わり、サービス企画、ITインフラの設計・構築・運用等の業務に従事。2017年、野村総合研究所(NRI)に入社し、NRIセキュアテクノロジーズへ出向。インフラセキュリティを中心にコンサルティング業務に従事。専門はクラウドセキュリティの戦略・実装支援、セキュリティアーキテクチャ設計。

松下潤

担当:第4章
2009年、外資系SIerに入社し、流通業向けアウトソーシング事業を経験。2014年、国内大手Web会社に入社し、大規模Webサービスの構築・運営を得て、2019年に野村総合研究所(NRI)へ入社しNRIセキュアテクノロジーズへ出向。現在はEDR導入・SOC監視運用の支援やゼロトラストなどのコンサルティング業務に従事。専門は端末セキュリティ、セキュリティ運用の設計・管理。

中川尊

担当:第5章
2006年、外資系メーカーに入社し、ストレージを主としたプリセールスを経験。その後国内大手SIerにて大規模PJのPMやクラウドサービスの開発・運用の経験を経て、2019年に野村総合研究所(NRI)へ入社。現在は、システム化構想、PMO支援などのコンサルティング業務に従事。専門はシステム化構想・計画の策定と実行支援。

堀崎修一

担当:第5章、第6章
1996年、日立製作所生産技術研究所に入社し、半導体製造生産管理、製造実行システム等の研究・企画を経て、2003年に野村総合研究所(NRI)入社。現在は、システム化構想、情報システムの最適化及び調達支援、PMO支援などのコンサルティング業務に従事。専門はシステム化構想・計画立案・要件定義、調達支援。

田村史帆

担当:第5章
2017年に野村総合研究所(NRI)に入社し、NRIセキュアテクノロジーズへ出向。CSIRT構築・評価支援やサイバー攻撃対応演習支援等のコンサルティング業務、テレワークセキュリティガイドラインの作成支援などのセキュリティコンサルティング業務に従事。

平澤崇佳

担当:第6章
2016年、国内通信系研究所に入社し、トランスポートレイヤの通信インフラ研究開発に従事。関連会社のクラウドインフラの設計・開発等の経験を経て、2020年に野村総合研究所(NRI)へ入社。現在は、システム化構想、RFP策定支援などのコンサルティング業務に従事。

石井晋也

担当:編集
2001年、野村総合研究所に入社し、グローバル・グループ統合IDおよびAPI基盤の計画支援・構築、デジタルアイデンティティソリューションの事業戦略・サービス企画などを担当。2014年にNRIキュアテクノロジーズ株式会社に出向し、デジタルアイデンティティ/サイバーセキュリティ/DXセキュリティに係わるコンサルティングに従事。

鳥越真理子

担当:編集
1976年生。防衛省航空自衛隊、優成監査法人を経て、2012年に野村総合研究所に入社しNRIセキュアテクノロジーズへ出向。専門は、システム監査・保証(SOC1/SOC2)、ITガバナンス、情報セキュリティマネジメント、内部統制、インシデント対応とデジタルフォレンジック。著書に『経営者のための情報セキュリティQ&A45』(日本経済新聞出版)がある。