ゼロトラストアーキテクチャ

ゼロトラスト・アーキテクチャは、ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画、アクセスポリシー等を含むサイバーセキュリティ計画のことである。従って、ゼロトラスト企業とは、ゼロトラスト・アーキテクチャ計画の産物として、組織のネットワークインフラストラクチャ (物理的および仮想的) と運用ポリシーを指す。

(NIST SP 800-207 : Zero Trust Architecture (ZTA) より)

ゼロトラストモデルでは分散型アーキテクチャが採用

コントロールプレーン : アクセスポリシーや認証を集中管理する

データプレーン : 情報資産に対するアクセス制御処理

コンポーネント

Policy Decision Point (PDP) : コントロールプレーンに配置

PEP からのアクセスリクエストに対して、アクセスの可否を決定

以下の 2 つから構成

Policy Engine (PE) : リソースへのアクセス可否を判断し、記録する

Policy Administrator (PA) : PE の判断に基づき、PEP に対してアクセス主体とリソース間の通信の確立や停止を指示

Policy Enforcement Point (PEP) : データプレーンに配置

PA と連携し、アクセス主体とリソース間のアクセスの制御や監視

PEP の配置の仕方により、4 種類のデプロイメントパターンがある

ゼロトラストモデルでは情報資産ごとに PEP を配置する

が、一足飛びにその状態にすることは難しいので、まずは同じ信用レベルのゾーン単位で PEP を配置することを推奨

アクセス制御

PE はトラストアルゴリズムによりアクセス可否の判断を行う

アクセス主体の属性だけでなく、場所や時間、利用するデバイスなどの環境属性なども利用する