Lists Trending New
Start free trial
Searching...
日本語
English
Español
简体中文
Français
Deutsch
日本語
Português
Italiano
한국어
Русский
Nederlands
العربية
Polski
हिन्दी
Tiếng Việt
Svenska
Ελληνικά
Türkçe
ไทย
Čeština
Română
Magyar
Українська
Bahasa Indonesia
Dansk
Suomi
Български
עברית
Norsk
Hrvatski
Català
Slovenčina
Lietuvių
Slovenščina
Српски
Eesti
Latviešu
فارسی
മലയാളം
தமிழ்
اردو
Zero Trust Networks

Zero Trust Networks

Building Secure Systems in Untrusted Networks
by Evan Gilman 2017 238 pages
4.02
100+ ratings
Technology
Programming
Reference
聞く
12 minutes

つの重要なポイント

1. ゼロトラストネットワーク: サイバーセキュリティのパラダイムシフト

ゼロトラストモデルはこの図を内側から外側にひっくり返す。

セキュリティの根本的な変化。 ゼロトラストネットワークは、従来の境界ベースのモデルを放棄し、サイバーセキュリティに革命的なアプローチをもたらします。ネットワーク内での信頼を前提とするのではなく、ゼロトラストはデフォルトで信頼を前提としません。ユーザーやデバイスが企業ネットワークの内外に関わらず、このモデルは以下を要求します:

  • すべてのネットワークリクエストに対する認証と認可
  • すべてのデータの転送中の暗号化
  • セキュリティポスチャの継続的な監視と検証

主要な原則:

  • ネットワークは常に敵対的であると仮定する
  • 外部および内部の脅威は常に存在する
  • ネットワークの場所だけでは信頼を決定するのに十分ではない
  • すべてのデバイス、ユーザー、およびネットワークフローは認証および認可される
  • ポリシーは動的であり、複数のデータソースから計算される必要がある

2. 境界モデルの終焉: ゼロトラストアーキテクチャの採用

ポリシーのために信頼スコアモデルに切り替えることには欠点もある。

ネットワークセキュリティの進化。 従来の境界モデルは、ファイアウォールやVPNを使用して「安全な」内部ネットワークを作成することに依存していましたが、今日の複雑で分散したIT環境ではもはや十分ではありません。ゼロトラストアーキテクチャは、境界モデルの制限に対処するために以下を実施します:

  • 信頼された内部ネットワークの概念を排除
  • すべてのリソースに対する強力な認証と認可の実施
  • 横方向の移動を制限するためのマイクロセグメンテーションの適用
  • データの転送中および保存中の暗号化の使用

ゼロトラストの利点:

  • 外部および内部の脅威に対するセキュリティポスチャの向上
  • ネットワークトラフィックの可視性と制御の向上
  • 攻撃面の縮小と侵害時の影響範囲の限定
  • ネットワーク管理の簡素化とVPN依存の削減

3. アイデンティティとアクセス管理: ゼロトラストの礎

認証にはもう一つの興味深い特性がある。

アイデンティティは重要。 ゼロトラストモデルでは、強力なアイデンティティとアクセス管理(IAM)が基本です。すべてのユーザー、デバイス、およびアプリケーションは検証可能なアイデンティティを持ち、アクセスの決定はこれらのアイデンティティと関連する属性に基づいて行われます。

ゼロトラストにおけるIAMの主要コンポーネント:

  • すべてのユーザーに対する多要素認証(MFA)
  • ユーザーロールと属性に基づく細かいアクセス制御
  • 継続的な認証と認可
  • アイデンティティフェデレーションとシングルサインオン(SSO)機能
  • リアルタイムのリスク評価に基づく動的ポリシーの施行

信頼スコアリング: 以下の要素を考慮した動的な信頼スコアリングシステムを実装:

  • ユーザーの行動パターン
  • デバイスの健康状態とコンプライアンス
  • アクセスの場所と時間
  • 要求されたリソースの機密性

4. デバイストラスト: ゼロトラストネットワークにおけるエンドポイントのセキュリティ

ゼロトラストネットワークでデバイスを信頼することは非常に重要であり、同時に非常に難しい問題でもある。

エンドポイントセキュリティは重要。 ゼロトラストネットワークでは、デバイスは攻撃者の潜在的な侵入ポイントであり、徹底的に保護され継続的に監視される必要があります。デバイストラストの主要な側面には以下が含まれます:

  • 証明書やハードウェアバックの資格情報を使用した強力なデバイス認証
  • デバイスの健康状態とコンプライアンスの継続的な評価
  • 自動パッチ適用と更新
  • エンドポイント検出と応答(EDR)機能
  • デバイスの隔離とリモートワイプ機能

デバイストラストの実装:

  1. 堅牢なデバイスインベントリと管理システムを確立
  2. 安全なデバイスオンボーディングプロセスを実装
  3. 可能な場合はハードウェアセキュリティモジュール(HSM)やトラステッドプラットフォームモジュール(TPM)を使用
  4. デバイスの資格情報と証明書を定期的にローテーション
  5. 異常や潜在的な侵害を監視するためにデバイスの行動を監視

5. アプリケーションセキュリティ: コードから実行までの信頼構築

デバイスを信頼することは物語の半分に過ぎない。コードとそれを書いたプログラマーも信頼しなければならない。

パイプライン全体のセキュリティ。 ゼロトラスト環境におけるアプリケーションセキュリティは、実行中のアプリケーションのセキュリティを超えて、ソフトウェア開発ライフサイクル全体と実行環境を包含します。主要な考慮事項には以下が含まれます:

  • 安全なコーディングプラクティスと開発者トレーニング
  • 定期的なコードレビューと静的解析
  • 脆弱性スキャンとペネトレーションテスト
  • ランタイムアプリケーションセルフプロテクション(RASP)
  • アプリケーションの行動の継続的な監視とログ記録

アプリケーション信頼対策:

  • デプロイされたアプリケーションの整合性を確保するためのコード署名の使用
  • アプリケーションレベルの暗号化とアクセス制御の実装
  • アプリケーション間の通信を制限するためのマイクロセグメンテーションの採用
  • コンテナ化されたアプリケーションのためのコンテナセキュリティとオーケストレーションツールの利用
  • アプリケーションの特権に対するジャストインタイム(JIT)およびジャストイナフアクセス(JEA)原則の実装

6. ネットワークトラフィックセキュリティ: 暗号化、認証、および認可

暗号化は機密性をもたらすが、時折厄介なこともある。

すべての通信を保護。 ゼロトラストネットワークでは、すべてのトラフィックはその起源や目的地に関係なく暗号化、認証、および認可される必要があります。このアプローチはデータの機密性と整合性を確保し、不正アクセスや横方向の移動を防ぎます。

ネットワークトラフィックセキュリティの主要な側面:

  • 強力な暗号化プロトコルの使用(例:TLS 1.3、IPsec)
  • すべてのネットワーク接続に対する相互認証
  • ネットワークセグメンテーションとマイクロセグメンテーション
  • ソフトウェア定義境界(SDP)またはブラッククラウドアーキテクチャ
  • ネットワークトラフィックパターンの継続的な監視と分析

実装戦略:

  1. 証明書管理のための公開鍵基盤(PKI)の展開
  2. 細かいアクセス制御のためのプロトコル対応プロキシの実装
  3. レガシーシステムのためのネットワーク暗号化ゲートウェイの使用
  4. 脅威検出のためのネットワーク検出と応答(NDR)ツールの採用
  5. DNSセキュリティ対策の実装(DNSSEC、DoH、DoT)

7. ゼロトラストの実装: 段階的かつ実践的なアプローチ

ゼロトラストは、ネットワーク内で信頼された通信を可能にするために認可決定の結果を注入する制御プレーンを提唱している。

段階的な実装。 ゼロトラストモデルへの移行は、慎重な計画と実行を必要とする大規模な取り組みです。段階的なアプローチを取ることで、既存の運用に対する影響を最小限に抑えながら、メリットを実現できます。

ゼロトラスト実装のステップ:

  1. 現在のセキュリティポスチャを評価し、ギャップを特定
  2. ゼロトラストの目標と優先順位を定義
  3. パイロットプロジェクトまたは特定のユースケースから開始
  4. 強力なアイデンティティとアクセス管理を実装
  5. デバイスのセキュリティと管理を強化
  6. アプリケーションとワークロードを保護
  7. ネットワークセグメンテーションとトラフィック暗号化を実装
  8. 監視と分析機能を展開
  9. ゼロトラストモデルを継続的に改善し拡張

主要な考慮事項:

  • 組織全体のステークホルダーを巻き込む
  • ユーザーエクスペリエンスに焦点を当て、採用を確保
  • 可能な限り既存のセキュリティ投資を活用
  • クラウドおよびハイブリッド環境との統合を計画
  • ゼロトラスト実装の効果を測定するための指標を開発

8. 人的要素: ゼロトラストにおけるソーシャルエンジニアリングと物理的セキュリティ

ゼロトラストネットワークでは、信頼されたデバイスで信頼された人間に行動を取らせるソーシャルエンジニアリング攻撃は依然として懸念事項である。

人的脆弱性は依然として存在。 ゼロトラストは技術的なセキュリティを大幅に向上させますが、人間の要素は依然として潜在的な弱点です。ソーシャルエンジニアリング攻撃、内部脅威、および物理的セキュリティリスクは、技術的なコントロールと並行して対処する必要があります。

人的リスクに対処するための戦略:

  • すべての従業員に対する包括的なセキュリティ意識トレーニング
  • フィッシングやソーシャルエンジニアリングのシミュレーション演習
  • 機密情報の取り扱いに関する明確なポリシーと手順
  • 物理的セキュリティ対策(例:アクセス制御、監視)
  • 背景調査と定期的なセキュリティクリアランスのレビュー
  • 内部脅威の検出と防止プログラム

セキュリティと使いやすさのバランス:

  • ユーザーフレンドリーなセキュリティツールとプロセスの実装
  • セキュリティ対策の明確な説明を提供
  • 異なるユーザーのニーズに合わせた複数の認証オプションを提供
  • ユーザーに負担をかけずに異常を検出するための行動分析の使用
  • 定期的にフィードバックを収集し、ユーザーエクスペリエンスを向上させるためにポリシーを調整

人的要素に対するセキュリティ対策は、ゼロトラストの技術的側面を補完し、全体的で強靭なセキュリティポスチャを構築するために重要です。

Last updated:

レビュー

4.02 out of 5
Average of 100+ ratings from Goodreads and Amazon.

ゼロトラストネットワークは、平均評価4.02/5で主に好意的なレビューを受けている。読者はゼロトラストの概念についての包括的な概要を称賛しているが、一部の人々は理論的すぎると感じている。この本はゼロトラストネットワークの哲学を説明し、従来のセキュリティモデルと比較する点で高く評価されている。批評家は実践的な実装の詳細が不足していると指摘し、大規模な組織に最も関連性があるかもしれないと示唆している。全体として、適用性にいくつかの制限があるにもかかわらず、新興のセキュリティパラダイムへの貴重な入門書と見なされている。

著者について

エヴァン・ギルマンは、ネットワークセキュリティの分野で尊敬される著者であり専門家である。彼はダグ・バースと共に「ゼロトラストネットワーク:信頼できないネットワークにおける安全なシステムの構築」を共著し、ゼロトラストセキュリティモデルに関する重要な著作となっている。ギルマンの専門知識は、特にゼロトラストの原則に基づいた安全なネットワークアーキテクチャの設計と実装にある。彼の仕事は、すべてのネットワークトラフィックを信頼できないものとして扱い、強力な認証とアクセス制御措置を実施することに焦点を当て、現代のサイバーセキュリティ実践の進展に大きく貢献している。ギルマンの洞察は、ますます複雑で分散化する環境において、組織がネットワークセキュリティに取り組む方法に影響を与えている。

0:00
-0:00
1x
Create a free account to unlock:
Bookmarks – save your favorite books
History – revisit books later
Ratings – rate books & see your ratings
Listening – audio summariesListen to the first takeaway of every book for free, upgrade to Pro for unlimited listening.
Unlock unlimited listening
Your first week's on us
Today: Get Instant Access
Listen to full summaries of 73,530 books. That's 12,000+ hours of audio!
Day 5: Trial Reminder
We'll send you a notification that your trial is ending soon.
Day 7: Your subscription begins
You'll be charged on Sep 26,
cancel anytime before.
What our users say
“...I can 10x the number of books I can read...”
“...exceptionally accurate, engaging, and beautifully presented...”
“...better than any amazon review when I'm making a book-buying decision...”
Compare Features
Free Pro
Read full text summaries
Listen to full summaries
Unlimited Bookmarks
Unlimited History
Benefits
Get Ahead in Your Career
People who read at least 7 business books per year earn 2.3 times more on average than those who only read one book per year.
Unlock Knowledge Faster (or Read any book in 10 hours minutes)
How would your life change if we gave you the superpower to read 10 books per month?
Access 12,000+ hours of audio
Access almost unlimited content—if you listen to 1 hour daily, it’ll take you 33 years to listen to all of it.
Priority 24/7 AI-powered and human support
If you have any questions or issues, our AI can resolve 90% of the issues, and we respond in 2 hours during office hours: Mon-Fri 9 AM - 9 PM PT.
New features and books every week
We are a fast-paced company and continuously add more books and features on a weekly basis.
Fun Fact
2.8x
Pro users consume 2.8x more books than free users.
Interesting Stats
Reduced Stress: Reading for just 6 minutes can reduce stress levels by 68%
Reading can boost emotional development and career prospects by 50% to 100%
Vocabulary Expansion: Reading for 20 minutes a day are exposed to about 1.8 million words per year
Improved Cognitive Function: Reading can help reduce mental decline in old age by up to 32%.
Better Sleep: 50% of people who read before bed report better sleep.
Can I switch plans later?
Yes, you can easily switch between plans.
Is it easy to cancel?
Yes, it's just a couple of clicks. Simply go to Manage Subscription in the upper-right menu.
Save 62%
Yearly
$119.88 $44.99/yr
$3.75/mo
Monthly
$9.99/mo
Try Free & Unlock
7 days free, then $44.99/year. Cancel anytime.