「さよならVPN」とは言うもののー『すべてわかるゼロトラスト大全』を読んで
『すべてわかるゼロトラスト大全』を読みました。こちらの記事では同書の内容や、類書との比較を簡単にご紹介します。(内容については追記予定)
私が感じた本書の立ち位置
本書の構成について
本書は前半部分でゼロトラストセキュリティについての教科書的な知識を掲載し、後半では「現実解」としての実践方法や事例が掲載されています。本のタイトルに「大全」と銘打ってある通り、ゼロトラスト にまつわる以下の情報が1冊にまとまっていました。
- ゼロトラストの基本的な考え方
- ゼロトラストの考え方が提唱された背景
- リモートワーク対応のためゼロトラスト製品を導入した7社の事例
とはいうものの、「過去のゼロトラスト特集を集めました!」という感じの構成なのが否めません。各種ゼロトラスト製品用語の説明や使用例が記載されているような「辞典」のような使い方もできず、具体的に事例から概念を理解するような「事典」のような使い方もできない…というちょっと惜しい感じの本でした。
教科書としては最近出版された以下の本の方が技術背景が時系列で紹介されていて、わかりやすいと感じました。
本書がお勧めな人
ゼロトラストセキュリティの基本的な考え方や背景を理解したい人、とりあえず事例が欲しい人
本書がお勧めでない人
顧客提案などの資料のためにゼロトラスト関連製品の比較がしたい人
本書に記載されていないこと、追加で調べる必要があること
ゼロトラストを実現するための製品の網羅
本書を読む限り、ゼロトラストが提唱される場面としてはテレワーク環境を新たに構築する場面が主なようでした。しかしながら、そういった場合は「テレワーク環境構築」の名目で調達が走ります。そこに「ゼロトラしましょう!」と提案すると、「コイツわかってないなー」と思われそうな気がします。
当たり前の話ですが、セキュリティ要件はビジネス要件やシステム要件が少しでも異なっている顧客には同じ内容を提案できません。
「リモートワークをするための環境を短期間で構築したい」のか
「パケットを監視してセキュリティ事故を予測、通信遮断ができるように運用を自動化したい」のかで全く提案内容が変わってきます。
各概念を実現する製品については「@@(みんなが知っている有名企業)は@@を導入した」と言った事例紹介の形でされていたのですが、各社製品の仕様比較がされているわけでは特になかったので、結局のところ個別で製品資料を集める必要があります。
早い話、ゼロトラストって「エンドポイントごとにネットワーク監視と認証しましょうね」って話として認識しているのですが、大体とりあえず(エンドポイント)セキュリテイ対策としてSEPって入れるじゃないですか。
その上で「ライセンス費が高い!」「更新が面倒!」と言っているので、そもそも顧客の非機能要件を分解せずにセキュリティ対策ソフトを導入していることが問題だと認識しています。
また本書ではゼロトラストセキュリティに関して、費用対効果が最も見込めるというIAMによるアカウント管理から始めることを提唱していますが、
結局のところ、これってActiveDirectoryやAWSのIAMと何が違うのでしょう?
アカウント管理が適切にできていればIAMはできていることになるんですかね?
製品についての説明が足りなさすぎて、理解が追いついてないです。
そもそもなんでVPNだと駄目なのか
そもそも認証の話であれば、VPNで安全なネットワークを確立してVDIで仮想基盤を構築すれば特に問題はないですよね。
ゼロトラストって「社内のネットワークも信頼できないからメールもWEBブラウザ、ファイルサーバも無害化しましょう」「パケットフィルタリングして変な挙動は監視して通信遮断しましょう」と言う話なのですが、利用者からするとデスクトップ転送型のVDIでもめちゃくちゃ動作が遅いので、それを解消したいって要望の方が多くないでしょうか。でもそれならコア数上げようね、と言う話のような気がしてしまって「そもそもなぜ脱VPNしないといけないのか」はよくわかりません。
業界ごとのビジネス要件の特徴
金融業界や医療業界などデータの取り扱いについて各種ガイドラインを定めている業界については、ガイドラインに沿った内容の提案が案件受注の大前提になります。
例えば、金融システムであれば「FISC」。
FISC 金融情報システムセンター:ガイドライン検索システム
医療情報システムであれば「医療情報システムの安全管理に関するガイドライン」。
医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)|厚生労働省
しかしながら、本書では各業界が定めるガイドラインについての言及はされていません。情報提供や提案書作成する際にこの辺りの前提を無視してしまうと厄介です。
担当者の方の言葉を重視してしまって、その裏(?)にいる審議会や決裁者が首を傾げてしまうような事態になりかねないな、と思いました。