「さよならVPN」とは言うもののー『すべてわかるゼロトラスト大全』を読んで

『すべてわかるゼロトラスト大全』を読みました。こちらの記事では同書の内容や、類書との比較を簡単にご紹介します。（内容については追記予定）

すべてわかるゼロトラスト大全　さらばVPN・安全テレワークの切り札

日経BP

Amazon

私が感じた本書の立ち位置

本書の構成について

本書は前半部分でゼロトラストセキュリティについての教科書的な知識を掲載し、後半では「現実解」としての実践方法や事例が掲載されています。本のタイトルに「大全」と銘打ってある通り、ゼロトラストにまつわる以下の情報が1冊にまとまっていました。

ゼロトラストの基本的な考え方
ゼロトラストの考え方が提唱された背景
リモートワーク対応のためゼロトラスト製品を導入した7社の事例

とはいうものの、「過去のゼロトラスト特集を集めました！」という感じの構成なのが否めません。各種ゼロトラスト製品用語の説明や使用例が記載されているような「辞典」のような使い方もできず、具体的に事例から概念を理解するような「事典」のような使い方もできない…というちょっと惜しい感じの本でした。

教科書としては最近出版された以下の本の方が技術背景が時系列で紹介されていて、わかりやすいと感じました。

ゼロトラストネットワーク［実践］入門

Amazon

本書がお勧めな人

ゼロトラストセキュリティの基本的な考え方や背景を理解したい人、とりあえず事例が欲しい人

本書がお勧めでない人

顧客提案などの資料のためにゼロトラスト関連製品の比較がしたい人

本書に記載されていないこと、追加で調べる必要があること

ゼロトラストを実現するための製品の網羅

本書を読む限り、ゼロトラストが提唱される場面としてはテレワーク環境を新たに構築する場面が主なようでした。しかしながら、そういった場合は「テレワーク環境構築」の名目で調達が走ります。そこに「ゼロトラしましょう！」と提案すると、「コイツわかってないなー」と思われそうな気がします。

当たり前の話ですが、セキュリティ要件はビジネス要件やシステム要件が少しでも異なっている顧客には同じ内容を提案できません。

「リモートワークをするための環境を短期間で構築したい」のか

「パケットを監視してセキュリティ事故を予測、通信遮断ができるように運用を自動化したい」のかで全く提案内容が変わってきます。

各概念を実現する製品については「@@(みんなが知っている有名企業)は＠＠を導入した」と言った事例紹介の形でされていたのですが、各社製品の仕様比較がされているわけでは特になかったので、結局のところ個別で製品資料を集める必要があります。

早い話、ゼロトラストって「エンドポイントごとにネットワーク監視と認証しましょうね」って話として認識しているのですが、大体とりあえず（エンドポイント）セキュリテイ対策としてSEPって入れるじゃないですか。

その上で「ライセンス費が高い！」「更新が面倒！」と言っているので、そもそも顧客の非機能要件を分解せずにセキュリティ対策ソフトを導入していることが問題だと認識しています。

また本書ではゼロトラストセキュリティに関して、費用対効果が最も見込めるというIAMによるアカウント管理から始めることを提唱していますが、

結局のところ、これってActiveDirectoryやAWSのIAMと何が違うのでしょう？

アカウント管理が適切にできていればIAMはできていることになるんですかね？

製品についての説明が足りなさすぎて、理解が追いついてないです。

そもそもなんでVPNだと駄目なのか

そもそも認証の話であれば、VPNで安全なネットワークを確立してVDIで仮想基盤を構築すれば特に問題はないですよね。

ゼロトラストって「社内のネットワークも信頼できないからメールもWEBブラウザ、ファイルサーバも無害化しましょう」「パケットフィルタリングして変な挙動は監視して通信遮断しましょう」と言う話なのですが、利用者からするとデスクトップ転送型のVDIでもめちゃくちゃ動作が遅いので、それを解消したいって要望の方が多くないでしょうか。でもそれならコア数上げようね、と言う話のような気がしてしまって「そもそもなぜ脱VPNしないといけないのか」はよくわかりません。