[🔝TOP](https://www.notion.so/shinofara-1a690b35713b45bf8ea599bfa73fb7df?pvs=21) > [[用語|用語]] - index 🤔 この用語について 概念 VPNを信頼して許可していた時代があった VPNの何がだめだったのか そもそも社内ネットワーク無いんだけど? ID/PASSやSSOだけだと何がだめなのか 簡単にまとめると 📁 関連づいたドキュメント ## 🤔 この用語について > [!important] > 自分の中でZero Trustという考え方や情報が古くなっていたので、簡単にZero Trustとはを書き出しました。詳しくはどこかで記事化 ### 概念 > [!info] ゼロトラスト | 用語解説 | 野村総合研究所(NRI) > 野村総合研究所(NRI)の公式ホームページです。NRIからの提言や調査・レポート、商品サービス、ITソリューション事例、IR情報、採用情報、CSR情報などを掲載しています。 > [https://www.nri.com/jp/knowledge/glossary/lst/sa/zero_trust](https://www.nri.com/jp/knowledge/glossary/lst/sa/zero_trust) 概念としては簡単で、特定の何かを信頼して盲目的に許可を与えないこと。 ### VPNを信頼して許可していた時代があった もう少し具体を書くと、一昔前(出社が当たり前で社内ネットワークとかもあった時代)は、PCの持ち出しは原則不可でした。申請をしたら持ち出せるみたいな世界。 基本社内ネットワークに置かれた情報には、社内ネットワーク外からの経路は遮断しているのでアクセスできない。このままでは持ち出ししたPCで業務ができない。 こういったケースへの対応として、 [[Terminology/VPN|VPN]] を用いて社内ネットワークにアクセスできるようにしていました。 つまり、「VPNにアクセスできるのは、会社で許可した端末で、さらに言えば持ち出し申請した人本人のハズだから社内ネットワークにアクセスしても==問題ないはずだ==」というのが、特定の何かを信頼していた状態 ### VPNの何がだめだったのか ではなぜ、特定の何かを信頼( [[Terminology/VPN|VPN]] )するのは危険という話になるのかも書きます。 以下は全て可能性の話です。 - 本当にPCを利用している人は本人かVPNの先ではわからない - 盗難、同居人、PCへの侵入して操作権を奪われる - 踏み台やマルウェアにより社内情報へのアクセスを許してしまう - 本当に利用しているPCが会社端末かわからない。 - VPNクライアントをいい感じに奪われたなど などなど ### そもそも社内ネットワーク無いんだけど? 最近のスタートアップでは、そもそも全てクラウドで、社内にネットワークを構築していないケースも多いと思います。オフィスで仕事するために回線引いてるくらいで その場合の多くは、Google WorkspaceやAzure ADなどでのSSOや、ID/PASS/MFAなどで各種SaaSにアクセスしていると思います。最近ではChrome Password Managerや1Passwordなどパスワードマネージャも便利なのでID/PASSを忘れる事や、パスワードを使い回す事も無くなったと思います。 便利ですね。 これも同じ事が言えます。Google WorkspaceへのログインにはID/PASSが必要です。1passwordやその他でもID/PASSが必要になるかもしれません。つまり「Google WorkspaceからのSSO / 1passwordで管理されたID/PASSだから==問題ないはずだ==」というのが、特定の何かを信頼していた状態 ### ID/PASSやSSOだけだと何がだめなのか - ID/PASS(特にPASS)はたくさんのSaaSで変更する事は手間なので、同じにしちゃうかもしれません - ID/PASSを使いまわしている場合、何かしらのサイトから漏洩があると、侵入を許してしまうかもしれません。 - 以下で確認できます。 > [!info] > > [https://passwords.google.com/checkup/start?ep=1&pr=pwm](https://passwords.google.com/checkup/start?ep=1&pr=pwm) > [!info] Have I Been Pwned: Check if your email has been compromised in a data breach > Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised. > [https://haveibeenpwned.com/](https://haveibeenpwned.com/) - ID/PASSはフィッシングサイトで盗まれるかもしれません - 知識情報(ID/PASS)だけでは、上記の問題が起きるので、所持情報(スマホなどを利用したMFA)を使うことでいくらかはマシになります。がID/PASS/自分のスマホがあればどこからでもアクセスが可能なので、ネットカフェや友人のPCからアクセスしてしまって、セッションを消し忘れてしまい、次使う人が使ってしまうかもしれません まだまだありますが、細かい事は詳しいサイトにおまかせします。 つまりID/PASSだけではリスクが高いので、知的情報が仮に漏洩しても、所有情報で守れる状態にはなってますが、それだけでは安全なPCからアクセスしている事は保証ができない問題が残っています。 ### 簡単にまとめると 1. アカウント 1. 例えばGoogle SSOなど本当に会社が発行したアカウントがアクセスしてきているか 2. エンドポイント 1. 本当に会社が許可したPCやスマホからアクセスしてきているか 2. 本当に会社が認める対策がされているか 3. ネットワーク 1. 会社が許可した経路からアクセスしてきているか 2. VPNとか、もしかしたら個人のグローバルIPとかかもしれませんね この他には監視だったりACLだったり、アカウント追加削除周りを自動化だったりという話もあります。詳しくは以下 > [!info] ゼロトラスト・セキュリティとは?|情報セキュリティのNRIセキュア > ゼロトラストセキュリティを実装する要件として、デバイス・ネットワーク・データ・アイデンティティ・ワークロード・可視化と分析・自動化が挙げられます。ゼロトラスト要件毎に、目的に合致したソリューション導入により、環境に依存しない統合的な管理・制御が可能になり、境界を意識することなくセキュリティを担保できます。 > [https://www.nri-secure.co.jp/service/zerotrust#:~:text=ゼロトラストセキュリティを企業,7つが挙げられます。](https://www.nri-secure.co.jp/service/zerotrust#:~:text=ゼロトラストセキュリティを企業,7つが挙げられます。) コロナ初期はまだまだソリューションも、実績などもすくなったので選択肢が少なかったり情報が少なかったりしていましたが、今ではGoogle Workspace, Okta, Azure, Cloudflareなどがソリューションを展開してくれているので、あとは自社で何をどうまもりたいか、どこまでコストを掛けるかで考えていく感じになりますね。 ここに書く ## 📁 関連づいたドキュメント #### ドキュメント |Name|タグ|Date| |---|---|---| |[[About Me\|About Me]]||December 13, 2020| |[[MF KESSAIがWork From Homeでも生産性と安全性を向上させる為に考えてきたゼロトラストについて一部紹介\|MF KESSAIがWork From Homeでも生産性と安全性を向上させる為に考えてきたゼロトラストについて一部紹介]]|[[Tags/働いた会社での記事\|働いた会社での記事]]|April 22, 2020| [🔝TOP](https://www.notion.so/shinofara-1a690b35713b45bf8ea599bfa73fb7df?pvs=21) > [[用語|用語]]