株式会社ラック / セキュリティ コンサルタント
情シス部門のゼロトラスト導入に向けて#3 権限付与について考えてみよう | LAC WATCH
最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについてひもといて行きたいと思います。 前回は、過去16年間の攻撃手法の変化であり、情シス部門やセキュリティ担当者が対策を行い歩んできた道のりを振り返り、クラウドの普及が進み始めた2016年をモデルケースとして、NISTによるゼロトラストの考え方から「ネットワークの場所に関係なく、全ての通信を保護する」について解説しました。 今回は「企業リソースへのアクセスは、セッション単位で付与する」について、ラックの考えるゼロトラストをお伝えいたします。