ちょき☆ぱたん お気に入り紹介 (chokipatan.com)

第1部 本

 IT

ゼロトラスト時代のセキュリティ新入門(村上博)

『ゼロトラスト時代のセキュリティ新入門』2025/12/16
村上 博 (著)


(感想)
 情報セキュリティの概要と、「なんとなく知っているけど、よくわからない」ゼロトラストの概念を、豊富な図解と具体的な事例で基礎から解説してくれる本で、主な内容は次の通りです。
第1章 情報セキュリティ基礎とサイバー攻撃
第2章 情報セキュリティ管理
第3章 セキュリティ技術
第4章 テーマ学習
第5章 ゼロトラストへの導入
第6章 ゼロトラスト事例(Zscaler、Cisco Umbrella、Threat Hunting)
   *
『ゼロトラスト時代のセキュリティ新入門』というタイトルだったので、「ゼロトラスト」に関するものがメインなのかと思ったのですが、むしろ一般的な情報セキュリティの概説の方が多く、「ゼロトラスト」についても概要的な内容でした。そういう意味では、情報セキュリティ全般を幅広くカバーしているセキュリティ入門書だったと思います。
 個人的に最も知りたかった「ゼロトラスト」関連については、まず「ゼロトラスト」とは……
「ゼロトラストは、直訳的な解釈では「信頼がゼロ(Zero Trust)」という意味です。ゼロトラストでは境界型セキュリティなどの従来のセキュリティに対して「決して信頼せずに、すべてを検証する(Never trust、Always verify)」という考え方に基づいたセキュリティモデルを提唱しています。」
 ……というもので、ゼロトラストの主な目的は、「データやサービスへの不正アクセスを防止する」、「アクセス制御を細分化する」です。
 ゼロトラストに関してはNIST(米国国立標準技術研究所)による標準ガイドラインのSP800-207(Zero Trust Architecture(ZTA))があり、本書はこれに沿って解説しています。
 また企業向けゼロトラストガイドライン(NIST SP1800-35)としては、次のものがあります。
1)NIST SP1800-35A:エグゼクティブサマリ
2)NIST SP1800-35B:アプローチ(導入の流れ)、アーキテクチャ(設計や構成)
3)NIST SP1800-35C:製品インストール、構築ガイドライン
4)NIST SP1800-35D:実装例、実証結果
5)NIST SP1800-35E:推奨実践文書
   *
 そしてゼロトラストの7つの原則は……
<ゼロトラストの7つの原則(NIST SP1800-207)>
1)全てのデータやコンピュータは情報資産と考える
2)全ての通信は暗号化する
3)情報資産のアクセスはセッション単位(最小単位)で管理
4)情報資産のアクセスは監視可能にする。ポリシーは動的に決定。
5)全ての情報資産をモニタリング(監視、測定)する
6)全ての情報資産に認証と認可を動的に実施
7)情報資産、ネットワークなどの情報を収集してセキュリティ改善に用いる
   *
 またゼロトラストの6つのネットワーク視点は……
<ゼロトラストの6つのネットワーク視点>
1)内部ネットワークは暗黙の信頼ではない
2)BYODへの対応が必要
3)全ての情報資産は信頼されない
4)クラウドサービスやアプリも対象
5)ローカルネットワークは信頼できない
6)一貫したセキュリティポリシーと体制が必要
※BYOD(従業員の私的パソコンやスマートフォンを職場で使うこと)
   *
 この他、参考になりそうな情報として、以下のものがありました。
・米国連邦ガイダンスには、NISTの他、FISMA、FIPSあり
・JVN:日本で使用されているソフトウェアなどの脆弱性関連情報や対象情報を提供するポータルサイト
・総務省「テレワークセキュリティガイドライン」
・情報処理推進機構IPAの「ゼロトラスト指南書」
・情報処理推進機構(IPA)の「組織における内部不正防止ガイドライン」
・経済産業省:システム監査制度、セキュリティ監査制度
・経済産業省のASM導入ガイダンス
 ※ASM(組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出、強化する一連のプロセス)
・サイバー対処能力強化法及び同整備法
(能動的サイバー制御を実施する体制を整備するための法律)
   *
『ゼロトラスト時代のセキュリティ新入門』……情報セキュリティについて総合的に解説してくれる入門書でした。情報セキュリティは変化の速い分野なので、このような概説書を定期的に読んで復習すると同時に、最新知識を得ることが重要だと思います。みなさんも、ぜひ読んでみてください☆
   *   *   *
 なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。

Amazon商品リンク

興味のある方は、ここをクリックしてAmazonで実際の商品をご覧ください。(クリックすると商品ページが開くので、Amazonの商品を検索・購入できます。)


『ゼロトラスト時代のセキュリティ新入門』