ゼロトラスト アーキテクチャの考察 – AWS

Amazon Web Services ブログ
AWS上でどのようにゼロトラストアーキテクチャを考えていくか

「IAM(Identity & Access Management)」がゼロトラスト では主要な基盤となる。Amazonでは、以下の部分で言及されていたが、もう少し具体的に掘り下げる必要がある。

”さらに情報漏洩(information disclosure)や改ざん(tampering)への防御を確保し、否認(repudiation)への耐性を確保するためには、暗号化と最小権限を実装することです。”

つまり、最小権限を実装については、ユーザーがどのアプリやリソースなどにアクセスできるか、ユーザーがそれぞれにどのレベルのアクセスができるか (管理者、編集者、閲覧者など) を指定するロールベースアクセス制御 (RBAC) に基づいて定義されたポリシーを介して適用する仕組みだ。

なお、今回用いられたRBACは比較的古いゼロトラスト の考え方で、近年はABAC(属性ベースのアクセス制御)を動的に適用する。
例えば、ユーザのアクセス元の情報やデバイスの状態、またユーザの過去の行動履歴からリスク算出しそれを属性として扱うことが可能なため、収集した属性情報を元に、アクセス権限を動的にかつ、リアルタイムに付与し、制御することで、ゼロトラストセキュリティの「常に確認」が実現できる。

このような、同じアクセス元、ユーザ、デバイスでもユーザの行動履歴からリスクを判断して、危険なアクセスを拒否するという仕組みによりリアルタイムかつ動的なアクセスコントロールが可能となる仕組みを、AWS上で実現すべきだと感じる。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 セキュリティコンサルタント、キャリア(個人事業主 PG→SE→PL→PM→ 会社員 ITコンサル 兼 情シス)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター