今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は1.7章:ゼロトラストとSASEのCheck問題です。
【Q1】ゼロトラストとは何か。
「全てのものは安全でない可能性がある」という考え方。
以下の7つの原則がある。
①すべてのデータソースと情報処理サービスをリソースとみなす
②ネットワークの場所に関係なくすべての通信が保護される
③組織の個々のリソースへのアクセスはセッションごとに許可される
④リソースへのアクセスは動的ポリシによって決定される
⑤組織が所有及び関連するすべての資産のセキュリティを監視・測定する
⑥すべてのリソースへの認証と認可は動的であり、アクセスが許可される前に厳密に実施される
⑦資産とネットワーク及び通信の状態に関する情報を可能な限り収集し、それを用いてセキュリティの改善を図る
【Q2】境界防御モデルとは何か。
組織の内部ネットワークを「トラスト」、組織外のインターネットなどは「アントラスト」と考え、その境界をファイアウォールやVPN機器などで防御するという考え方。
【Q3】ゼロトラストの実現方式について説明せよ。
ZTA(Zero Trust Architecture)では以下の3つの方式を挙げている。
①IDガバナンス拡張方式
クラウド上の認証プロキシがIDを一元管理する。ユーザがデータやアプリケーションにアクセスする際、認証プロキシを必ず経由させる構成とし、アクセス要求があるたびにIDや端末の状態を確認する。
②マイクロセグメンテーション方式
サービスやアプリケーションごとにネットワークセグメントを小さく分割し、セグメント間の通信をファイアウォールなどで確認する。
③ソフトウェア定義境界(SDP)方式
SDP(Software Defined Perimeter)コントローラがネットワークレベルで接続を管理する方式で、以下の流れで接続を行う。
1.接続元ユーザがSDPコントローラにアクセスする。
2.SDPコントローラが端末の状態やユーザの認証情報を確認する。
3.SDPコントローラが接続に必要な情報を送り、VPNトンネル確立を指示する。
4.接続元の端末と接続先のサーバがVPNトンネルを確立する。
【Q4】ZTNAとは何か。
Zero Trust Network Accessの略であり、米国ガードナーが提唱したコンセプト。
主にSDPによって実現されるゼロトラスト志向の接続方法やそのサービスを指す。
従来のVPNに代わるセキュアな接続方法として注目されている。
【Q5】SASEとは何か。
Secure Access Service Edgeの略であり、米国ガードナーが提唱したクラウド環境におけるネットワークセキュリティモデル。
クラウド環境において必要となる各種ネットワークサービスとセキュリティサービスを結合し、包括的なサービスとして提供することをコンセプトとしており、【Q6】にて回答するような多用の技術やサービスによって構成される。
【Q6】SASEを構成する主な技術やサービスについて説明せよ。
・SD-WAN(Software Defined Wide Area Network)
・SWG(Secure Web Gateway)
・FWaaS(Firewall as a Service)
・ZTNA(Zero Trust Network Access)
・RBI(Remote Browser Isolation)
・CASB(Cloud Access Security Broker)
・CSPM(Cloud Security Posture Management)
・DLP(Data Loss Prevention)
・UEBA(User and Entity Behavior Analytics)
それぞれの技術やサービスの説明は、今後略語ノックで取り上げます。
私が使っているのは2022年版のテキストですが、2023年版も出ています。