みなさん、こんにちわ。Think Your Security Talkroomです。今日も元気なロイさんに聞くゼロトラスト、基本理念のひとつである『認証と認可』をわかりやすく解説してもらいました。
Eps 7
視聴時間 15分8秒
出演 ロイ
ナビゲータ 大導寺
テーマ ゼロトラスト
Talkroomの内容を読みたい方は、以下をご覧ください!
Eps 7 のまとめ:
ゼロトラスト7つの基本理念に「認証・認可」が含まれます;
「すべてのリソースの認証・認可はアクセスが許可される前に動的に行われる。」
認証・認可って何でしょう??
漢字で書くと字面が似ているので、何が違うの?と思われがちですが明確に違います。
ゼロトラストでも使われますが、VPNやWebサイトといった身近なところでも知らず知らずのうちに使われています!
認証⇒あなたは誰ですか?と本人を特定し、なりすましではないことを見極めます。
認可⇒あなたはここまでオッケー、と許可を与えることです。
たとえば、国際線の飛行機に乗ることを想像してみてください。
渡航するためにパスポートで本人チェックをするのは認証です。
一方、航空券には行き先と座席がプリントされ行く場所が決まっている。これは認可です。
認証は、能動的な自分のアクションが伴うのでわかりやすい反面、認可は可動範囲を権威者に与えてもらう受動的なことに思えてわかりづらい。認証も認可も管理者から要求されますが、認証が自ら能動的に見せるアクションが伴うことと比べ、認可は知らないうちにに与えられていることが多いので、そういう意識になるのは当たり前かも。
さて、ゼロトラストで認証・認可を「動的に」行うとは、どういうことでしょうか?
よくある例としては、オンラインバンキングなどへアクセスする時、「いつもと違う環境からログインアクセスしています、本当にあなたですか?」と、IPアドレス、ブラウザ、PCといった環境がいつもと違うと、ニセモノ?と疑われることがあると思いますが、これが動的にチェックしているということで、何かの条件に対応して「本当ですか?もう一度やってください」というようにシステム側の対応が変わります。
企業の情報システムでいうと、アンチウイルスソフトがインストールされていないPCからは、特定の場所へアクセスできないといったように、『何か』がないとアクセスできない、その『何か』がどんどん変わります。
動的な条件としては、IPアドレス (ロケーション・国)、時間帯、といったことがあります。
厳しいと思われるかもしれませんが、ある程度アクセス条件を縛っておかないと、何かインシデントが起きたときにインシデントを起こした容疑者になってしまうことがあるので、最小権限を与えるようにしておけば疑われることもなく、インシデント時の切り分けもしやすいといえます。
これまでもファイル・フォルダへのアクセス制御といった認可はありましたが、ゼロトラストでは認可の条件付けの粒度がもっと細かくなったのでしょうか?
いいえ、認可の粒度の細かさはゼロトラストの前から存在しました。
では、ゼロトラストで新たに追加された要素は何でしょうか?
検証が十分でなかった認証の弱かった点が補強され、コンテキスト(背景情報)を読みこんで動的にコントロールする、すなわち、こういう時はここまで、こういうときはもっとアクセス許可を与えるといったきめ細かな認可ができるのがゼロトラストです。
ちなみに、認証・認可は英語にすると、Authentication (認証)、Authorization (認可)とややこしい・・英語圏の人でもややこしいです。。
少しでも認証・認可の違いを理解していただき、認証・認可を見極められるようになっていただければ幸いです!
最後までお読みいただきまして、ありがとうございます!
ゼロトラストのアプローチでセキュアなアクセスを実現したい方へ、Safous ゼロトラストアクセス/ZTAサービスの紹介サイトはこちらから!
SoundCloudで一気にエピソードを聞きたい方はこちらから!
Think Your Security Talkroomで取り上げてほしいテーマがありましたら、こちらへお寄せください。
留言