国家情報セキュリティ研究院(NICS)が2023年(民国112年)に発表した「政府ゼロトラスト・アーキテクチャ説明書」によると、従来のネットワークセキュリティの概念は境界(ペリメータ)に基づく防御であり、境界内のアクセスはすべて信頼できるという前提に立っていました。しかし実際には、複雑化する利用シナリオやネットワーク環境に伴い、本来信頼されているはずの境界内部から多くの攻撃が発生しており、それが効果的な境界を構築することを困難にする要因にもなっています。
2020年に米国国立標準技術研究所(NIST)が正式に発行した標準文書「NIST SP 800-207」に基づき、信頼されていない人物やデバイスがリソースにアクセスする際は、すべてアクセス検証プロセスを経る必要があります。

ZTAコア論理コンポーネント構成図(画像出所:国家情報セキュリティ研究院 ゼロトラスト・アーキテクチャ説明書_V2.0_1120616)

政府ゼロトラスト・アーキテクチャ説明書(画像出所:国家情報セキュリティ研究院 ゼロトラスト・アーキテクチャ説明書_V2.0_1120616)
従来の現行アーキテクチャ vs ゼロトラスト・アーキテクチャ

UPAS ZTAゼロトラスト・ソリューションの種類
UPASは「ネットワークアクセス・ゼロトラスト」および「アプリケーションシステムアクセス・ゼロトラスト」に対応しています。デバイスの信頼プラットフォームモジュール(TPM)に基づくデバイス認証に加え、デバイスの健康状態スコア(健全性スコア)に応じた信頼推論を行います。ゼロトラストの3つの段階をワンストップで統合し、ゼロトラスト・セキュリティアーキテクチャを全方位で実現(落地)します。

UPAS ゼロトラスト3段階ワンストップ統合ソリューション
1. 身元認証 / 身分鑑別(UPASは複数のベンダーと連携)
多要素認証(MFA):FIDO多要素認証メカニズムなどを利用し、物理セキュリティキー(USBトークン)やスマホアプリを用いてパスワードレスログイン(指紋認証、SMSなど)を行います。
2. デバイス認証 / 設備鑑別(UPASが対応)
ソフトウェア証明書または信頼プラットフォームモジュール(TPM)の公開鍵暗号基盤による認証プロトコルを実行します。許可されたネットワーク接続信頼認証と組み合わせることで、ユーザーのエンドポイントデバイスが組織の管理下にあるデバイスであることを確認した上で、社内ネットワークへのログインやシステムの実行を許可します。さらに、健康状態の監視と管理を含むデバイス認証管理を継続的に行い、デバイスの健全性に応じてデバイス健康信頼レベルを随時更新します。
3. 信頼推論(UPASが対応)
身元認証結果、デバイス認証結果、デバイス健康信頼レベル、およびユーザーの利用コンテキストなどに基づき、デバイスの健康状態スコア(健全性スコア)を継続的に検証し、ネットワークアクセス権限を動的に調整します。信頼推論を満たしたデバイスのみがシステムへのアクセスを許可され、規定の時間経過に伴いデバイス健康信頼スコアが動的に調整されます。
ゼロトラスト・アーキテクチャの基盤の上に構築されたUPASは、5大セキュリティソリューションと20の拡張機能モジュールを提供しています。以下は「DAMデバイス認証モジュール」と「TIM信頼推論モジュール」の機能説明です。
エンドポイントデバイスに導入(デプロイ)されたエージェント(Agent)を介して、デバイスのソフトウェアおよびハードウェアの保護レベルを検査できます。デバイスのオンライン時に接続デバイスが信頼できるものであるかを検証するだけでなく、リソースアクセス環境にも応用可能です。身元認証ベンダーとの統合により、全方位的な安全防護措置を提供します。さらに、UPASのNACソリューションは「100%の資産棚卸し(インベントリ)」という強みを持っており、デバイス認証を行うデバイスへのエージェント導入が正常であることを保証し、導入率を向上させます。

UPAS:DAM デバイス認証モジュール
TIM信頼推論モジュールは、デバイス情報(OS、ウイルス対策ソフト、インストール済みソフトウェア、潜在的なリスク・脆弱性など)を棚卸し(インベントリ)することで、デバイスの安全性評価の根拠とします。リソースアクセス時の信頼スコア評価基準としてデバイスのセキュリティデータを収集し、決定コントローラー(ポリシー決定ポイント)がアクセス結果を判定します。また、UPAS ZTAは「リスクデバイス・ダッシュボード」を備えており、デバイスの健康状態をグラフィカルに表示し、24時間365日のリアルタイム監視を実現します。

UPAS:TIM 信頼推論モジュール
UPAS ZTAは、複数の身元認証ベンダーのシステムに対応しています。デバイスが社内ネットワークに接続する際、包括的な資産棚卸し(インベントリ)と健康状態チェックを行い、不正デバイスの接続を効果的に遮断して、完全なゼロトラスト・セキュリティ防護網を構築します。UPAS ZTAの主な強みは以下の通りです。
• 特許取得済みのNACネットワーク遮断技術
• 100%の資産棚卸し: デバイスリストを完全に可視化
• 未導入デバイスの検出: エージェント(Agent)がインストールされていないデバイスを特定
• 健康情報の収集: デバイスの健全性に関する情報を収集
• マルチベンダー対応: 複数の身元認証ベンダーのシステムをサポート
• デバイス認証機能: デバイスの識別・認証に対応
• 信頼推論機能: デバイスの継続的な信頼推論(推論評価)に対応
• 包括的なゼロトラスト: ネットワークアクセスおよびアプリケーションアクセスの両方に対応
詳細につきましては、「プロジェクト相談」または「企業向け無料トライアル申請」よりお気軽にお問い合わせください。