CSA ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンス (2023.07.13)
こんにちは、丸山満彦です。
CSAが、ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンスを公表していますね。。。
・2023.07.13 Zero Trust Principles and Guidance for Identity and Access Management (IAM)
| Zero Trust Principles and Guidance for Identity and Access Management (IAM) | ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンス |
| dentity and the ability to consume information about that identity as well as other Zero Trust (ZT) signals (additional attributes about an identity), is one of the key principles of zero trust architecture. A ZT approach aims to reduce the success of cyber-attacks and data breaches through risk-based access requirements, that is, by requiring authentication and authorization prior to granting access to resources (data and/or systems). | デンティティと、その ID に関する情報および他のゼロトラスト(ZT)シグナル(ID に関する追加属性)を消費する能力は、ゼロトラスト・アーキテクチャの主要原則の 1 つである。ZT アプローチは、リスクベースのアクセス要件、つまりリソース(データおよび/またはシス テム)へのアクセスを許可する前に本人認証と認可を要求することによって、サイバー攻撃とデー タ侵害の成功を減らすことを目的としている。 |
| In order to meet this requirement, it is important to look at both existing and new identity, access management, and cloud solutions with a ZT lens. | この要件を満たすには、既存および新規のアイデンティティ、アクセス管理、クラウド・ソリューションの両方をZTのレンズで見ることが重要である。 |
| ZT is a technology-agnostic guidance framework to bring controls closer to the asset being protected (the protect surface). From an identity and access management perspective, this has the potential to significantly increase the richness of the risk-based decision about granting access and eliminate the granting of access based on the binary trust of a single access control method. | ZTは技術にとらわれないガイダンスのフレームワークであり、制御を保護対象の資産(防御面)に近づけるものである。IDおよびアクセスマネジメントの観点からは、これはアクセス許可に関するリスクベースの判断の豊かさを大幅に向上させ、単一のアクセス制御方法の二元的な信頼に基づくアクセス許可を排除する可能性を秘めている。 |
・[PDF]
目次...
| Abstract | 概要 |
| Target Audience | 対象読者 |
| Zero Trust Background and Drivers | ゼロ・トラストの背景と推進要因 |
| ZT Implementation Methodology | ZTの実施方法 |
| Scope | 適用範囲 |
| Introduction | 序文 |
| Identification of Entities and Attributes. | 事業体と属性の識別。 |
| Identity Proofing and Validation: | 身元確認と検証: |
| Signals for Decision. | 意思決定のためのシグナル |
| Authorization Based on Policy. | ポリシーに基づく認可。 |
| Dealing with Failed Policy Decision. | 失敗したポリシー決定への対処。 |
| Business Value. | ビジネス価値。 |
| Conclusion. | 結論。 |
| References. | 参考文献 |
| Foundational References | 基礎となる参考文献 |
・[PDF]
Comments