無料で使えるオープンソース「 ゼロトラスト実装 ツール 」まとめ6選として、
以下の概要を紹介しています。

1⃣セキュア分散仮想ネットワーク構築「Netmaker」
2⃣ゼロトラストIDベースアクセス「Boundary」
3⃣ID認識アクセスプロキシ「Pomerium」
4⃣Kubernetesアクセスマネージャー「Paralus」
5⃣データ改竄不可DB「immudb」
6⃣[Trusted Data Format]リファレンス実装「OpenTDF」

※「ゼロトラストセキュリティ実装」に関するセミナー資料(計36ページ)を無料で参照できます。

無料で使えるオープンソース「 ゼロトラスト実装 ツール 」まとめ6選

1⃣セキュア分散仮想ネットワーク構築「Netmaker」

概要

「Netmaker」は、「高速安全な分散仮想ネットワーク」を構築するためのオープンソース実装ツールです。

「WireGuardプロトコル」に基づくネットワークを作成することで、「マルチクラウド」から「Kubernetes」までの分散環境を統合できます。

「WireGuard」とは

「WireGuard」は、オープンソースVPNソリューションです。

「暗号化した仮想プライベートネットワーク(VPN)を実装する通信プロトコル」および「オープンソースVPNソフトウェア」を指します。

■ポイント
・最先端の暗号化
・低攻撃対象領域を目的として設計
・高速パフォーマンス
・非常にシンプルで使いやすい

→wireguard.com

特徴

■「高速動作」+「ハイパフォーマンス」

■仮想ネットワーク自動化
・データセンター
・クラウド
・エッジデバイス

■柔軟なネットワーク構成
・クロス環境シナリオをサポート
・Kubernetesクラスタを強化
・中小企業からグローバル企業まで拡張可能

■カスタマイズ性
・ピアツーピア
・サイトツーサイト
・Kubernetes
・リレー
・ゲートウェイ
・完全なVPNメッシュ
・ゼロトラストネットワーク

■セキュリティに焦点
・WireGuardによる最新暗号化
・ゼロトラストを念頭に置いて構築
・アクセス制御リスト
・セキュアネットワーキングのための主要業界標準準拠

オフィシャルサイト

→github.com　→gravitl/netmaker

→netmaker.io

2⃣ゼロトラストIDベースアクセス「Boundary」

概要

「Boundary」は、重要システムにアクセスするための安全な方法を提供するオープンソースソリューションです。

動的インフラストラクチャのIDベースアクセス管理を可能にします。

ファイアウォールとは異なり、アクセスごとの認証(承認)のチェックを実行するため、ネットワークレイヤーよりもはるかに高いレベルでホストへのマッピングが可能になります。

特徴

■認証と承認
・すでに使用している信頼できるIDプロバイダーで認証
・「きめ細かい論理的ロール」および「サービス」に基づいてアクセスを承認

■接続
・動的インフラストラクチャ管理
・サービスレジストリ統合
・ホストとサービスカタログを最新の状態に保持

■アクセス
・動的シークレットおよびジャストインタイムのクレデンシャルを使用
・クレデンシャルが漏洩するリスクを軽減
・クレデンシャルブローカリング自動化
・サービスやホストへ安全にアクセス可能

ユースケース

・動的環境のためのIDベースアクセス
・オーバーヘッドのないコンプライアンス
・完全に統合された秘密管理

オフィシャルサイト

→github.com　→hashicorp/boundary

→boundaryproject.io

3⃣ID認識アクセスプロキシ「Pomerium」

概要

「Pomerium」は、ID認識アクセスプロキシです。

「内部アプリケーションへの安全なアクセス」を可能にします。

アプリケーション自体に承認(認証)機能が組み込まれているかどうかに関係なく、アプリケーションにアクセス制御を追加するための標準化されたインターフェースを提供します。

「Pomeriumゲートウェイ」は、内部要求と外部要求の両方から、通常のVPNにアクセスするように使用できます。

特徴

■コンテキスト駆動型アクセス
・IDとコンテキストを使用
・信頼できないネットワークからでも安全なアクセスを保証

■任意のアプリにアクセス制御を追加
・任意のアプリ(サーバ)に認証(承認)機能を追加
・IT管理のための集中化パネルを提供

■あらゆる「プラットフォーム」および「アプリ」をサポート
・インフラストラクチャをサポート
・「クラウド」「ハイブリッド」「オンプレミス」のすべての環境に展開
・社内アプリやクラウドアプリなどのさまざまなアプリをサポート

■ほぼすべてのIDプロバイダーをサポート
・シングルサインオン認証(承認)を任意のアプリケーションに簡単に追加

ユースケース

・内部アプリケーションへのシングルサインオンゲートウェイ
・「コンテキスト」「ID」「デバイスID」に基づいて動的アクセスポリシーを適用
・アクセスログおよびテレメトリデータを集約
・VPN代替

オフィシャルサイト

→github.com　→pomerium/pomerium

→pomerium.com

4⃣Kubernetesアクセスマネージャー「Paralus」

概要

「Paralus」は、オールインワンの「Kubernetesアクセスマネージャー」です。

「監査されたアクセス制御」により、「Kubernetesインフラストラクチャに対する制御および監査」を実施できます。

許可されたユーザーは、kubectlエクスペリエンスを使用して、すべてのKubernetesクラスタにシームレスかつ安全にアクセスできます。

特徴

■IDプロバイダー統合
・ロールベースアクセス制御(RBAC：Role Based Access Control)
・SSO(シングルサインオン)プロバイダーのサポート
・OIDC(OpenID Connect)のサポート
・「GitHub」「Google」「Azure AD」「Okta」などへ接続

■Kubernetes構成管理(ユーザー管理)を一元管理
・「クラスタ」「プロジェクト」「名前空間」などにまたがるアクセス構成を管理
・クラスタレベルからユーザーレベルまでのリソース管理
・クラスタ単位Kubernetesアクセス制御の管理負担を軽減
・一連のクラスタアクセス制御を合理化統合　：「クラウド」「オンプレミス」「データセンター」

■デフォルトでゼロトラストセキュリティ
・ゼロトラストセキュリティ原則を適用してKubernetesを保護
・既存の「kubectlスクリプト」と「ワークフロー」を保持
・自動化RBAC(Role Based Access Control)
・アクセス許可の動的制御　：動的な権限取り消し
・「社内セキュリティポリシー」および「業界規制」に準拠
・セキュリティ侵害リスクを軽減
・ユーザーレベル監査ログ　：不正ユーザーを検出
・「アクティビティ」および「リソースアクセス」の自動詳細ログ　：リアルタイム追跡+履歴追跡

■その他
・Kubernetes対応のフィルタリング　：「クラスタ」「名前空間」「アクセス方法」
・kubeconfigs管理ツール「pctl」
・「Paralus API」による柔軟なワークフロー

オフィシャルサイト

→github.com　→paralus/paralus

→paralus.io

5⃣データ改竄不可DB「immudb」

概要

「immudb」は、「暗号化による証明機能+検証機能」が組み込まれたデータベースです。

「パフォーマンス」「スケーラビリティ」「汎用性」を念頭に置いて開発された台帳データベースであり、「キー値ストア」や「リレーショナル データベース」として動作します。

「データ変更は不可」という点を特徴としており、データ変更を追跡することで、履歴整合性が保護されます。

ユースケース

■トランザクションデータ格納
・ログデータ
・センサーデータ
・機密データ
・ソフトウェアビルドレシピ
・ルールベースデータ
・ブロックチェーン

■BLOB(Binary Large OBject)データ格納
・ビデオストリーム保護

特徴

■データ改竄不可DB
・格納データの変更(削除)は不可
・既存格納データに対して新しいバージョンの追加は可能
・一貫性があり検証可能

■高速動作
・ブロックチェーンとは異なり、毎秒数百万の書き込みを処理

■軽量動作
・「IoTデバイス」や「ノートPC」でも動作可能
・軽量サービスとしての使用
・ライブラリとしてアプリケーションに埋め込み

オフィシャルサイト

→github.com　→codenotary/immudb

→immudb.io

6⃣[Trusted Data Format]リファレンス実装「OpenTDF」

(参考)「TDF」とは

「TDF」とは、ゼロトラストセキュリティ対策を強化するための「オブジェクトエンコーディング仕様」です。

データオブジェクトラッパーとして、実質的にあらゆる種類の電子データを保護するための「データ暗号化仕様」や「エンドツーエンド暗号化セキュリティ仕様」を提供します。
→dni.gov　→「XML Data Encoding Specification for Trusted Data Format」

「TDF」は、機密性の高い「IC」(Intelligence Community)データを保護するために特別に開発され、「ODNI」(OFFICE of the DIRECTOR of NATIONAL INTELLIGENCE)によって、オープンスタンダードとして標準および仕様が管理されています。
→dni.gov

「OpenTDF」とは

「OpenTDF」は、「TDF」(Trusted Data Format)を使用して、「アプリケーション内においてネイティブでデータ保護機能を構築するためのツール」を開発者に提供するオープンソースプロジェクトです。

OpenTDFプロジェクトは、「標準」「ライブラリ」「サービス」のオープンセットであり、エコシステム全体でゼロトラスト保護を有効にして、「完全なデータ保護とアクセス制御」および「新規および既存のアプリケーション統合」をサポートします。

OpenTDFプロジェクトが提供する「クイックスタートガイド」「例」「ドキュメントリポジトリ」などを活用して、OpenTDFをアプリケーションに適切に実装することにより、ゼロトラストセキュリティを強化できます。

「OpenTDF」の特徴

■データ保護+データアクセス制御
・TDF標準を使用してクライアントとサービスを追加
・アプリケーション内で保護する必要があるデータに対して「TDF保護」+「データアクセス制御」を適用
・データアクセスが必要なユーザーとのデータ共有を可能にする
・属性ベースアクセス制御「ABAC」(Attribute Based Access Control)

■データライフサイクル管理
・暗号で保護された追加メタデータを付加
・データが移動する場所を問わず、その存続期間を通じてデータと共に存続する非常にきめ細かな「アクセス制御」
・データライフサイクル全体にわたってポリシー制御を保証

オフィシャルサイト

→github.com　→opentdf/opentdf

→opentdf.io

関連セミナー紹介

セミナータイトル

ゼロトラストセキュリティ実装・運用時に多発する課題を解決するには？
サイバー攻撃の予兆検知・特権アクセス管理から始める「ゼロトラストセキュリティ実装」を解説

開催日

2022/05/26(木)

セミナー資料①

資料タイトル

ZERO TRUST ARCHITECTURにおけるEXABEAM

資料ページ数

21ページ

資料イメージ

資料アジェンダ

■ゼロトラスト(NIST SP800-207)とExabeamの関連するポイント
・ゼロトラストアーキテクチャの3つの要素
・ゼロトラストを正しく取り入れるための原則
・ベストプラクティスの実現方法・ソリューション
・UEBAとExabeamとは

■Exabeam 次世代SIEMプラットフォームとは
・内部脅威を行動分析(UEBA)により特定
・ZTAにおけるExabeam UEBAの特徴
・Exabeamが提供するゼロトラストアーキテクチャの可視化
・複雑化するIT環境、脅威を効率的に運用するプラットフォームの必要性
・Exabeam CISO: SOCを立ち上げて 私が学んだこと

■具体的に進めるべく対策のステップ
・オートメーション段階１: スマートタイムライン
・オートメーション段階２: コンテキスト情報を補完
・オートメーション段階３: 詳しく調査をしなければ得られない情報の獲得
・オートメーション段階４:より正確なアラート
・オートメーション段階５:SOAR
・セキュリティのワークフローとライフサイクル

セミナー資料②

資料タイトル

ゼロトラストセキュリティー
～サイバー攻撃の予兆検知・特権アクセス管理から始める「ゼロトラストセキュリティー実装」～

資料ページ数

15ページ

資料イメージ

資料アジェンダ

■企業概要
・ガートナーからの評価
・CyberArkソリューション

■特権アクセス管理の現在
・多様性
・CyberArkアイデンティティー・セキュリティー

■ゼロトラスト
・特権アクセス管理
・予兆検知
・CyberArkアイデンティティー・セキュリティー

■まとめ
・お客様からのフィードバック

「セミナー資料ダウンロード」はこちらから(無料)

最後に

今後も毎日のように、多くのIT関連セミナーが開催されます。
ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください！

→マジセミTOPページ