ゼロトラストとは

ゼロトラスト(Zero Trust)は、ネットワークセキュリティのアプローチの一つで、「何も信用しない」という原則に基づいた考え方です。このアプローチでは、ネットワークの内部にいるユーザーやデバイスであっても、すべてのアクセス要求が不信であると見なされ、確認・認証されるまでアクセスは許可されません。

従来のセキュリティ対策は、ネットワークを「内側」「外側」に分け、重要な情報資産やシステムはネットワークの内側に置くこと、外側との境界を守ることに主眼を置いていました。現在もセキュリティ対策として一般的に使われるファイアウォールなどがこれにあたります。

しかし情報技術の発展により、現在はクラウドサービスが普及しています。これにより、従来は「外側」とされていたインターネット上のクラウドサーバに、これまでは「内側」にあった重要情報などが置かれている状況が増えています。また世界的規模の感染症の影響から在宅勤務が浸透し、エンドポイントのセキュリティ対策も従来の考え方だけでは難しくなっています。

このように従来は明確に分かれていた「境界」が、社会情勢やIT技術の進化によって変化したことが、「ゼロトラスト」という考え方が発展した要因といえるでしょう。

ゼロトラストの考え方を用いたセキュリティソリューションモデルが従来のネットワークセキュリティ対策（境界型モデル）と異なるのは、ゼロトラストの概念「誰も・何も信頼しない」ことを前提にしている点になります。この考え方を実現するものとして、さまざまなソリューションがすでに活用されています。

・EDR（Endpoint Detection and Response）
・ワンタイムパスワードなどの認証強化システム
・IAM

一方で、企業におけるゼロトラストの実現には、技術的な課題や組織変革の必要性があります。

ゼロトラストの実現には、各ユーザーやデバイスの役割、アクセス権を明確に定義し、それに基づくポリシーを設定しなければなりません。具体的には、以下のとおりです。
・誰が、どのデバイスを用いて、どのデータにアクセスできるかを定義し認証する
・ネットワーク内外からのアクセスを全てリアルタイムで監視する

従業員への継続的なIT教育、情報連携のためのコミュニケーションも重要です。中長期的な計画を立て、体制整備を行うことが課題となります。