ゼロトラストとは
社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方。
クラウドサービスの普及、モバイル端末の活用やテレワークによる働く環境の多様化によって、企業システムの内部と外部を隔てる「境界」そのものが曖昧になりつつあります。その結果、従来の社内・社外の境界でセキュリティ対策をする「境界型防御」では、情報漏洩やマルウェア感染などの脅威から情報資産を守ることが難しくなってきています。こうしたセキュリティリスクを解消するものとして、脚光浴びるようになったのが「ゼロトラストモデル」です。
Verify and Never Trust(決して信頼せず必ず確認せよ)
ゼロトラストの概念は決して新しいものではなく、2010年に米国の調査会社であるForrester Research社によって提唱されました。それまでは「社内は安全だが、外部は危険」という考えに基づき、社内ネットワークと社外ネットワークの境界線上にセキュリティ対策を施す「境界型防御」が主流でした。「境界型防御」が「Trust but Verify(信ぜよ、されど確認せよ)」であるのに対して、ゼロトラストは「Verify and Never Trust(決して信頼せず必ず確認せよ)」を前提としています。つまり、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ごうとします。
近年、内部からの情報漏洩が多発し、クラウドサービスの利用拡大に伴うセキュリティリスクの増大を危惧する声も高まっていました。ここに、新型コロナウイルス感染拡大防止に向けたテレワークの普及と、それに伴うセキュリティリスクの増加が、ゼロトラストへの関心に拍車をかけたと言えます。
ゼロトラスト実装の課題とメリット
ゼロトラストがカバーする領域は幅広く、いざ実装しようとしても、どこから着手してよいのか悩んでいる企業が多いのが実態です。また、ゼロトラストは「誰が・どのデバイスが、どのデータリソースに対してアクセスしうるかを常に認証・認可すること」「リアルタイムでモニタリングすること」「これに応じてアクセス制御を動的に行うこと」が求められるため、中長期的な観点で計画の実行、体制整備が必要になると考えられます。
一方で、ゼロトラストの移行によって期待できるメリットとしては、セキュリティの強化に加えて、クラウドサービスを積極的に活用した業務が推進され、社内外とのコラボレーションも加速するでしょう。結果、働き方や企業文化が変革することで、新しい価値を生み出しやすい組織に変容し、外部環境にも柔軟に対応するための能力である“Resiliency(レジリエンシー)”の向上も期待できるなど、ゼロトラストは、DXの時代にふさわしい考え方であるとも言えます。