ゼロトラストとは何か？

ゼロトラストとは何か？

クラウドの普及とともに、「ゼロトラスト」という言葉を耳にする機会が増えてきました。なんとなく「何も信頼しない」スタイルのセキュリティ用語だというところまでは想像がつくものの、いざ「ゼロトラストとは何か？」「なぜゼロトラストが必要になったのか？」「従来のセキュリティと何が違うのか？」と聞かれると、そこまできちんと説明できる人はそれほど多くないのではないでしょうか。

そこで本記事では、ゼロトラストという考え方を、クラウドの変化と結びつけながら整理します。

ゼロトラストとは何か

ゼロトラストとは、「すべてのアクセスを信頼せず、毎回検証する」という考え方のセキュリティモデルです。

従来の情報セキュリティの考え方は、「社内ネットワークは安全」という考え方が前提にありました。それに対して、ゼロトラストでは、ユーザーやデバイス、アクセス元といった情報を都度確認し、そのアクセスが本当に正しいものかを判断します。

なぜゼロトラストが必要になったのか

この考え方が注目されるようになった背景には、クラウドの普及があります。

以前は、システムは社内に置かれるのが当たり前でした。リモートワークが普及する以前は、社員はオフィスのネットワークに接続し、その中で業務システムを利用していました。したがって、外部と内部は明確に分かれており、「内部は安全」という前提が成立していました。

しかし現在は、状況が大きく変わっています。

COVID-19の流行によりリモートワークが普及したことで、現在では自宅や外出先から業務システムにアクセスすることは当たり前となっています。スマートフォンや私物PCからの利用も増えてきました。さらに、SlackをはじめとするSaaSを日常的に使うことで、データやアプリケーション自体が社外に置かれるようになっています。

つまり、「内側」と「外側」という境界そのものが曖昧になったということです。

この状態で「社内は安全」という前提を維持するのは、もはや無理があります。そこで必要になるのが、「最初から何も信頼しない」というゼロトラストの考え方です。

境界防御と多層防御

従来のセキュリティは、境界防御と呼ばれるモデルに基づいていました。境界防御の考え方が最も分かりやすい例がファイアウォールです。社内ネットワークとインターネットの境界に置かれたファイアウォールが、門番のように外部からの不正な通信を遮断し、内部のシステムを守る役割を担っていました。その前提にあるのは、社外は危険、社内は安全という考え方です。

このモデルでは、「社内ネットワークの中に入れるかどうか」がセキュリティの大きな判断基準となっていました。つまり、一度マルウェアがこの門番の目をすり抜けて通過してしまえば、その後の行動は比較的自由に行えてしまう構造になっていました。

これは、明らかな弱点でした。

ここで、ファイアウォールのみを設置している企業が、標的型攻撃メールを受信した場合について考えてみましょう。まず、メールの受信者がそのメールをうっかり開封してしまったとします。もしここでファイアウォールが正常に機能しなかった場合、マルウェアは受信者の端末を乗っ取ってしまいます。端末が乗っ取られた後は、マルウェアの行動は「内部の正規アクセス」と区別がつきにくくなるため、そこから社内ネットワークに入り込み、社内の機密情報を盗み出したり、情報を破壊したりすることは容易になってしまいます。

この問題に対処するために広がったのが、多層防御（Defense in Depth）という考え方です。これは、ウイルス対策やアクセス制御など、複数の防御を組み合わせることでリスクを下げる考え方です。

ただし、多層防御であっても「内部は信頼する」という前提は残ります。

ゼロトラストは、その前提自体を捨て、内部であっても信頼せず、すべてのアクセスを検証対象とします。

ここが、従来のセキュリティとの決定的な違いです。

ゼロトラストが守るもの

ゼロトラストでは、「ネットワーク全体」を守るのではなく、「利用の単位」でアクセスを管理します。

ユーザー（ID）、デバイス、データ、アプリケーションといった要素を個別に評価し、「このアクセスは許可してよいか」をその都度判断します。

たとえば、普段と異なる場所からのログインであれば追加認証を求めたり、会社支給ではない端末からのアクセスを制限したりといった形で制御が行われます。

クラウド時代の前提としてのゼロトラスト

IaaS / PaaS / SaaSといったクラウドサービスでは、データもアプリケーションもインターネットの向こう側にあります。こうした環境では、「社内にあるから安全」という考え方は成立しません。

その意味で、ゼロトラストは単なるセキュリティ手法ではなく、クラウド時代の前提にもなっています。

まとめ

ゼロトラストとは、「すべてのアクセスを信頼せず、毎回検証する」というシンプルな考え方です。

リモートワークやクラウドの普及によって境界が曖昧になった結果、この考え方が必要になりました。IaaS / PaaS / SaaSが「どこまでクラウドに任せるか」を整理するものであるとすれば、ゼロトラストは「その環境をどう守るか」を考えるための枠組みです。

この2つを合わせて理解すると、クラウドの全体像がよりはっきりと見えてきます。

筆者：W.S.

ITガバナンスおよび市民開発推進を得意領域とするコンサルタント。中堅〜大手企業のIT統制設計・DX推進支援に従事。
個人開発者としてJavaScriptおよびFirebaseを用いたWebアプリ開発にも取り組み、開発現場と統治設計の両面からDXを研究している。
同志社大学大学院経済学研究科博士後期課程修了単位取得退学。

【無料相談】DXを"成果"につなげるために

こんなお悩みはありませんか？

• 「AI研修を導入したが、現場で使われていない」
• 「新たに導入したSaaSが生産性向上につながっている実感がない」
• 「社員に市民開発スキルをやらせてコミットメントを高めたい」

当社では、こうした課題を持つ企業様に向けて、現場業務に直結したDX定着支援・伴走型サポートなど、成果につながるDXコンサルティングおよびDX教育プログラムを提供しています。

🎁 今なら無料でご相談いただけます

30分コンサルティングを実施中です。

貴社のDX課題をその場で可視化し、最適な教育・導入プランをご提案します。

→ お申込みはこちら：https://www.qloba.com/forms/10862?_gl=1*1iahbda*_g...

レバレジーズ株式会社が運営するフリーランスHubにて、弊社の「イーストみんなのDX推進室」をご紹介いただきました。
記事は以下よりご覧ください。
・ご紹介記事：DXキャリアの可能性を広げる！現場で役立つ実践知とトレンド情報（https://freelance-hub.jp/column/detail/725/）
・フリーランスHub公式サイト：https://freelance-hub.jp
・フリーランスHub求人一覧：https://freelance-hub.jp/project/
フリーランスHubについて
『フリーランスの案件探しならフリーランスHub』
フリーランスHubは､全国のフリーランスエージェントの保有案件をまとめて掲載しているエンジニア・クリエイター向けのフリーランス案件・求人メディアです。