ゼロトラスト
2025年9月25日
以前のコラムでも簡略ながらお伝えしたことがあるが、ゼロトラストという言葉を頻繁に見かける。中にはそれを会社名にいれている企業もある。ゼロトラストとはその名のとおり、決して何も信用しないという前提から始まった概念で、データ侵害もしくはその脅威が既に存在している可能性があると考える点が、従来の基本的には信頼し、ただし検証もするというセキュリティモデルに対する概念と異なる。実は初めてその言葉を聞いたときは、その発想の転換に驚いたことを覚えている。
ゼロトラストでは、リソースにアクセスしようとするすべてのユーザー、デバイス、アプリケーションが、アクセスを許可する前に認証と承認を受ける必要がある。ユーザーとデバイスにデフォルトで与えられる暗黙の信頼を排除し、リソースへのアクセス試行ごとに、厳格で継続的なID検証を要求し、必要な権限のみの付与による最小限の権限アクセスを実現し、データとシステムを保護するセキュリティフレームワークとなっている。
このフレームワークは、ローカルネットワーク、クラウド環境、ハイブリッドモデルが混在する可能性のある昨今のICT環境を保護するように設計されている。これにより、リスクの軽減およびセキュリティ体制の強化、さらにパンデミック以降、業務形態としてほぼ定着しつつあるリモートワークの環境からもシステムに安全にアクセスすることが可能となる。
ところで、サイバーセキュリティで有名なCrowdstrikeによると、ゼロトラストフレームワークの実装には、以下のような高度なテクノロジーの統合が必要となっている。
- リスクベースの多要素認証 (MFA): ユーザーとシステムのIDを、その時々のリスクプロファイルに基づいて検証する。
- ID保護: ユーザーとシステムのIDが保護され、一貫して検証されていることを保証する。
- 次世代エンドポイントセキュリティ: 最先端のセキュリティ対策でエンドポイントを保護し、不正アクセスや攻撃を防止する。
- クラウドワークロードテクノロジー: クラウド環境全体のセキュリティを維持し、ワークロードを侵害から保護する。
また、これらのテクノロジーに加えて、ゼロトラストでは、ユーザーがアプリケーションに接続する前に、データの暗号化、安全なEメール通信、資産とエンドポイントの状態の検証も不可欠であるとのことである。
このように、ゼロトラストのフレームワークを実装するには高度な技術の理解が必要なため、自社のIT環境を把握し、早い段階で信頼のおけるITパートナーと共に実装計画を立てることが、重要である。導入プロセスでは現状のネットワーク構成やアプリケーションの利用状況を詳細に分析し、段階的にゼロトラスト型セキュリティへと移行する戦略が求められる。加えて、従業員へのセキュリティ教育や運用フローの見直しも、成功の鍵となるだろう。