組織内外を問わず、すべての者・デバイスを一旦は「信用しない」ことから出発します。従来の境界防御では、組織の内部は安全と見なされがちでしたが、標的型攻撃などで内部に侵入された場合に対処が難しい点が問題視されました。

そこでゼロトラストでは、守るべき重要な資産(データ、システムなど)を特定し、その資産へのアクセスを最小限に抑えます。そしてアクセスする者の正当性を常に検証し、異常を監視して制御することで、侵害を防ぎます。一度アクセスを許可しても、その状態は維持されず、常に検証し続ける必要があります。

このようにゼロトラストは、従来の「内部は安全」という考え方を払拭し、常に警戒を怠らず検証し続けることで、サイバー攻撃への対策を徹底する戦略です。しかし、これを実現するには組織の根本的な変革が求められ、製品の導入だけでは不十分です。

• ゼロトラストは製品である: 実際には、ゼロトラストはセキュリティ対策の「戦略」であり、製品はその実現手段の一つに過ぎません。
• IDセキュリティ=ゼロトラスト: ID管理は重要ですが、ゼロトラストはアイデンティティだけでなく、アクセス状況や行動の監視・検証など、包括的なアプローチを必要とします。
• ゼロトラストは複雑である: 確かに導入には組織の変革が必要ですが、サイバー攻撃の高度化に対抗するためには不可欠な戦略です。

• 守るべき資産を明確にする: データ、システムなど、組織にとって重要な資産を特定します。
• 最小権限の原則: 資産へのアクセスは必要最小限に制限し、常に監視・検証・制御を行います。
• 常に検証: 一度アクセスを許可しても、その状態は維持されず、継続的に正当性を確認します。

従来の境界防御では、組織の内部は安全と見なされがちでしたが、標的型攻撃などにより内部に侵入されるリスクが高まっています。ゼロトラストは、内部・外部を問わず全てのアクセスを疑うことで、このような脅威に対抗することを目指しています。

Kindervag氏が提唱してから10年以上が経過し、ゼロトラストの重要性は世界中で認識されるようになりました。現在では政府レベルでもサイバーセキュリティ戦略として採用されつつあります。

ゼロトラストの概念は理解できたとしても、実際にどのように組織に適用すれば良いのか悩む方も多いでしょう。そこで、具体的な実践方法をいくつかご紹介します。

まずは、組織にとって重要な資産 (データ、システム、アプリケーションなど) を洗い出し、その重要度に応じて分類します。これにより、どの資産に重点的に保護対策を講じるべきか明確になります。

ネットワークを小さなセグメントに分割し、資産へのアクセス経路を制限します。これにより、万が一マルウェア感染や不正アクセスが発生した場合でも、被害の範囲を最小限に抑えることができます。

パスワードだけでなく、生体認証やワンタイムパスワードなど、複数の要素を組み合わせた認証方式を採用することで、なりすましや不正アクセスのリスクを低減します。

ネットワークやシステムのアクセスログを監視し、異常な挙動を検知したら迅速に対応します。AIや機械学習を活用したセキュリティ分析ツールも有効です。

ゼロトラストを実現するための製品は数多く存在します。ファイアウォール、ID管理システム、エンドポイントセキュリティなど、自組織のニーズに合った製品を選びましょう。

ゼロトラストは単なる技術的な対策ではなく、組織全体の意識改革が必要です。セキュリティに対する意識を高め、継続的な教育やトレーニングを実施することが重要です。

ゼロトラストへの移行は、一朝一夕にできるものではありません。段階的に進めていくことが大切です。

1. 現在のセキュリティ対策の課題やリスクを洗い出します。

1. ゼロトラストの導入目標やロードマップを策定します。

1. 一部の部門やシステムで試験的に導入し、効果を検証します。

1. パイロット導入の結果を踏まえ、徐々に適用範囲を拡大します。

1. 常にセキュリティ状況を監視し、改善を続けていきます。