「ゼロトラスト」。どこかで聞いたような、聞かないような言葉ですね。実はこの言葉、数年前からIT業界ではかなり有名になっています。でも、一般の人は驚くほどこの言葉を知りません。「ゼロトラスト」は、サイバー攻撃に対する「セキュリティ」の考え方です。googleを始め、今では多くのIT企業が「ゼロトラスト」を採用しています。
　では、「ゼロトラスト」とは、どういう意味なのでしょうか。


■「ゼロトラスト」とは

　「ゼロトラスト」は英語で「ZeroTrust」。Trust（信頼）がZero（ゼロ）という意味で、すなわち「何も信頼しない」ということです。企業セキュリティに関する、革新的な大原則を示しています。
　じゃあ、何を信頼しないかというと、「企業のネットワークシステムに対しての、ユーザーのアクセス」です。
　これまでのセキュリティは、「境界型セキュリティ」と呼ばれていました。
　内部の社内ネットワークと外部（インターネット）に、ファイアウォールなどで境界を設け、遮断してしまおうという考えです。
　外部からは攻撃を受けるが、内部は安全。
　これが、LANやインターネットが生まれてから、長い間の基本的な考え方でした。今でも、多くの企業が、この考えに沿ったセキュリティ対策を行っています。
　
　けれど、今はスマホなどでネットワークが世界中に広がっている時代。新型コロナの時代を迎えて、在宅でのテレワーク作業も爆発的に増えてきました。
　また、インターネット経由でソフトウェアやデータベースなどをユーザーに使ってもらう「クラウド型サービス」も一般的になっています。
　こういう状況では、どこまでが内側で、どこからが外側なのかがはっきりしません。貴重な情報はクラウドに置かれ、外からスマホでアクセスできるのですから。
　自宅や外からでも、VPNを通じて社内ネットワークにアクセスすれば、一応のセキュリティは保たれます。しかし、ネットワークの脆弱性をつかれて侵入されれば、一巻の終わりです。
　たとえば、巧妙なフィッシングメールを社員に送信し、ダウンロードさせて実行させる「標的型攻撃」や、セキュリティの比較的弱い企業に侵入し、そこから取引先の企業に侵入を試みる「横断的侵害」など。最近では、サイバー攻撃も複雑さの度合いを急激に上げています。
　そこで、内と外を区別せず、すべてのアクセスユーザーや機器を疑ってかかる、「ゼロトラスト」の考え方が生まれたのです。

■「ゼロトラスト」の概要

　ゼロトラストは、2010年にフォレスター・リサーチ社が提案したセキュリティモデルです。このモデルに沿って、Googleが社内のネットワークのゼロトラスト化を進め、2014年に社内ネットワークをすべてインターネットに移行してVPNを廃止したと発表しました。
　最先端の企業であるgoogleが採用したことで、ゼロトラストは注目を集め、セキュリティ分野での世界的な流れとなりました。
　ゼロトラストでは、2018年にフォレスター社によって作られたフレームワークが知られています。
一例を紹介すると、
●IAM（Identity and Access Management）・・・許可されたユーザーのみが社内のアプリケーションや情報にアクセスできる認証を提供する。
●EPP（Endpoint Protection Platform）・・・システムの端末（エンドポイント）で、脅威が侵入する前に防御する。
●EDR（Endpoint Detection and Response）・・・EPPで防御しきれない脅威を、侵入した後に監視して迅速な対応を行う。
●MDM/UEM（Mobile Device / Unified Endpoint Management）・・・情報セキュリティ管理などに適した携帯端末の管理を行えるようにする。
●DLP（Data Loss Prevention）・・・機密情報へのアクセスや操作を監視することで漏えいを防止する。
●SWG（Secure Web Gateway）・・・社内・社外にあるデバイスから、安全なインターネットアクセスができるようにする。
●CASB（Cloud Access Security Broker）・・・クラウドサービスの利用を監視し、適切なセキュリティ対策を行う。
●SIEM（Security Information and Event Management）・・・セキュリティやネットワーク機器などからログを収集・分析して自動的に問題を発見する。

　他にもありますが、以上のような考え方からなっています。

■「ゼロトラスト」の実際

　でも、上記のようなフレームワークだけでは、何をやっているか分かりませんね。
　「ゼロトラスト」の技術には、従来からあるパスワード認証だけでなく、地理情報や生体情報と組み合わせた「多要素認証」やワンタイムパスワード（一定時間ごとに発行され、1回使えるだけのパスワード）の利用、生体認証など。
　また、ネットワークシステムでは、ログの自動分析によりサイバー攻撃の素早い検知を実現したり、LANの内部を細かく分割（セグメント化）し、それぞれのセグメントに許可したユーザーのみしか入れなくして侵入を困難にする「ネットワーク・セグメンテーション」などが実際に実現されています。
　これ以外にも多数の技術が開発されています。
　ただ、「ゼロトラスト」の概念は理解されたといっても、実現は並大抵のことではありません。ファイアウォールに代表される境界型セキュリティを一度丸裸にして、一から作り直すわけですから。
　Googleでも採用から実施までに10年かかったと言われる「ゼロトラスト」。大変ですが、企業セキュリティをより高度にする上で、見過ごせないキーワードです。