ゼロトラスト

ゼロトラストとは、その名の通り「何も信頼しない」ことを前提にした情報セキュリティの考え方/概念のことを言います。従来の境界型セキュリティでは社内ネットワークを「安全」、社外を「危険」なものと捉えて境界にファイアウォールなどを設置し、外部からの攻撃や内部からの情報流出を防止しようとするものでした。一方、ゼロトラストでは社内外問わずすべてを信用できない領域とみなし、すべての通信を検知し認証を行います。

「データや情報資産など（リソース）へのアクセスがリクエストされたら、その都度リクエストを確認・検証し、安全性が認められた場合にのみアクセスを許可する」という方式を取るのが基本です。これにより、たとえネットワークが侵害されたとしても被害を最小限に抑えることが目指されます。また、すべてのデバイス、ユーザー、通信、ネットワークを監視し、ログの収集・分析を行うこともゼロトラストにおいて重要です。

ゼロトラストセキュリティを構成する重要要素としては、以下の5つが挙げられます。それぞれ、各種ツール/ソリューションを利用して大部分を自動化するのが理想的です。

①ID統制：各ユーザーのID（名前、メールアドレス、所属組織、職種といったユーザーの属性情報）を適切に管理し、認証・認可を行う。

＜関連ツール＞
IDaaS（Identity as a Service）：IDをクラウド上で管理するためのサービス。

②デバイス統制・保護：管理すべきデバイスの洗い出し・保護・監視を行い、権限を持たないデバイスが重要なデータにアクセスしてしまうのを防ぐ。

＜関連ツール＞
MDM（Mobile Device Management / モバイルデバイス管理）：スマートフォンやタブレットなどのモバイルデバイスを管理するためのソフトウェアやシステム。
EDR（Endpoint Detection and Response）：PCやスマートフォンなどのエンドポイント端末を監視し、脅威を検知した場合には迅速な対応を行ってくれるソフトウェア。

③ネットワークセキュリティ：社内外問わずすべての通信を監視・保護するとともに、組織が認識していないクラウドサービス（シャドーIT）への対策も講じる。

＜関連ツール＞
IAP（Identity Aware Proxy）：Webアプリケーションとユーザーの仲介役となるプロキシ。
SWG（Secure Web Gateway）：インターネットなど、外部へのアクセスを安全に行うためのクラウド型プロキシ。
CASB（Cloud Access Security Broker）：クラウド利用の可視化と制御を行うためのソリューション。

④データ漏洩防止：攻撃者や内部犯⾏者による重要情報やデータの持ち出しを防いだり、もしくは、持ち出されたとしてもデータを閲覧させないようにするための対策を行う。