ゼロトラストセキュリティとは

ゼロトラストという考え方は、2010年に米国の調査会社であるフォレスター・リサーチ（Forrester Research）のジョン・キンダーバーグ氏（John Kindervag）が提唱した概念です。

従来のネットワークセキュリティーにおいては、社内外の境界線の外側から内側を守るという発想でした。ところが近年は、クラウドサービスを利用してデータ資産を外部に保管したり、モバイルデバイスであらゆるところからネットワークに接続したりするようになりました。また、今では社内からのアクセスだからといって無条件に信頼するわけにもいきません。

そこで、ユーザーもデバイスもあらゆるものを性悪説のように信頼せず、全てのトラフィックを検証するゼロトラストという考え方が登場しました。

ゼロトラストとは概念であるため、実装に必ずしも新しい技術が必要ではなく、既存の技術の高度化と組み合わせでも実現可能です。たとえばユーザーIDとパスワードでログインされた場合、同時にMACアドレスが登録済みかどうか確認するなどのアプローチです。その上で、安全なユーザーの挙動を機械学習などで学習させていれば、挙動不審なユーザーをブロックすることができます。たとえば通常ならアクセスされない時間帯（深夜2時～3時など）に、15分おきにアクセスしてくる不審なユーザーに対しては、2段階認証を要求するなどの仕組みも考えられます。

ペリメタモデルからゼロトラストへ

ゼロトラスト以前は、境界防御型とも言えるペリメタモデルのセキュリティーが主流でした。ペリメタ（perimeter）とは境界線を表します。つまり、外部の脅威から内側を守る、内部のネットワークを信用するという考え方です。

これはケースにもより、依然として有効な施策ですが、現代では、特定のユーザーやデバイスを信用して境界線で確認するというペリメタモデルから、何者も信用せずに全て確認するというゼロトラストへの発想の転換が求められているのも確かです。働き方改革に合ったセキュリティーを確立してはじめて、データ資産をより効率的に活用したり、ユーザーがあらゆる時間と場所からアクセスしたり、企業間のコラボレーションやAPIによるサービスの連携を安全に進めることができるのです。

このようなゼロトラストセキュリティを導入した例でも有名なのがGoogleのGoogle BeyondCorp※と呼ばれるプロジェクトです。Google BeyondCorpとは、Googleが2011年から実装をめざしたゼロトラストセキュリティモデルで、従業員や協力先などのユーザーが、いわゆる「信頼できないネットワーク」経由でも業務を遂行できる環境を構築しました。

※（BeyondCorp - 企業セキュリティ | Google Cloud）

ゼロトラストセキュリティと両翼になるインフォメーション・ガバナンス

Google BeyondCorpが成功した背景には、ユーザーやデバイスが、アクセス先であるデータ資産に対してどのようなアクセス権を持っているのかを常に最新状態で管理できる仕組みを持っていたことがあります。このような仕組みを持つことはインフォメーション・ガバナンスもしくは情報ガバナンスでも有効です。

企業におけるデータ資産が急激に膨張している現在、インフォメーション・ガバナンスが実施されていなければ、変化するビジネス上の各種規制の遵守や訴訟時の対応が困難になっているという現実もあります。

ゼロトラストセキュリティが企業を成長させる

企業がゼロトラストセキュリティをめざすことで、柔軟な働き方をより”安全”に提供できるようになります。加えて、インフォメーション・ガバナンスが徹底されることで、現代社会で資産となった”情報”を取り扱う際のリスクを低減することができ、製品・サービスの開発を促進するデータ資産の有効活用に”安全”に取り組むことができます。

これらのことから、ゼロトラストセキュリティは、今後あらゆる企業において、重視すべき概念だと言えます。

• ※ Google および Google BeyondCorp は、Google LLCの登録商標です。
• ※ 記載されている社名、商品名などは、各社の商標または登録商標である場合があります。

【 制作／ブレイン 】

2019/12/24