▶ゼロトラストセキュリティとは何か

イノベーション、コンセプト、スキーム、リスペクト、フォーメーションなど、ネットの中にはカタカナ語が氾濫しています。その中に、 ゼロトラストという言葉があります。英語で書くとZero Trust、何も信用するな、という意味です。（高25期　廣瀬）

Googleは2012年にハッキングの被害に遭い、Gmailのパスワードが大量に盗まれるという事件が起きました。クラウドサービスを提供する企業にとっては致命的な失態です。そこでGoogleは、この事件を教訓にして全社をあげて知恵を絞ってゼロトラストというセキュリティ対策のコンセプトを編み出しました。
Googleの研究論文　BeyondCorp: A New Approach to Enterprise Security

ゼロトラストの説明に入る前に今までのセキュリティ対策についてお話しておきます。インターネットが始まって間もない2000年に起きた科学技術庁の Web ページの改ざん事件をご存知でしょうか。トイレの落書きのようなイタズラでしたが、その後、他省庁でも同様の事件が相次ぎ、社会問題化しました。日本では、この一連の改ざん事件がきっかけとなって企業や官庁へのファイアウォールの導入が進みました。

ファイアウォールとは防火壁のことで、インターネットからの不正なアクセスを遮断するための装置です。関所のようなもので、不審な通信はファイアウォールで遮断することで、内側の「社内」の安全を保ちます。

しかし、近年、標的型メールなど、ファイアウォールをすり抜けてしまう攻撃がでてきたり、コロナ禍の影響でテレワークが飛躍的に拡大したことで「社内」「社外」という境界を設けて対策するだけでは、安全を保てない時代に入ってきました。

そこで、注目されてきたのがGoogleが考えたゼロトラストセキュリティです。ゼロトラストは、ファイアウォールという装置だけを当てにしないで、社員が使っているパソコンを含めて社内の情報資産にアクセスしてくるものは、すべて信頼しないという考え方です。

ファイルサーバ上の顧客情報にアクセスするとき、アクセスしてきた人は信頼できるか、使っているパソコンは確認済みのものか、アクセスの時間がおかしくないか、変な挙動ししていないか、などを常時チェックして、不審な点が見つかったら即座にアクセスを遮断します。ハッキングを防ぐポリシーは、インターネットで収集したビッグデータを元にして動的に変更されていきます。

この手法は、社内のファイルサーバだけでなく、クラウド上に置かれたサーバにも適用します。その結果、社員は「社内」にいても、「社外」にいても安全性を保つことができるようになるのです。ゼロトラストの考え方を取り入れて対策することにより、クラウド使用時やテレワークの安全性を飛躍的に高めることができます。

私たちは、ネットを使って買い物をしたり、おしゃべりをしたり、会議をやったり、ビデオを観たりしています。ネットは、それがない生活は考えられないくらい浸透しています。この便利な生活をゼロトラストが支えています。インターネットという便利なサービスの裏側には、日々、ハッカーと戦っている縁の下の力持ちがいることを、たまには考えてみてください。