ゼロトラストとは何か
ゼロトラスト (Zero Trust) とは、「何も信頼せず、常に検証する」という原則に基づくセキュリティモデルです。従来の境界型セキュリティが「社内ネットワークは安全、外部は危険」という前提に立っていたのに対し、ゼロトラストはネットワークの内外を問わず、すべてのアクセスを検証対象とします。
この概念は 2010 年に Forrester Research のアナリストによって提唱されました。クラウドサービスの普及、リモートワークの拡大、そしてサイバー攻撃の高度化を背景に、現在では多くの組織がゼロトラストモデルへの移行を進めています。
従来の境界型防御の限界
従来のセキュリティモデルは、城壁と堀に例えられます。ファイアウォールという城壁で社内ネットワークを囲み、外部からの侵入を防ぐ構造です。しかし、このモデルには根本的な問題があります。
- 一度城壁の内側に入った攻撃者は、自由に動き回れる (ラテラルムーブメント)
- クラウドサービスの利用により、守るべき境界が曖昧になった
- リモートワークの普及で、社内ネットワークの外から業務を行うことが常態化した
- 内部犯行や、正規アカウントの乗っ取りに対して脆弱である
ゼロトラストの基本原則
常に検証する
すべてのアクセス要求に対して、ユーザーの身元、デバイスの状態、アクセス先のリソース、アクセスの文脈 (時間帯、場所、行動パターン) を総合的に評価します。
最小権限の原則
ユーザーやデバイスには、業務に必要な最小限のアクセス権限のみを付与します。不要な権限は与えず、必要がなくなった権限は速やかに取り消します。
侵害を前提とする
ネットワーク内にすでに攻撃者が存在する可能性を前提に設計します。通信の暗号化、マイクロセグメンテーション、リアルタイムの監視によって、侵害が発生しても被害を最小限に抑えます。
個人レベルで実践するゼロトラスト的思考
ゼロトラストは企業向けのセキュリティモデルですが、その考え方は個人のセキュリティ対策にも応用できます。
すべてのメッセージを検証する
知人からのメールやメッセージであっても、不審なリンクや添付ファイルが含まれていれば疑ってください。アカウントが乗っ取られている可能性があります。ソーシャルエンジニアリングの手口を知ることが、検証の第一歩です。
アクセス権限を最小限にする
アプリに付与する権限は必要最小限にとどめてください。スマートフォンのプライバシー設定を見直し、不要な権限を取り消しましょう。
多層防御を実践する
単一の対策に依存せず、複数の防御層を組み合わせてください。強力なパスワード + 二要素認証 + VPN のように、複数の対策を重ねることで、一つが突破されても他の層が防御します。
定期的に見直す
セキュリティ設定は一度行えば終わりではありません。使わなくなったアカウントの削除、パスワードの更新、アプリの権限見直しを定期的に行いましょう。