ゼロトラスト (ゼロトラスト) とは | 意味や読み方など丁寧でわかりやすい用語解説

ゼロトラスト (ゼロトラスト) の読み方

日本語表記

ゼロトラスト (ゼロトラスト)

英語表記

Zero Trust (ゼロトラスト)

ゼロトラスト (ゼロトラスト) の意味や用語解説

ゼロトラストとは、情報システムへのアクセスにおいて「何も信頼しない（Trust Nothing）」ことを前提とし、全ての通信を検証（Verify）することで情報資産を保護する、セキュリティの考え方である。従来のセキュリティモデルである「境界型防御」とは対極に位置する概念として注目されている。境界型防御は、社内ネットワークと社外のインターネットとの境界にファイアウォールなどの防御壁を設置し、「内側は安全、外側は危険」という前提に立っていた。しかし、クラウドサービスの利用拡大、リモートワークの普及、モバイルデバイスの業務利用などにより、社内と社外の境界は曖昧になった。また、マルウェア感染や内部不正によって、一度内部への侵入を許してしまうと、内部では比較的自由に活動できてしまうという境界型防御の弱点も浮き彫りになった。このような背景から、アクセス元が社内ネットワークの内外どちらであっても、全てのアクセスを信頼せず、その都度、正当性を厳格に検証する必要があるというゼロトラストの考え方が生まれた。 ゼロトラストの核心は「決して信頼せず、常に検証する（Never Trust, Always Verify）」という原則にある。これは、情報資産にアクセスしようとする全ての要求に対して、それが誰で、どのデバイスから、どのような権限でアクセスしようとしているのかを毎回確認することを意味する。具体的には、いくつかの重要な原則と技術要素によって構成される。まず基本となるのが「最小権限の原則」である。これは、ユーザーやデバイスに対し、業務を遂行するために必要最低限の権限のみを付与するという考え方だ。これにより、万が一アカウントが乗っ取られたり、マルウェアに感染したりした場合でも、被害を最小限に抑えることができる。次に「マイクロセグメンテーション」というアプローチがある。これは、ネットワークを機能やデータの重要度に応じて細かく分割し、セグメント間の通信を厳しく制御する手法である。これにより、攻撃者がシステム内に侵入したとしても、他のセグメントへ容易に移動（ラテラルムーブメント）することを防ぎ、被害の拡大を阻止する。 ゼロトラストを実現するためには、複数の技術要素を組み合わせて利用することが不可欠である。第一に、アイデンティティ（ID）を中心とした厳格な認証が求められる。IDとパスワードによる認証だけでは不十分であり、知識情報、所持情報、生体情報のうち二つ以上を組み合わせる多要素認証（MFA）の導入が必須となる。これにより、IDの詐称や不正利用のリスクを大幅に低減する。第二に、デバイスの信頼性の検証である。PCやスマートフォンといったアクセス元のデバイスが、組織のセキュリティポリシーを遵守しているか（OSやソフトウェアが最新か、セキュリティソフトが正常に稼働しているかなど）を常に監視し、安全性が確認されたデバイスからのみアクセスを許可する。これにはEDR（Endpoint Detection and Response）などの技術が活用される。第三に、全てのアクセス要求をコンテキストに基づいて動的に評価し、認可を行うことである。ユーザー、デバイスの状態、場所、時間、アクセス先のアプリケーションといった様々な状況（コンテキスト）をリアルタイムで分析し、リスクを評価した上で、アクセス許可の可否やアクセス権限のレベルを動的に決定する。この継続的な検証と動的な制御こそが、ゼロトラストセキュリティの中核をなす。ゼロトラストは特定の製品を導入すれば完了するものではなく、組織のセキュリティポリシーやシステム構成全体を見直しながら段階的に進めていく継続的な取り組み、すなわち「ジャーニー」として捉える必要がある。