ゼロトラストとは？

ここ数年、「ゼロトラスト」という言葉が新しいセキュリティのあり方として広がりました。2022年にはデジタル庁より「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」や「ゼロトラストアーキテクチャ適用方針」が公表されるなど、国を挙げてゼロトラストへの取り組みが進められようとしています。

「ゼロトラスト」の意味については、『ゼロトラスト移行のすゝめ（独立行政法人情報処理推進機構（IPA）2022年）』では次のようにまとめています。

このように「信用」する対象がすでに境界内部にはないことが大きな特徴ですが、『ゼロトラスト導入指南書（IPA 2021年）』ではさらに次のように記載しています。

また、似た言葉である「ゼロトラスト」と「ゼロトラストアーキテクチャ」について『ゼロトラストアーキテクチャ適用方針（デジタル庁 2022年）』内では、次のように定義されています。

※ 『ゼロトラストアーキテクチャ適用方針』 （デジタル庁 2022年）より引用

いずれの資料も、これからのゼロトラストを考える上で基本的な内容をまとめていますので、ゼロトラストに取り組みたい情報システム担当の方はぜひ、参考にしてください。ただし、『ゼロトラスト移行のすゝめ』では「ゼロトラストはこれといった正解がある概念ではない」とも述べられています。ゼロトラストについては、今後も変化する社会やITのあり方に合わせて考える必要があるでしょう。

ゼロトラストが注目を集める背景

ゼロトラストが広がっている背景としては、近年のリモートワークの普及、DX推進、クラウド利用拡大、デバイスの多様化など、ITの利用スタイルの変化にともない境界防御モデルの限界が指摘されています。つまり、場所を問わない働き方やシステムのクラウド化などにより、これまでのファイアウォールやアンチウイルスで防御することで社内では安全を確保する境界型防御のセキュリティ対策では、高度化・巧妙化した最新のサイバー攻撃からは対策しきれないということが言えます。

しかしこれは、境界型防御よりゼロトラストが優れているというのではなく、両者を適材適所に組み合わせながら実施することで、セキュリティ対策が強化されると考えられます。その両者の考え方の違いをIPAの『ゼロトラスト導入指南書（2021年6月）』では次のように整理しています。これまでの境界型防御を活かしながら、新たな時代のセキュリティ対策を考えていくことが必要でしょう。

※ 『ゼロトラスト導入指南書』 （IPA 2021年）より引用

ゼロトラストの構成要素としてはいくつかの考え方がありますが、『ゼロトラスト移行のすゝめ』では、「ID 統制」、「デバイス統制・保護」、「ネットワークセキュリティ」、「データ漏洩防⽌」、「ログの収集・分析」とした上で、「ゼロトラストの概念を実装するにあたり、最も重要と⾔えるのが ID 管理である」としています。そこで本項では、このID管理についてまとめます。

ID管理が重要である理由として『ゼロトラスト移行のすゝめ』では、次のように述べられています。

つまり、アクセスする都度、認証・認可を行うためにはID管理が重要であるとしています。これが昨今、「IDが新たな境界」と呼ばれる理由の1つでしょう。

しかし一方で、クラウドサービス利用拡大にともないID管理担当者の負荷が増大してしまうという課題が生じています。そのため、ID（認証・認可情報）の一元管理、シングルサインオン（SSO）、アクセスコントロールを行うことができるID管理製品の利用は不可欠と言えます。この時、ID管理をスタートしやすく、運用もしやすいとして注目されているのが、クラウド型の統合ID管理サービスであるIDaaSです。DX推進やクラウド化が進む中、ID管理もクラウド化することで、効率的なID管理ができると期待されています。

今回は、注目を集めるゼロトラストとIDaaSの関係について紹介しました。政府もゼロトラスト適用を進める中、今後もますますゼロトラストへの関心が高まっていきそうです。また、リモートワークが普及する現在、ゼロトラストとID管理について詳しくわかる資料を用意しましたので、ぜひこちらより関連資料をダウンロードしてみてください。