最近、「ゼロトラスト ネットワーク」や「ゼロトラスト セキュリティ」という言葉をよく耳にしますが、この言葉の土台には「ゼロトラスト モデル」という考え方があるようです。
「ゼロトラスト モデル」とは、簡単に言ってしまうと「アクセスしてくるデバイスやユーザー、ネットワークそのものを信用しない」つまり「悪意を持ったアクセスが含まれている」という性悪説のような考え方です。
今までは社内からのアクセスは「従業員だから大丈夫だろう」、社外からのアクセスは「アクセスしてくる人は悪い人かも知れないので注意しよう」という、一定の境界線で安全、危険を分けていました。
しかし、(大変残念なことに)新型コロナウィルスが蔓延し、感染防止策としてリモートワークを取り入れる組織が急増しました。
組織外のローケーション(自宅)から組織内のリソース(会社のファイルなど)にアクセスするようになった昨今、本当にアクセス元のデバイスは安全なのか?悪意のあるアクセスではないのか?などリスクが増大し、もはや社内、社外というような境界線では計れない状況になりました。
そこで「全てを信頼しない」という「ゼロトラスト モデル」の考え方が必要になってきた訳です。
「ゼロトラスト モデル」は比較的新しい考え方で、きちっとした定義はまだありませんが、概ね、対処すべき事項は決まってきます。
(「ゼロトラスト モデル」を定義している情報もありますが、まだそれが世界的なベストプラクティスになっている訳ではないようです。)
弊社でも「ゼロトラスト モデル」をベースにクラウド自体に必要なセキュリティ機能の開発をしています。順次、製品、サービスに展開しており、自社利用も開始しています。実際の状況やその効果を今後、このブログで発信していければと思います。