ニュースや新聞などで見るけれど、よくわからない ITに関連するキーワードをピックアップしてご紹介するIT関連ワードシリーズ。第七回は 、「 ゼロトラスト」についてお話します。

キャリアマップ編集部  文／ITジャーナリスト・ライター 岩元 直久

「ゼロトラスト」とは2010年に米国企業が提唱した考え方で 、ITセキュリティの新たなアプローチ方法です。ちなみにこれまで皆さんはゼロトラストやゼロトラストセキュリティといった言葉について、見聞きしたことはありますか。

本題の「ゼロトラスト」に触れる前に、 情報システムやネットワークのセキュリティについて少し考えてみましょう。情報システムやネットワー クには、いわゆるコンピューターウイルスがバラまかれたり、犯罪集団が企業のネットワークに侵入したりといった、サイバー攻撃が存在してい ます。インターネットが当たり前の存在になった今では、インターネットを介したサイバー攻撃がとても多く観測されています。スマートフォン もパソコンも、企業のさまざまな情報システムも、単体で使うことはほとんどありません。ネットワークに接続して価値が生み出されるだけにネットワークからのサイバー攻撃の影響も受けやすいのです。

そうした攻撃から情報システムやネットワークを守るために、セキュリティ対策として多くの方法が使われています。例えば、スマートフォンやパソコンなどの「デバイス」を守るセキュリティ対策として、ウイルス対策ソフト（アプリ）があります。デバイスに悪意あるソフトやアプリなどが侵入しようとしたらそれを検知してブロックしたり無効化したりします。

学校や会社など、組織内でスマートフォンやパソコンを接続するネットワークがある場合は、組織内の「ネットワーク」を守るためにファイアウ ォールを構築します。ファイアウォールとは防火壁の意味で、インターネットなど外部のネットワークと組織内のネットワークの間に立てて、内 部に外部の影響を持ち込まないようにするのです。季節が季節なら「鬼は外、福は内」といったイメージでしょうか。外の鬼は内部には入れず、 内部は福の環境なので安心して利用できるというわけです。中と外で境界を設けることから「境界型セキュリティ」と呼びます。

こうした考え方は、これまでのセキュリティ対策の中心的なものでした。学校や会社の中をしっかり守れば、安全が保たれるはずだったのです。 ところが世の中ではクラウドサービスが普及しました。GmailやMicrosoft365などを使っているとわかるかもしれませんが、情報は学校や会社の外のクラウドに蓄積されていますね。そして世の中には新型コロナウイルスが広がり、学校や会社に出掛けることさえできなくなりました。 こうした環境の変化はセキュリティ対策にも大きな変化を求めてきました。

なぜなら、「学校や会社の中は安全」で「外部は危険かもしれない」という考え方が通用しなくなったからです。クラウドの情報は外部にあります。生徒や学生は家庭からオンライン授業を受けていて、社会人も在宅勤務になりネットワーク越しに仕事をしています。そうなったとき、「中は安全」で「外は危険」という物理的な場所を起点にするセキュリティの考え方が成り立たなくなったのです。

ネットバンキングにログインする際にワンタイムパスワードを利用するようになった。

ようやくゼロトラストの話に近づいてきました。ゼロトラストとは、そのまま読むと「信頼がゼロ」といった意味になりますね。セキュリテ ィ 対策で、信頼がゼロとはちょっと驚きです。どういうことなのでしょうか。

先述した通り、従来のセキュリティ対策の考え方は、場所やデバイスといった物理的な状況を「信頼」の根拠にしていました。学校の中のネット ワークにつながっているデバイスは安全といった信頼の考え方です。しかし、オンライン授業や在宅勤務が広がると、学校や会社の外にも正しい ユーザーがいます。家からは学校や会社の資料にアクセスできないのでは、困ってしまいます 。そこで、場所やデバイスなどをいったんすべて「 信頼しない」ことにして、利用するあなたを利用するたびにきちんと本人確認することで正しいユーザーだけに接続を許す考え方が効果的です。 これがゼロトラストの基本的な考え方です。

ゼロトラストの考え方を使ったゼロトラストセキュリティでは、例えば次のような形で本人確認や安全確認をします。1つは、複数の認証を組み合わせることです。ID/パスワードの認証はあっても、このセットが流出すれば誰でもアクセス可能になりますよね。そこで、ID/パスワードのセットと、利用するデバイスの情報を組み合わせれば、第三者はアクセスできなくなります。 アクセスする際に、自分のスマートフォンに一回限り のワンタイムパスワードが送られてきて、その数字を入力して初めて接続が許可されるといった方法もあります。

会社などでセキュリティを重視する場合にはより厳しいセキュリティ対策をすることもあります。その1つが、ふるまいによるアクセス制限の技術です。第三者がID/パスワードを知った上で、社内にある正規のパソコンをウイルスなどで遠隔制御できるようにした場合一般的な認証ではすり抜けられてしまいます。しかし、「業務時間外の夜中のアクセス」「通常は閲覧しないファイルのコピー」などのような異常なふるまいを検知した場合、アクセスを遮断すればセキュリティレベルを高められます。セキュリティ対策システムによっては、利用者のデバイス操作の癖などをAIが学習して、第三者が同じID/パスワードを入力しても本人ではないと判断することもできるのです。学生さんが代返しても、先生は見抜いてしまうというようなセキュリティですね。

怪しいSMSが来たら、慌てず返信せずにじっくりと確認を。

ゼロトラストやゼロトラストセキュリティの概要は、少しつかんでもらえたでしょうか。物理的な場所やデバイスといった静的な情報で判断するのではなく、情報システムやネットワークにアクセスする度に動的に本人認証をしてアクセスの権限を与える。そんな仕組みだと覚えておくといいでしょう。

ゼロトラストの考え方は、さまざまなところで使われるようになってきています。リモートワークが主流になった企業では導入が進んでいますし 、国もデジタル庁が政府情報システムについてゼロトラストアーキテクチャの適用方針を示しています。今後、ゼロトラストの考え方を採用した情報システムやセキュリティ対策は広がっていくでしょう。

学生の皆さんにとって、セキュリティ対策は「怪しいSMS（ショートメッセージサービス）に気をつけること」や「パスワードを変えるのは面倒」といったイメージかもしれません。しかし、これから社会に出ていくと 、ITにかかわる人はとても多くなり、そこではセキュリティ対策をしっかりすることが求められます。エンジニアの道に進む人に限らず、情報システムを利用するユーザーとしても 、セキュリティ対策やゼロトラ ストについて知っていることは大切です。そして、エンジニアとして働く人にとっては、セキュリティ対策は避けては通れない技術分野です 。政 府情報システムや自治体がゼロトラストアーキテクチャを適用するようになり、企業もゼロトラストセキュリティをさらに導入するようになると、セキュリティ分野の人材が今よりも多く求められるようになるからです。ユーザーとしても、エンジニアとしても、ゼロトラストをはじめと したセキュリティの知識を身につけておくと、いずれ社会に出たときに役に立つことは間違いないでしょう。