誤解を正し、8つのポイントから真のゼロトラスト導入を考える

画像提供：マイナビニュース

ゼロトラストの普及が世界的に進んでいます。日本ではデジタル庁が「ゼロトラストアーキテクチャ適用方針」を公表し、米国では米国防総省が「Department of Defense Zero Trust Reference Architecture」を発表するなど、政府機関も着実に歩みを進めています。

2024年3月に経済産業省の宇宙産業室が公表した「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」では、米国防総省が衛星システムなど宇宙分野でもゼロトラストへの取り組みを推進していると指摘しました。経済産業省は、日本も同様の考えを持っていると説明しており、ゼロトラストの裾野が着実に広がっていることを示しました。

しかし、そのゼロトラストについて、多くのユーザーが根本的に誤解しているという現実はあまり知られていません。そこで本稿では、その誤解を明らかにし、ゼロトラストを正しく導入するためのポイントを提示します。
重要であるがゆえに生じた誤解

ゼロトラストと切っても切れない関係にあるのが、アイデンティティ（ID）です。IDはゼロトラストの基本的な要素であり、企業は分散型ID、多要素認証（MFA）、生体認証などの技術を使用して機密データを保護してきました。ID認証は、ゼロトラストにおいて最も広く使用されている手段の一つです。

その重要さゆえに生まれてしまったのが「ゼロトラストを実現するための要素はアイデンティティのみである」という誤解です。組織がIDという1つの要素に過度に注目し、他の要素の存在を忘れてしまうことの危険性は計りしれません。潜在的な脆弱性を生むことにつながり、ひいては重大なサイバーセキュリティイベントを引き起こす可能性があります。

私たちは通常、1つの要素だけに基づいて誰かを信頼することはありません。信頼の獲得には多面的な視点が必要です。ゼロトラストの実現でも同様に、複数の形式による検証が必要です。必要以上に単純化すれば、安全性は保てません。
複数のセキュリティ対策を単一ポイントで制御すべき

誤解を解いたところで、ゼロトラストの正しい導入について考えてみましょう。基本的な考え方として、ゼロトラストは、システムが侵害される可能性があるという前提から始める必要があります。その上で、保護するための対策を豊富に用意すれば、ゼロトラストの信頼を高められます。ID認証はあくまでもその1つの対策という位置づけなのです。