この1年ほど徐々に聞く機会が増えてきた言葉に「ゼロ・トラスト」がある。サイバーセキュリティの業界用語だが、「え、信頼性ゼロなの?」と聞き返してしまった。一応の説明はその時聞いたのだが、以降特にテレワークの議論が増えて来るにつれ、言葉だけが独り歩きしているような感覚を持った。そこで今回、るところの勉強会で、
・ゼロ・トラストの概念
・ゼロ・トラストの実践例
を同時に聞こうという企画をしてもらった。多くのSIerやセキュリティベンダーが「自社のソリューションを導入いただけば、ゼロ・トラストが完成します」という売り方をしているようで、言葉が「バズワード化」している印象。原点に立ち返って概念(理想)を理解し、そうはいっても一歩一歩その理想に近づけるにはどうすればいいかを勉強したいと思ったからだ。まず概念については、有名デジタル産業の専門家に話してもらった。「ゼロ・トラスト」が考えられた背景として、
・従来の企業システムは、警備のしっかりしたビルのようなもの。
・入り口で危険なモノは排除するから、中に入ってしまえば安心(トラスト)できる。
・しかし何らかの手段で入り口をすり抜けられてしまうと、悪人がやり放題できる。
・サイバー攻撃の高度化やIT部門が知らないデバイスがつながることで、入り口だけでは防ぎきれないことが分かってきた。テレワークもこれに拍車をかける。
ということ。ではどうすればいいのか?簡単に言うと「ビルの中にいるからと言って、相手を信用しないこと」である。なりすましで入り口をすり抜けてきた悪人かもしれないからで、何かアクションされたら相手の信用度をいったんゼロ(部外者)のレベルに落とし、さまざまな認証手段を使って信頼度を再計測、あるレベルにきたらある行動までは認可するべきだ。これが「ゼロ・トラスト」の概念だという。
理解のためのキーワードは、認証と認可である。アクションしてきた相手をどう認証して、その度合いによってアクションを認可するかを判断するのだ。説明してくれた人の会社では、認証手段もパスワードは普段は使わず、顔認証に切り替えたという。アーキテクチャは次の6要素で、
・Identity
・Devices
・Data
・Apps
・Infrastructure
・Network
最も重要なのはDataだと彼は言う。
<続く>