ゼロトラストはどのような考え方なのか?
ゼロトラストというキーワードを、セキュリティの分野でよく耳にするようになったのではないでしょうか。しかし、そもそもどのようなものなのか、あまり内容は知られていません。利用者はシステムを利用する場合、社内ネットワークから外部のクラウドサービスに接続します。このコロナ渦においてテレワークする企業も増加しており、社内以外からも社内システムへつなぐ必要性も出てきています。
このような状況では外部だから入らせない、触らせないといった考えだけでは業務を回すことは難しくなります。これらのことから、内側は信頼できる、外側は信頼できないといった今までのモデルでは限界が近付いていると言えます。そこで出てきたのがゼロトラストです。ゼロトラストによって何が変わるのか、いくつのかの原則が必要となるので紹介します。
組織のシステムにアクセスがある度、「どこから、どの端末で、誰がアクセスしようとしているのか」をその都度、必ず検証し、安全が確認されたものだけにアクセスを許可する、という考え方をします。人やシステムに対して、業務を遂行するために最低限の権限を与える、というのが2つ目の原則です。それぞれに必要な権限しか付与させないことで、個々のユーザーアカウントがハッキングや不正な脅威に晒されても最小限のリスクで留めることができます。最後は「内部でも外部でも信頼しない」を前提としています。
守るべき情報資産にアクセスするものは内部であっても信用せず、必ず検証することで、情報資産への脅威を防ぐという考え方です。ゼロトラストは、内部・外部を問わず、継続的に信頼性を検証し、必要最小限の権限を適用することで、セキュリティを担保するための重要な考え方で今の時代にマッチしています。
Leave a comment