本記事の対象
・ゼロトラストを意味はググったけど、結局なぜ難しいのかという疑問を持つ人
本記事の目的
筆者自身が、ゼロトラストについて自分の言葉で説明し、理解を深めることを目的としています。そのために、「ゼロトラスト大全」を読み、得た情報を整理しながら、自分の言葉で解説していきます。
ゼロトラストとは何か? 何が難しいのか
ゼロトラストとは、すべてのアクセス元を信頼しないという考え方です。言葉自体は分かりやすいのに、なぜ実現が難しいのか?
その理由は、アプリケーションやデータへのアクセスを、すべてのトランザクション(処理)ごとに検証し、安全性が確認できた場合のみ許可を与える必要があるからです。この仕組みを導入するためには、単一の製品やサービスだけでは対応できず、複数のシステムや技術が必要になる点が、ゼロトラストを難しくしています。
業務システム全てをSaaSに移行すれば良いのでは?
確かに、オンプレミスを全廃止し、業務システム・業務アプリ・ファイルサーバーを全てSaaSに移行すれば容易にゼロトラストは実現出来る。実際にそのような事例はある。しかし、現実的には既存のシステムを全てSaaSに移行できない企業が多い。だからゼロトラストを実現するのが難しい。
ゼロトラスト実装の成熟度が提示されている
ゼロトラストをいきなり完全に実現するのは難しいため、米国のセキュリティ庁は「ゼロトラスト成熟度モデル」を公開しています。このモデルは、ゼロトラストを実装する際に成熟度を判断するための参考になります。日本語に翻訳された無料記事も、以下のサイトで確認できます。
ただし、この成熟度モデルは抽象的で具体例が少ないため、自社がどの段階にいるのかを判断するのは簡単ではありません。ゼロトラストの実現には、ID、デバイス、ネットワーク、アプリケーション、データの5つ視点から取り組むことが求められます。
まとめ
企業の既存システムをすべてSaaSに移行することは難しいため、ゼロトラストの実現も簡単ではありません。また、ゼロトラスト成熟度モデルの5つの視点(ID、デバイス、ネットワーク、アプリケーション、データ)をすべて同時に取り組むことも困難です。そこで、まずはセキュリティの基本となる「ID」から始めるのが有効です。次回は、IDに関する技術についてまとめます。