ゼロトラスト(Zero trust)は、“すべて信頼しない”という状況を前提にしたセキュリティの考え方を言います。 システムを利用する状況が変わりつつあることが、ゼロトラストが叫ばれる背景にはあります。これまでの社内システムは、利用するユーザーやデバイス、アクセスする場所などが限られていました。オフィス内のPCからオンプレミスシステムにアクセスするといった使い方が一般的だったため、社内ネットワークさえ注意すればよいと考えられてきました。 しかし現在、システムはクラウド化し、複数のSaaSを使う企業が増えています。社内外のユーザーが利用するケースもあります。こうした状況では、社内ネットワークだけセキュリティ対策を講じればいいという考え方が通用しません。 そこで、システムにアクセスするユーザーやデバイス、ロケーションを信用せず、アクセスするものすべてに対して認証する、データを暗号化するなどのセキュリティ対策が必要と考えられるようになっています。多要素認証やワンタイムパスワード認証などのさまざまな仕組みを使ってセキュリティ環境を構築するケースも珍しくありません。
ゼロトラスト(Zero trust)は、“すべて信頼しない”という状況を前提にしたセキュリティの考え方を言います。
システムを利用する状況が変わりつつあることが、ゼロトラストが叫ばれる背景にはあります。これまでの社内システムは、利用するユーザーやアクセスするデバイス、アクセスする場所などが限られていました。オフィス内のPCからオンプレミスシステムにアクセスするといった使い方が一般的だったため、社内ネットワークへのマルウエア感染や情報漏洩に注意すればよいと考えられてきました。
しかし現在、システムはクラウド化し、業務に応じた複数のSaaSを使う企業が増えています。アクセスするユーザーは社員に限らず、業務委託するスタッフや取引先企業の従業員などが含まれるケースもあります。オフィス外の自宅から、もしくは個人所有のPCやスマートフォンからシステムにアクセスすることも珍しくなくなりました。こうした状況では、「社内ネットワーク」だけセキュリティ対策を講じればいいという考え方が通用しません。
そこで、システムにアクセスするユーザーやデバイス、接続元のロケーションをすべて信用せず、アクセスするものすべてに対して認証する、やり取りするデータを暗号化するなどのセキュリティ対策が必要と考えられるようになっています。多要素認証やワンタイムパスワード認証、端末認証などのさまざまな仕組みを使ってセキュリティ環境を構築するケースも珍しくありません。
DXにおいてゼロトラストは、従業員の新たな働き方、システムの新たな運用形態などに対応するセキュリティの考え方として注目されています。DXによってITやデジタルの利活用が進めば、業務効率や生産性が向上する一方でセキュリティリスクも高まる懸念があります。そのため、DX推進と並行し、ゼロトラストによる新たなセキュリティ環境を準備・構築する企業もあります。
