企業のIT担当者の多くは、「ゼロトラスト」という言葉を耳目にしたことがおありだろう。バズワード化した感もある言葉だが、その意味するところを正確に理解している方はどれくらいおられるだろうか。それが難しいのは、「ゼロトラスト」が特定の技術や機能を指すものではなく、あくまでもセキュリティモデル、つまり概念である点にある。

もっとも、そのコンセプトは極めてシンプルである。「あらゆるアクセスを疑ってかかり、その都度正当性を検証する」というのが基本的な考え方である。だが、コンセプトは理解しやすいが、実装するとなると話は別だ。

ゼロトラストモデルは、ポリシーベースのアクセスコントロースを中核として、多数のセキュリティツールを組み合わせ、連携させて構築する。さらに言えば、運用(体制やオペレーション)も含めないと完結しない。つまり、導入して「はい、終わり」というものではない。ツールの踏み合わせ方やポリシーに不備があれば、それが即、穴となる。

そしてゼロトラストモデルは、そこで使われるセキュリティツールにも進化を促している。それぞれのツールは境界型防御の時代から存在したものが多いが、ゼロトラストモデルのパーツとしてうまく機能するように求められるからだ。

本資料では、企業を取り巻くサイバー攻撃の現状を概観したうえで、セキュリティソリューションの進化について解説する。総務省の調べでは、1年間で何らかのセキュリティ被害を受けたという企業は日本企業全体の54.4%にも上るという。企業のIT担当者は、サイバー攻撃は常に身近にあるものと捉え、最新のセキュリティ動向に注目していただきたい。