「ゼロトラスト」の真の目的はセキュリティ強化じゃない：「不真面目」DXのすすめ

「ゼロトラスト」は最近メディアでよく見かけるキーワードですが、このゼロトラストに基づくセキュリティ対策の目的を、単なるセキュリティ強化と考えていませんか。筆者が考える“真の目的”は、セキュリティという目に見えないものの価値をどう評価するかの指標の一つになるはずです。

[甲元宏明，株式会社アイ・ティ・アール]

この連載について

　この連載では、ITRの甲元宏明氏（プリンシパル・アナリスト）が企業経営者やITリーダー、IT部門の皆さんに向けて「不真面目」DXをお勧めします。

　「不真面目なんてけしからん」と、「戻る」ボタンを押さないでください。

　これまでの思考を疑い、必要であればひっくり返したり、これまでの実績や定説よりも時には直感を信じて新しいテクノロジーを導入したり――。独自性のある新しいサービスやイノベーションを生み出してきたのは、日本社会では推奨されてこなかったこうした「不真面目さ」ではないでしょうか。

　変革（トランスフォーメーション）に日々真面目に取り組む皆さんも、このコラムを読む時間は「不真面目」にDXをとらえなおしてみませんか。今よりさらに柔軟な思考にトランスフォーメーションするための一つの助けになるかもしれません。

筆者紹介：甲元 宏明（アイ・ティ・アール　プリンシパル・アナリスト）

三菱マテリアルでモデリング／アジャイル開発によるサプライチェーン改革やCRM・eコマースなどのシステム開発、ネットワーク再構築、グループ全体のIT戦略立案を主導。欧州企業との合弁事業ではグローバルIT責任者として欧州や北米、アジアのITを統括し、IT戦略立案・ERP展開を実施。2007年より現職。クラウド・コンピューティング、ネットワーク、ITアーキテクチャ、アジャイル開発／DevOps、開発言語／フレームワーク、OSSなどを担当し、ソリューション選定、再構築、導入などのプロジェクトを手がける。ユーザー企業のITアーキテクチャ設計や、ITベンダーの事業戦略などのコンサルティングの実績も豊富。

　いろいろなメディアで「ゼロトラスト」という単語が散見されるようになりました。これは単なるマーケティング用語でもバズワードでもありません。セキュリティにおける大きなパラダイム（ものの見方や考え方を支配する認識の枠組みのこと）の進化と捉えるべきものです。

そもそも「ゼロトラスト」って何？

　企業ネットワークの発端はメインフレーム時代にさかのぼります。この頃は電話線やメインフレーム専用のネットワークで通信していました。その後、イーサネットを中心に利用したC/S（クライアント／サーバ）型アプリケーションや、インターネットやモバイル回線も利用するWebアプリケーションやスマホアプリが主流になりました。

　さまざまな通信回線が使われましたが、基本的な考え方はメインフレーム時代から今に至るまで「境界モデル」です。これは「社内ネットワークは安全で、その外（インターネット）は危険なので、ファイアウォールのような仕掛けで社内ネットワークを守る」という考え方です。

　しかし現在は、インターネットからの攻撃といった外部脅威よりも社内PCのマルウェア感染といった内部脅威のほうがより深刻です。コンピューティングパラダイムが大きく進化したのに、ネットワークセキュリティの考え方は今も変わっていないのです。

　そこで登場したのが「ゼロトラスト」モデルという考え方です。これまでの「社内ネットワークは安全」は、性善説に基づいた根拠の希薄な考え方でした。ゼロトラストでは内部・外部の全てのシステムやネットワークを無条件に信用しないという考え方を採用しています。

　具体的には、ユーザーデバイスおよびユーザーが利用するアプリケーションにアクセスする前に認証し、事前認証のないデバイスやユーザーにはアプリケーションを利用させないという手法です。

　もちろん、通信には十分な強度の暗号化を実施します。仕組みは非常にシンプルだし、通信回線の種類を問わないので良いこと尽くしのようですが、既存システムにおける認証の仕組みを変更するなど、いろいろ修正する必要があるため国内企業にはまだ浸透していません。

働き方の多様化についていけない「従来型セキュリティモデル」