情報セキュリティマネジメント試験 科目A 重要キーワード解説
ゼロトラスト(Zero Trust)とは、「何も信頼せず、常に検証する(Never Trust, Always Verify)」を基本とするセキュリティの考え方です。社内・社外を問わず、すべてのアクセスを毎回検証してから許可します。
従来の「社内=安全、社外=危険」とみなす境界型防御(ペリメータ型)では、いったん内部に侵入されると被害が広がりやすいという弱点がありました。テレワークやクラウド利用の拡大で「守るべき境界」が曖昧になったことから、ゼロトラストが重視されています。
| 項目 | 境界型防御 | ゼロトラスト |
|---|---|---|
| 前提 | 社内は信頼できる | 社内外を問わず信頼しない |
| 検証 | 境界(入口)で主に検証 | アクセスのたびに毎回検証 |
| 弱点への対応 | 侵入後の横展開に弱い | 侵入されても被害を限定しやすい |
VPN経由で内部に侵入され、境界の内側で被害が拡大する事例が増えたことが、ゼロトラスト普及の背景です。クラウドサービスやテレワークの利用が前提となる現在、「社内ネットワークの内側=安全」という考え方が通用しなくなっています。