ゼロトラストとは、かんたんに言うと「毎回きちんと確認してから使わせる」というセキュリティの考え方です。
ここでいうセキュリティとは、大切な情報やスマホ、パソコン、アカウントを守ることです。
「社内にいるから安全」「一度ログインしたから安全」と決めつけず、その人が本人か、使っている機器は安全か、必要な情報だけを使っているかを確認します。
ほかのIT用語も知りたい方は、初心者向けのIT用語辞典もあわせてご覧ください。
ゼロトラストとは?
かんたんに言うと、毎回きちんと確認する考え方
ゼロトラストとは、何かを使うたびに「本当に使ってよい人か」を確認する考え方です。
ログインとは、本人だと確認して、サービスを使い始めることです。ゼロトラストでは、ログインしたあとも必要に応じて確認します。
身近な例でいうと、会社の受付に近いです。
社員証を持っている人でも、入れる場所が決まっていることがあります。大事な部屋に入るときは、さらに確認されることもあります。
ITの話に戻すと、ゼロトラストは、使う人、スマホやパソコン、場所などを確認しながら、大切な情報を守る考え方です。
「社内だから安全」と決めつけない仕組み
昔は、会社の中のネットワークは安全で、外は危ないと考えられることが多くありました。
ネットワークとは、スマホやパソコン、サーバーなどをつなぐ仕組みです。サーバーとは、データやサービスを置いておくコンピューターのことです。
しかし今は、会社の外から仕事をする人も増えています。クラウドサービスを使うことも増えました。
クラウドサービスとは、データやアプリを自分のパソコンの中ではなく、インターネット上で使うサービスです。
そのため、「社内だから安全」と決めつけるだけでは、情報を守りにくくなっています。
ゼロトラストの意味
「信頼しない」ではなく「確認してから使わせる」という考え方
ゼロトラストは、英語で「信頼をゼロにする」という意味に見えます。
ただし、だれも信用しないという冷たい意味ではありません。
本来の意味は、「安全だと決めつけず、毎回確認する」という考え方です。
たとえば、いつも使っている人でも、いつもと違う場所からログインした場合は確認します。いつもと違う動きがあれば、いったん止めることもあります。
人・機器・場所を確認する
ゼロトラストでは、使う人だけでなく、使っているスマホやパソコンも確認します。
古い状態のパソコンや、安全対策ができていない機器は、使える範囲をしぼることがあります。
また、どこから使っているかも確認します。いつもと違う国や場所からのログインは、追加の確認が必要になることがあります。
ゼロトラストが必要になった理由
会社の外から仕事をする人が増えた
テレワークが増えたことで、会社の外から仕事をする人が増えました。
テレワークとは、会社の建物以外の場所で働くことです。自宅や外出先で仕事をする場合もあります。
会社の外から仕事をする人が増えると、会社の中だけを守る方法では足りない場面が出てきます。
クラウドサービスを使う場面が増えた
メール、ファイル共有、会議、予定表などをクラウドサービスで使う会社が増えています。
クラウドサービスは便利です。インターネットにつながれば、会社の外からでも使える場合があります。
その分、「本当に使ってよい人か」を確認する仕組みが大切になります。
社内と社外の境目が分かりにくくなった
昔は、会社の建物の中と外を分けて考えやすい時代でした。
しかし今は、自宅、外出先、スマホ、クラウドなど、いろいろな場所から仕事や学習をします。
そのため、「ここから内側は安全」と線を引くことが難しくなっています。
ゼロトラストセキュリティとは?
ログインした人が本人か確認する
ゼロトラストセキュリティとは、毎回きちんと確認して、大切な情報を守る考え方です。
まず大切なのは、ログインした人が本当に本人かどうかです。
本人確認の方法には、パスワードのほかに、スマホへの通知や確認コードを使う方法があります。
使っているスマホやパソコンが安全か確認する
ゼロトラストでは、使う人だけでなく、使っているスマホやパソコンの状態も確認します。
たとえば、古いままのパソコンや、必要な安全対策ができていない機器は注意が必要です。
安全な状態だと確認できた機器だけ、必要な情報を使えるようにします。
必要なものだけ使えるようにする
ゼロトラストでは、すべての情報を自由に使わせるのではなく、必要なものだけ使えるようにします。
アクセスとは、データを見たり、サービスを使ったりすることです。
たとえば、経理の人は経理の資料を使えるようにし、関係のない資料は見られないようにします。
ゼロトラストの仕組み
本人確認をする
最初に、使う人が本人かどうかを確認します。
パスワードだけでなく、スマホに届く確認コードなどを使うこともあります。
認証という言葉が使われることもあります。認証とは、本人かどうかを確認することです。
使う機器を確認する
次に、使っているスマホやパソコンが安全な状態か確認します。
会社のルールに合っていない機器は、使える範囲をしぼることがあります。
これにより、知らない機器や安全性が低い機器から、大切な情報を守りやすくなります。
使える範囲をしぼる
ゼロトラストでは、必要な人が、必要な情報だけを使えるようにします。
これは、家の鍵を部屋ごとに分けるイメージに近いです。
家の玄関を開けられても、すべての部屋に入れるとは限りません。
ITの話に戻すと、仕事や役割に合わせて、見られるデータや使えるサービスを分けるということです。
使っている間も状態を確認する
ゼロトラストでは、一度ログインできたら終わりではありません。
使っている途中でも、いつもと違う場所から使われた場合や、スマホやパソコンの状態が変わった場合は、追加で確認することがあります。
たとえば、急に知らない国から使われた場合や、使っている機器の安全な状態が変わった場合です。
このように、その時の状況に合わせて確認することも、ゼロトラストの大切な考え方です。
ここでいう確認とは、利用者を細かく見張るという意味ではありません。安全に使えているかを見守るという意味です。
ゼロトラストの具体例
会社のメールを見るときに追加で確認する
会社のメールを見るときに、パスワードに加えてスマホで確認することがあります。
これは、本人以外が勝手にログインしにくくするためです。
不正ログインとは、本人ではない人が勝手にログインすることです。
社外から資料を見るときに確認する
自宅や外出先から会社の資料を見るとき、追加の確認が入ることがあります。
たとえば、本人確認をしたうえで、会社が認めたパソコンからだけ見られるようにする方法です。
これにより、大切な資料を必要な人だけが使いやすくなります。
知らない場所からのログインを止める
いつも日本から使っている人が、急に海外からログインしようとした場合、確認が入ることがあります。
これは、いつもと違う動きに気づくためです。
本人であれば追加確認をして使える場合もあります。本人ではない可能性がある場合は、止めることができます。
ゼロトラストのメリット
不正ログインに気づきやすい
ゼロトラストでは、ログインのたびに確認を強められます。
そのため、知らない人が勝手に入ろうとしたときに気づきやすくなります。
パスワードだけに頼らない点も、大きなメリットです。
必要な人だけが必要な情報を使える
ゼロトラストでは、使える範囲をしぼります。
そのため、関係のない情報まで見えてしまう状態を減らせます。
これは、会社や学校の情報を守るうえで大切です。
テレワークやクラウド利用に向いている
ゼロトラストは、会社の中だけでなく、外から使うことも考えた守り方です。
そのため、テレワークやクラウドサービスの利用と相性がよいです。
場所だけで判断せず、人、機器、使い方を確認するためです。
ゼロトラストの注意点
確認が増えると手間に感じることがある
ゼロトラストでは、本人確認や追加確認が増えることがあります。
安全のために必要な確認ですが、人によっては少し手間に感じることもあります。
そのため、使いやすさとのバランスも大切です。
一度にすべてを変えるのはむずかしい
ゼロトラストは、製品を1つ入れれば終わりというものではありません。
人の確認、機器の確認、使える範囲の整理など、いくつかの取り組みを合わせて進めます。
一度にすべてを変えるのではなく、できるところから始める考え方が現実的です。
会社のルールづくりも大切になる
ゼロトラストでは、どの人がどの情報を使えるかを決める必要があります。
そのためには、会社の中でルールを決めることも大切です。
仕組みだけでなく、使い方のルールも合わせて考える必要があります。
ゼロトラストと似た言葉の違い
ゼロトラストと従来のセキュリティの違い
従来のセキュリティでは、会社の内側は比較的安全、外側は危険と考えることが多くありました。
ゼロトラストでは、内側か外側かだけで判断しません。
人、機器、場所、使い方を見て、毎回確認します。
ゼロトラストとVPNの違い
VPNとは、会社などのネットワークに安全につなぐための仕組みです。
ゼロトラストは、VPNそのものではありません。
ゼロトラストは「毎回確認する考え方」で、VPNは安全につなぐための方法の1つです。
会社によっては、VPNとゼロトラストの考え方を組み合わせることもあります。
SASEとは?ゼロトラストとの違い
SASEは「サッシー」と読みます。
SASEとは、通信と安全対策をまとめて管理する考え方です。
ゼロトラストは「毎回確認する考え方」です。SASEは、その考え方を進めるための仕組みとして語られることがあります。
初心者のうちは、ゼロトラストは考え方、SASEはそれを支える仕組みの1つ、と覚えると分かりやすいです。
ゼロトラストアーキテクチャとは?
ゼロトラストアーキテクチャとは、ゼロトラストの考え方をもとにした仕組みの作り方です。
アーキテクチャとは、仕組み全体の作り方や設計のことです。
かんたんに言うと、「毎回確認する」ために、会社のシステム全体をどう作るかという考え方です。
初心者が間違えやすい点
「まったく信用しない」という意味ではない
ゼロトラストは、言葉だけを見ると「何も信用しない」という意味に見えるかもしれません。
しかし、本当に伝えたいことは「安全だと決めつけず、確認する」です。
人を疑うというより、大切な情報を守るために確認する考え方です。
製品を1つ入れれば終わりではない
ゼロトラストは、1つの製品名ではありません。
セキュリティの考え方です。
本人確認、機器の確認、使える範囲の整理などを組み合わせて進めます。
大企業だけの話ではない
ゼロトラストは、大企業だけの話ではありません。
学校、自治体、中小企業、個人の使い方にも関係します。
たとえば、二段階認証を使う、知らない場所からのログインに気をつける、といった身近な対策も考え方としては近いです。
よくある質問
ゼロトラストは個人にも関係ありますか?
はい、関係あります。
たとえば、スマホの確認コード、二段階認証、知らないログインの通知などは、個人でも使われています。
ゼロトラストという言葉を使わなくても、「毎回きちんと確認する」という考え方は個人にも役立ちます。
ゼロトラストと二段階認証は同じですか?
同じではありません。
二段階認証とは、パスワードに加えて、確認コードなどでも本人確認をする仕組みです。
ゼロトラストは、二段階認証より広い考え方です。
本人確認だけでなく、「いつもと同じ機器か」「変な場所から使っていないか」「必要な情報だけを使っているか」まで確認します。
つまり、二段階認証はゼロトラストを進めるための方法の1つです。
ゼロトラストはVPNの代わりですか?
ゼロトラストはVPNの代わりというより、より広い考え方です。
VPNは、安全につなぐための方法の1つです。
ゼロトラストでは、つないだあとも、本人か、機器は安全か、必要なものだけ使っているかを確認します。
ゼロトラストの7つの要件とは何ですか?
要件とは、必要な条件のことです。
ゼロトラストでは、アメリカのNISTという機関がまとめた考え方がよく参考にされます。
NISTとは、技術や安全に関する基準をまとめているアメリカの公的な機関です。
そこでは、ゼロトラストを進めるうえで大切な考え方が7つに整理されています。
初心者のうちは、細かな7つを暗記するよりも、「どこにいても、だれであっても、毎回きちんと確認する」と覚えると分かりやすいです。
まとめ:ゼロトラストとは毎回きちんと確認するセキュリティの考え方
ゼロトラストとは、「社内だから安全」「一度ログインしたから安全」と決めつけず、毎回きちんと確認するセキュリティの考え方です。
人、スマホやパソコン、使う場所、使える範囲を確認しながら、大切な情報を守ります。
ゼロトラストは、テレワークやクラウドサービスを使う時代に合った考え方です。
ただし、製品を1つ入れれば終わりではありません。本人確認、機器の確認、使える範囲の整理などを組み合わせて進めることが大切です。
ゼロトラストは、一度設定して終わりではなく、使う人や働き方に合わせて少しずつ見直していく考え方です。
かんたんに言えば、ゼロトラストとは「毎回きちんと確認して、安全に使うための考え方」です。