(写真:イメージ)

今回はデジタルトランスフォーメーションを進める上で発生する、デジタルリスクを回避する(または下げる)ために、今再び脚光を浴びてきているゼロトラストを取り上げます。ゼロトラストについては、NIST(アメリカ国立標準技術研究所)が発行している SP 800‐207 Zero Trust Architecture (ZTA)(*1) がその定義ともいえるので、後ほど簡単に触れます。その中身はかなり広義なため、的を絞り、デジタルリスクをしっかり管理する第一歩にしていただければ幸いです。

(*1)NIST SP800-207 Zero Trust Architecture(2020年8月11日 最終版発表)
https://csrc.nist.gov/publications/detail/sp/800-207/final

まず、ゼロトラスト(またはゼロトラストアーキテクチャ)は、その定義通りにしていればあらゆるセキュリティー問題がなくなるというものではないですし、特定のセキュリティー製品を指しているというわけでもありません。いうなれば、サイバーセキュリティーを実施する上での「マインドセット(考え方)」と呼ぶのがよいでしょう。元は、2010年にForrester Research社のアナリストだったJohn Kindervagが使い始めたとされていますが、その有名な言い回し“Never Trust, Always Verify”(信頼できるものなどない。常に検証せよ)は、それ以前からサイバーセキュリティーに関わる人々の間では、頭の片隅に置いてきた考え方ではないかと思います。それくらい「トラスト(信頼)すること」はセキュリティーの世界では、ネガティブであったといえます。日本人はすぐ人を信頼するといわれますので、「トラスト癖」をできるだけ抑えるのは、重要なポイントかもしれません。