ゼロトラスト (Zero Trust) とは: 何も信頼せず常に検証するセキュリティモデル

ゼロトラスト (Zero Trust) は、「社内ネットワークの内側だから安全」という従来の前提を捨て、すべてのアクセスを毎回検証するセキュリティの考え方です。名前のとおり「何も信頼しない (zero trust)」を出発点とし、利用者・端末・通信のそれぞれを、アクセスのたびに認証・認可します。

従来の境界防御 (ペリメータモデル) は、ファイアウォールで囲んだ内側を「信頼できる領域」とみなす設計でした。しかしリモートワークやクラウド利用が広がり、社内・社外の境界が曖昧になったことで、内側に一度入られると被害が広がりやすいという弱点が顕在化しました。ゼロトラストは、この「内側は安全」という暗黙の信頼そのものを取り除きます。

基本となる3つの考え方

ゼロトラストは、おおむね次の原則に集約されます。

• 明示的に検証する: 利用者・端末・場所などの情報をもとに、アクセスのたびに認証・認可を行う
• 最小権限を与える: 必要なリソースに、必要な範囲だけアクセスを許可する
• 侵害を前提に設計する: すでに侵入されているかもしれないと考え、被害範囲を狭める (マイクロセグメンテーション)

これらは特定の製品ではなく「設計の指針」です。多要素認証 (MFA)、端末の状態チェック、きめ細かいアクセス制御などを組み合わせて段階的に実現していくのが一般的で、米国の NIST や CISA が公開する文書が実装の参照点としてよく使われます。