ITProTodayは1月6日(米国時間)、「Why the Zero Trust Model Will Become the New Security Norm|IT Pro」において、現在、ITセキュリティに対する従来のアプローチは機能しておらず、セキュリティモデルとして「ゼロトラストモデル」を採用することが不可欠になってきていると指摘した。企業におけるセキュリティ侵害は絶えず、これはITセキュリティに対する従来のアプローチが機能していないことを示しているという。

「ゼロトラストセキュリティ」とは、基本的に「何も信頼しない」「イベントが発生するごとに繰り返し信頼証明を求める」といった考え方のセキュリティモデル。実装方法はベンダーのソリューションによって大きく異なり、どの粒度で実施するかは多種多様な状態にあるという。

記事では、従来のセキュリティモデルは空港でのセキュリティチェックのモデルに似ていると説明。ユーザーはセキュリティチェックエリアで各種チェックを受けるものの、そのエリアを通過したあとは空港内の残りの部分へ自由にアクセスすることができる。このアプローチは「一度信頼したら、そのあとは常に信頼する」というモデルに基づいている。

社内のネットワークはすべて信頼できることが前提である従来のこのセキュリティモデルは、既にネットワークモデルとしても機能しなくなっていると指摘されている。今日、社内のネットワークは集中化されておらず、オンプレミスとクラウドの双方にリソースが分散されている状態になっている。このため、これまでのように境界防御を行うというモデルは有効ではなくなっており、最悪のケースでは非推奨なモデルにも成り得ると説明している。

「ゼロトラストモデル」の実装例としては、空港内部のコーヒーショップを例に取り上げられている。従来のモデルであれば、ユーザーはコーヒーショップで自由にコーヒーを購入することができる。しかし、ゼロトラストモデルの下では、ユーザーはショップに入る前に信頼証明が求められ、注文時に追加のセキュリティ検査が要求され、支払い時にさらに別のセキュリティチェックが求められる。

ゼロトラストモデル2019年頃から注目を集めるようになってきた。クラウドの利用が進むに従って、現実的なアプローチとしてのゼロトラストモデルの必要性が増加しているものと見られる。