ゼロトラストとは、自組織内のネットワークや端末機器からのアクセスであっても暗黙には信頼しないで、常にアクセス元の信頼性を検証することで、組織の情報資産やIT資産を保護するという、セキュリティの考え方です。

 現在、業界・業種を問わず様々な企業や組織で、クラウドサービスの活用やテレワークによる働き方の多様化が進展しています。この結果、データの保管場所や従業者の働く場所は、組織内だけとは限らなくなってきました。

 これにともない、組織の内と外を隔てる境界で、内部にある情報資産に対する外部からの攻撃を防ぐという、従来の主流だった境界防御型のセキュリティアーキテクチャが必ずしも通用しないシーンが増えてきました。このため、ゼロトラスト型のセキュリティアーキテクチャへの見直しが進んでいます。こうした動きは、民間企業だけでなく、政府や自治体においても同様です。

政府は従来の境界防御型セキュリティを見直し

 政府が2021年12月に閣議決定した「デジタル社会の実現に向けた重点計画」では、デジタル社会を形成するための10原則(基本原則)の一つとして安全・安心の原則を示したうえで、基本原則に基づく「デジタル化の基本戦略」に「安全・安心の確保」を挙げています。サイバーセキュリティに関しては「目指す姿」として以下のように記載しています。

 利便性の向上とサイバーセキュリティの確保を両立させる。そのため、クラウドサービスの利用拡大とともに、常時診断・対応型セキュリティアーキテクチャの実装を見据えた対応等を進めていく。政府の情報システム整備における、サイバーセキュリティについての基本的な方針を示し、この方針等に基づいて、サイバーセキュリティ対策の強化を図っていく。

 ここで、「常時診断・対応型セキュリティアーキテクチャ」というのが、ゼロトラストの考え方に基づいたセキュリティの実装方法です。

 政府はデジタル・ガバメントの実現に向け、各府省が政府情報システムを構築する際には、クラウドサービスの利用を第一の候補とする「クラウド・バイ・デフォルト原則」を2017年から採用しています。しかし、従来の政府情報システムのアーキテクチャでは、次のようなセキュリティ面での課題が明らかになっています。

(1)各府省の情報セキュリティポリシーは統一されているが、ポリシーを具体化するセキュリティ機能は個別に実装されており、政府全体でのセキュリティインシデント対応に課題がある
(2)クラウドサービスを前提としたネットワークセキュリティ設計になっていない
(3)クラウド活用を考慮できていない
(4)物理ネットワークの境界でセキュリティを確保しているため、セキュリティが現場の人に依存

 このため、こうしたセキュリティ面での課題を踏まえて、組織の内部と外部の境界での防御に頼る従来型の境界防御型セキュリティアーキテクチャの見直しを進めています。クラウドの活用や働き方の多様化に対応できるよう、代わって採用するのが、個々のコンポーネントで取り扱う業務・情報やアクセスする者の属性情報を確認しながら、都度アクセス可否を判断するゼロトラストの考え方に基づいた「常時診断・対応型」のセキュリティアーキテクチャです(図1)。政府情報システムをゼロトラストに対応させるための「政府機関等のサイバーセキュリティ対策のための統一基準(政府統一基準)」の改定は、2023年度末までに実施します。

図1●クラウド・バイ・デフォルトに基づく政府情報システムの次世代アーキテクチャではゼロトラスト型セキュリティを採用
図1●クラウド・バイ・デフォルトに基づく政府情報システムの次世代アーキテクチャではゼロトラスト型セキュリティを採用
出所:内閣官房IT総合戦略室「デジタル・ガバメント実現のためのグランドデザインについて(討議用)」(2020年2月12日)(https://www.kantei.go.jp/jp/singi/it2/senmon_bunka/dejigaba/dai10/siryou2.pdf)
[画像のクリックで拡大表示]