3分で分かる「ゼロトラスト」ディズニー映画「アラジン」に置き換えて考えてみた

セキュリティの分野でよく耳にするけど
佐藤 雄一 プロフィール

最小限のリスクに留めるために

原則(2)必要な権限しか付与しない

人やシステムに対して、業務を遂行するために最低限の権限を与える、という原則です。「この人にどこまで自由にさせていいか」を決定する、とも言えます。それぞれに必要な権限しか付与させないことで、個々のユーザーアカウントがハッキングや不正な脅威に晒されても最小限のリスクで留めることができます。

この原則(2)に従えば、王子に対して、「王女と話をしてもいいけど、指一本触れてはダメ」といった、最低限の権限にしておくことで、最小限のリスクに留めることが出来ます。しかし、これで安心ではありません。

 

原則(3)内部でも外部でも信頼しない

境界防御モデルが「鬼は外、福は内」が前提であったのに対し、ゼロトラストモデルは「内部でも外部でも信頼しない(どっちも鬼)」を前提としています。守るべき情報資産にアクセスするものは内部であっても信用せず、必ず検証することで、情報資産への脅威を防ぐという考え方です。

悪役ジャファーは、国務大臣という信頼されている立場を利用して、王の地位を狙うという「内部不正」を画策しています。しかも、法律を書き換え、自分が王女と結婚することで達成しようとしています。原則(1)(2)でジャスミンを外部(ここでは王子)から守ることができましたが、次は内部(ここではジャファー)から守る必要があります。

そこで、外部と同様に内部からも、セキュリティの脅威が発生するということを前提とするのが、この原則(3)です。ジャファーのような悪人がいるかも知れないと考えて、国務大臣であっても独断で法律の変更を行わせない等、組織の内部から起きる不正を防止する仕組みを考えます。

これらゼロトラストの原則を適用することで、宮殿のセキュリティが高まり、王女ジャスミンの身は守られることになりますね(ラブロマンスは起きませんが…)。

■まとめ

ゼロトラストは、内部・外部を問わず、継続的に信頼性を検証し、必要最小限の権限を適用することで、セキュリティを担保するための重要な考え方です。特に、クラウド化・テレワーク型社会への移行が急速に進む今、必須とも言えます。今後、「ゼロトラストを実現する」ためのソリューションや製品は普及するでしょう。

しかし、これまで説明したように、ゼロトラストは、あくまで考え方であり、特定のソリューションや製品を表す名称ではありませんので、「この製品を入れれば、ゼロトラストです!」という話があれば、まずは、「検証」したほうがいいかもしれませんね。

編集部からのお知らせ!

関連記事

ABJ mark

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標 (登録番号 第6091713号) です。 ABJマークについて、詳しくはこちらを御覧ください。https://aebs.or.jp/