ゼロトラストは、このままではテレワーク対策に矮小化されて終わる：ゼロトラストセキュリティの理想と現実

「ゼロトラスト」が今注目されている理由は、多くの企業・組織がテレワーク対応でVPNに代わる対策を求めるようになったことにある。つまり、テレワーク対策が終われば、ゼロトラストはきれいさっぱり忘れ去られてしまう可能性がある。

　「ゼロトラスト」は2010年に生まれた概念だ。それが2020年になって注目されている理由は、多くの企業・組織がテレワーク対応でVPNに代わる対策を求めるようになったことにある。

　ゼロトラストの発想は、境界セキュリティからの脱皮が出発点となっている。だが、境界セキュリティの終焉（しゅうえん）は、ゼロトラストが登場するかなり前から語られていた。当時から「デスクトップIPsec」など、社内で個別にセキュアな通信を行う技術は提案されていた。また、ディレクトリによって、社内のITリソースを（プリンタまで含めて）一元的に管理すると共に、統合的できめ細かな認証と権限管理を実現することを目指した仕組みもあった。「検疫VLAN」なども、ネットワークのセグメンテーションを、セキュリティに結び付ける取り組みとして挙げられる。ただし、それぞれの仕組みは複雑で構築や運用が難しく、組み合わせるのも容易ではなかった。

　一方、一般的な企業にとって、境界セキュリティの終焉は、理屈としては理解できても、アクションを起こすべき課題にはなかなか転化しなかった。その後境界セキュリティ製品だけでは守り切れないセキュリティ侵害事例が相次ぐようになってくると、「多層防御」などのキーワードの下、これに対応するためのセキュリティ製品が登場し、採用も広がった。

　また、クラウドの利用が拡大すると共に、これに対応する製品も広がってきた。一方で、セキュリティ製品自体のサービス化やクラウド化が、サイバーセキュリティ業界における過去数年間での最大のトレンドとして浮上した。

　それ自体がクラウドサービスとして提供されるクラウド対応セキュリティ製品は、やがて企業社内の「ポスト境界セキュリティ」への取り組みに活用できる機能を備えるようになってきた。Gartnerが2019年から提唱している「SASE（Secure Access Service Edge）」という概念は、こうした動きを後押ししている。

　それでも多くの一般企業にとっては、セキュリティ的に保護しなければならないシステムやデータと、これを利用するユーザーのほとんどが社内に存在していることから、境界セキュリティという前提を考え直すきっかけがなかった。クラウドの利用は進んでも、SaaSであれば個別にセキュリティが確保されていると考えた。IaaS上で社内業務システムを動かすようになった企業も、クラウドへのVPN接続で社内ネットワークの境界を論理的に広げることにより、対応できると考えてきた。

　ところが、新型コロナ禍をきっかけとして、テレワーク環境の整備が多くの企業における最重要課題となった。即座に思いつくのはリモートアクセスVPNの増強だが、ある程度以上の規模の企業で、社員の大多数へリモートアクセスを提供するとなると、従来型のVPN装置などの増強で対応するには限界がある。そこで、クラウド型VPNを調べる過程で「ゼロトラスト」という言葉を目にし、興味を持った人が多いのではないか。