こんにちは、穂苅と申します。
前回は、サイバー攻撃のリアルということでセキュリティレポートを見ながら企業・団体のセキュリティについて見ていきました。ご興味のある方はぜひご覧ください。
今回は、「ゼロトラスト」です。基本知識をおさえた上で、最新トレンドも見ていきます。
ゼロトラストの基礎知識
そもそもゼロトラストとは、社内/社外のネットワークの境界の概念ではなく、「守るべき情報にアクセスするものはすべて信用せずに安全性を検証すること」です。これによって、重要な情報への脅威を防ぐことができます。
従来のセキュリティ対策としては、「内部」は信頼できるもので、それ以外の「外部」は信頼できないものとして分け、その境界線で対策を行うというものでした。これを「境界型防御」といいます。「内部」というのはVPN(Virtual Private Network)や社内のLAM などのことで、外部はインターネットです。
この境界線が重要で、ファイアーウォールなどの対策をすることで攻撃を防ぐという考え方でした。
しかし、今では重要な情報が「内部」にあるとは限らなくなっています。
クラウドのストレージに重要な情報が保存され管理される状況が一般的になりました。そのため、「内部」と「外部」の境界線が曖昧になってきているため、別の対策を取らなければならなくなりました。
そこで、ゼロトラストの考え方が普及しました。すべてを信用せずに、通信経路の暗号化・ユーザー認証
の強化・リアルタイムのアクセスログの収集などを行うことでセキュリティを担保します。
ゼロトラストの最新トレンド
そんなゼロトラストですが、ガートナーがゼロトラストの最新トレンドを発表しました。(※1)従業員500 人以上の組織を対象に、2025 年2 月に行われた調査にて、ゼロトラストの考え方で見直しや強化したセキュリティ領域が明らかになりました。
TOP3 はこちらです。
1. ネットワーク
2. ユーザー
3. デバイス
ネットワークに関しては、SASE(Secure Access Service Edge)を前提としたクラウド中心のネットワークへの移行と、オンプレで事業部門が利用するシステムへのセキュリティ対策です。SASE は、2019 年にガートナーが提唱したネットワークセキュリティモデルで、企業の DX 推進に欠かせない考え方とも言われています。VPN などのネットワーク、ファイアーウォール、UTM(Unified Thread Management)などのセキュリティ機能をクラウド上で包含的に提供するというものです。
ユーザーに関しては、ユーザーID やマシンID に関する部分です。
そしてデバイスは、デバイス環境そのものに頼ったセキュリティ対策から、クラウドやネットワークを含めた統合的なゼロトラストを目指していくというものです。
トレンドに関しては、最新のものをキャッチアップしていることは重要ですのでガートナーのページもぜひご覧ください。
(※1) https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20250508-zero-trust
Webセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
今回は、ゼロトラストについて見てきました。
Web セキュリティに関する問題は、今後も多様化し増えていくことが予想されます。セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。
こういったWeb セキュリティ関連の知識について、詳しくなりたい場合は、徳丸本を学ぶことをおすすめします。
徳丸本は、Web セキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、
ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 脆弱性が生まれる原理と対策の実践
徳丸浩の Web セキュリティ教室
【徳丸試験】
ウェブ・セキュリティ基礎試験 ( 徳丸基礎試験)
