ゼロトラスト

社内ネットワークの中にいれば安全、という前提はまだ通用するのか。テレワークやクラウド利用が広がると、守るべき情報は庁舎の中にとどまらず、職員も庁外から接続する。境界の内側を信頼する従来の防御では、いったん内部に侵入されると横展開を許してしまう。ゼロトラストは、この「内側は安全」という前提を捨て、すべてのアクセスを信頼しない（trust nothing）ことから出発する。具体的には、誰が（利用者認証）・どの端末から（端末の正常性）・何にアクセスしようとしているか（権限）を接続のたびに検証し、認められた範囲だけを最小限の権限で許可する。自治体では、三層の対策に代表される境界防御を直ちに置き換えるものではなく、クラウドサービスの利用拡大やリモートアクセスの場面で、境界防御を補完・発展させる考え方として総務省のガイドラインや調達仕様で取り上げられつつある。

境界防御との違い——「内側は安全」を捨てる

ゼロトラストの核心は、ネットワークの境界を信頼の根拠にしない点にある。境界防御は、ファイアウォール等で内外を分け、内側に入った通信は基本的に信頼する。これに対しゼロトラストは、内側・外側という位置を信頼の根拠とせず、アクセスのたびに利用者の認証、端末の状態（OSの更新状況やマルウェア対策の有無）、アクセス先の権限を検証し、許可するのは必要最小限の範囲に限る。これにより、仮に1台の端末や1人のアカウントが侵害されても、そこから他のシステムへ自由に移動する横展開を抑えられる。多要素認証、端末管理（MDM/EDR）、アクセス権限の細分化といった複数の要素を組み合わせて実装する点も、単一の境界に頼る構成との違いである。

自治体での位置づけ

自治体の情報セキュリティは、三層の対策という強固な境界・分離モデルを基盤としてきた。一方、ガバメントクラウドの活用やクラウドサービスの利用拡大、テレワークの常態化により、守るべき情報と利用者が境界の外へ広がり、境界の内外だけで安全を担保しきれない場面が増えている。ゼロトラストは、こうした環境変化に対応するため、三層の境界防御を否定するのではなく、その上にアクセスごとの検証を重ねて補完・発展させる考え方として論じられている。導入には認証基盤やログ監視の整備、運用体制の見直しを伴うため、自治体の規模や業務実態に応じた段階的な取り組みが現実的である。