脆弱な「IDとパスワードの組み合わせ」から脱却する鍵は、物理的境界ではなく「アイデンティティーによる境界」にある：働き方改革時代の「ゼロトラスト」セキュリティ（12）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、アイデンティティーの統合管理の重要性について解説する。

[仲上竜太，株式会社ラック]

　ゼロトラストについて学ぶ本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、「ゼロトラスト」のコンセプトの解説を中心に、「いま、なぜゼロトラストが必要とされているのか」について考えてきました。前回から、「どこから始める？　ゼロトラストの第一歩」として、企業や組織がどこからゼロトラストに取り組んでいけばよいのかについて解説しています。今回は、アイデンティティーの統合管理を検討することの重要性についてです。

働く環境の変化により、境界の位置が変わっている

　ここ数年でデジタルを使用したワークスタイルは、大きく変化しました。

　働き方を多様化させる方法の一つだったテレワークは、コロナ禍の影響もあり、現在は多くの企業や組織で標準的な働き方として取り入れられています。こうした、働く環境の変化や高度化するサイバー脅威から、「情報（データ）」という重要な資産を保護するには、情報セキュリティの考え方にも変化が必要です。そのようなニーズから近年大きく注目を集めている考え方がゼロトラストです。

　従来のオフィスやデータセンターで物理的に敷設されたネットワークを「内部ネットワーク」「オフィスネットワーク」とし、これらをインターネットとの境界で防御する考え方が「境界型セキュリティ」です。「インターネットに脅威が存在し、ネットワーク内部は安全」という考え方は、内部不正や境界を越えて侵入する脅威に対して脆弱（ぜいじゃく）であり、ネットワーク内部でも行動の分析や脅威の検知によって保護する多層防御の考え方が現在では一般的です。

　しかし、コロナ禍で直面したテレワークの常態化やクラウドサービスの活用場面の拡大により、企業や組織が守るべき情報資産は、内部ネットワークから境界防御の外側に拡散しています。在宅勤務により、個人契約のネットサービスで行われる業務や、さまざまなクラウドサービス上に散らばる重要データが、「危険」とされてきたインターネットに広がった状態です。

　一見、守るべき境界が失われたように見える状況ですが、従来の内部ネットワークに設けられた境界に加え、新たな企業や組織の固有の境界線が存在します。利用者の識別、認証に使用される「アイデンティティー」です。

アイデンティティーによる境界

　従来の物理ネットワークによる境界への依存が見直され、「アイデンティティーが新たな境界になる」という考え方が2013年ごろから提唱されるようになりました。この考え方は、利用者からデータへの要求に対して常に動的なポリシーで検証し、アクセスを制御するゼロトラストの考え方に合致します。

　物理的な内部ネットワークから、利用者やデータがインターネット上に拡散している現状では、企業や組織が意識すべき境界は、「何者か」を表すアイデンティティーといえます。「データを作った者」「データを参照する者」「データを変更する者」といったようにデータを操作する主体的な存在（サブジェクト）に対して、「何者なのか」を定義できるのがアイデンティティーです。この場合の「何者か」は、必ずしも人間だけではなく、自動化や管理など、コンピュータが利用するものもアイデンティティーに含まれます。

　アクセス制御では、「何者か」が、企業や組織が保有しているデータに対してアクセスを求めるときに、「何者か」が誰なのかを識別し、「何者か」が本物かどうかを認証し、「何者か」はどのような操作が許されているのかを確認し、それらの活動を記録します。この企業や組織にひも付く「何者か」の集合体の統合的な管理が「アイデンティティー管理」です。

分散するアイデンティティーとその集約