「デジタルアイデンティティのやさしい教科書」の連載記事です。この連載で認証・認可、権限管理などサイバーセキュリティにおけるアイデンティティの基礎を学ぶことができます。前回は「そもそもアイデンティティとは？ID・アカウントとの違いは？（第1章 第1節）」を学びました。その内容を踏まえて、今回はデジタルアイデンティティとゼロトラストについて解説します。

デジタルアイデンティティの保護と管理はサイバーセキュリティの基本であり、組織のIT環境の基礎とも言えますが、現代では、IT環境の変化による新たなリスクとビジネス機会の増加に伴い、その重要性がさらに高まっています。

‍

エンティティの多様化と分散によるアイデンティティ管理の複雑化

‍

クラウドサービス（SaaS、IaaS、PaaS）の普及やリモートワーク、モバイルデバイスの活用により、従業員が複数の分散したクラウド上のリソースにアクセスする機会が増加しています。この変化に伴い、アクセス元もアクセス先も多様化し、アイデンティティの管理が複雑化しています。

さらに、外部ユーザーとのリソース共有、他組織のシステムとの連携、IoT機器の導入などが、この複雑さを一層加速させています。一方で、これらの技術の発展は、業務の柔軟性を高め、DXの推進を支える重要な要素にもなっています。

‍

💡経済産業省の「デジタルガバナンス・コード3.0～DX経営による企業価値向上に向けて～」では、以下のように、サイバーセキュリティをDX推進の前提としており、企業価値向上へ寄与することが提言されています。
‍
‍DXの推進による企業価値向上についてDXを推進していく上での前提となるサイバーセキュリティ対策を必要不可欠な投資であると捉え、サイバーセキュリティリスクを把握・評価し、対策を実施することで、企業活動におけるコストや損失を最小化できる。
‍
参考 : 経済産業省『デジタルガバナンス・コード3.0～DX経営による企業価値向上に向けて～』

‍

デジタルアイデンティティは時代や技術とともに変化していきます。過去と現在のIT環境を見直しながらアイデンティティの重要性を学んでいきましょう。

‍

境界型の組織ネットワークセキュリティの課題

‍

かつてのIT環境では、組織ネットワークの境界内に人とリソースが閉じられており、その内側で業務を完結できました。この設計は、内部と外部の境界が明確で、外部と接する境界部分を防御し、堅牢なセキュリティを実現するものです。現在でも多くの組織で採用されています。

しかし、境界型セキュリティに偏重した設計では、境界内のネットワークやエンティティが無条件に信頼できるものとして、境界内部のセキュリティ対策が不十分な場合があります。この問題はメールやWebサイトを経由する、デバイスや個人を直接狙ったAPT攻撃によって広く認識されることになりました。攻撃者は侵害したデバイスや機器から組織ネットワークへの侵入し、境界内部で攻撃者は横展開（ラテラルムーブ）を繰り返し、容易に特権的な権限を窃取できてしまいます。

‍

参考 : 医療機関向けセキュリティ教育支援ポータルサイト『病院で発生した深刻なサイバー攻撃、当事者が被害と対策の全容を語る（1）』

参考 : 国土交通省『名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について（概要）』‍

参考 : 小島プレス工業株式会社『小島プレス工業株式会社 システム停止事案調査報告書（第 1 報）』

‍

こうした新たな脅威だけでなく、リモートワークの推進、クラウドサービスや外部システムとの連携などで、ネットワークの運用管理の複雑化していきます。組織ネットワークの内側も外側も、さまざまなリスクを抱えることになります。

参考 : 総務省『テレワークセキュリティガイドライン第４版』

‍

変化するIT環境に適応するための設計思想

‍

このように、これまで組織ネットワークの信頼できる内側（トラステッド・ゾーン）にあったエンティティやリソースが組織ネットワークの外側（アントラステッド・ゾーン）に広がっています。この結果、攻撃する機会と攻撃対象となる面（アタック・サーフェイス）が拡大し、リスクが増大してしまっています。

こうした個別のリスクに部分的に対応するだけでは限界があるため、境界型セキュリティを見直し、オンプレミスやクラウド、組織内外を問わず包括的に資産を保護する設計が求められています。ここで注目されたのが信頼（トラスト）できるネットワークがなくなってしまったことを意味する、「ゼロトラスト・ネットワークス・アーキテクチャ」です。

ゼロトラストは、「信頼できるネットワーク」を前提とせず、「何を信頼の起点（トラスト・アンカー）とし、信頼をつなぎ（トラスト・チェーン）、信頼を継続させるか」を考え抜く設計思想です。

‍

ゼロトラストにおけるアイデンティティの重要性

‍

NIST SP 800-207（Zero Trust Architecture）では、アイデンティティを「ゼロトラストモデルの主要な要素」と明確に記述しています。

ゼロトラストモデルでは、すべてのエンティティが信頼できないネットワーク上にあると想定します。そのため、アクセスの判断にはネットワークだけではなく、「誰（なに）」が「どのような状況（属性やコンテキスト）」で「どのリソース」にアクセスしようとしているかを検証し、それら確かな情報をポリシーによって評価し、アクセスを許可します。

NIST SP 800-207（Zero Trust Architecture）やGoogleのBeyondCorpを通じて、これを端的に表現するフレーズとして、「信頼せず、常に検証せよ（Never Trust, Always Verify）」が提唱されています。いかなる状況でも、すべてのアクセスに対して、そのアクセスの正当性を担保していこうとする姿勢です。そのためには、やはり、誰が？何に？というアイデンティティが重要な要素になります。

ゼロトラストについても本連載では積極的に触れていきます。デジタルアイデンティティを学ぶことで、ゼロトラストの理解も進みます。

‍

第2章では、IDとアカウントの種別や、認証・認可について詳しく解説していきます。