2025年10月20日 / 最終更新日時 : 2025年10月16日 office_y5r18d5t コラム

コラム第896号:「ゼロトラストアプローチとリスク論的アプローチ」

第896号コラム:佐々木 良一 理事(東京電機大学 名誉教授 兼同大学サイバーセキュリティ研究所 客員教授)
題:ゼロトラストアプローチとリスク論的アプローチ

1.はじめに

 ゼロトラスト(Zero Trust)の考え方が普及し、日本の地方自治体のシステムもゼロトラストの考え方に基づき見直しをしようとしている。ゼロトラストを採用することはゼロリスクであることを意味しない。そこで、どのようにすればゼロトラストアプローチが適切なものになるのか考察を行う。

2.ゼロトラストアプローチの概要

 ChatGPTなどを使って調べるとゼロトラストとは、「誰も信用しないことを前提とする」セキュリティモデルであるとされている。従来の「一度社内ネットワークに入れば信頼される」という考え方(境界防御型)とは異なり、ゼロトラストではネットワークの内外を問わず、すべてのアクセスを検証・制御することを基本としている。

 このゼロトラストのアプローチが普及した背景は、リモートワークの普及、クラウドサービスの普及拡大、高度なサイバー攻撃の増加があるとされている。このゼロトラストの歴史を振り返ると2010年にForresterのアナリスト John Kindervag がゼロトラストの概念を提唱したのが最初だといわれている。その後、2014年-2016年にGoogleがその実践を試みた。2018年‐2020年には普及が進みMicrosoft、Cisco、IBMなどの大手企業がゼロトラストを製品戦略に組み込み始めた。また米国政府機関が注目しはじめ、2020年にはNISTが「SP 800-207 Zero Trust Architecture」という公式ガイドラインを策定した。また、2021年にはサイバーセキュリティ・インフラセキュリティ庁(CISA)により「ゼロトラスト成熟度モデル」が策定された。

 このゼロトラストアプローチでは次のような対策が重要であるといわれている。

 ① すべてのアクセスを検証する(Never Trust, Always Verify)

 ② 最小権限の原則(Least Privilege Access)

 ③ マルチファクタ認証(MFA)の活用

 ④ 継続的な監視とログ分析など

3.リスク論的アプローチ

 リスク とは,英語のRiskの訳であり,危険と訳される場合もある。「将来の帰結に対する現在における予測」という見方が下敷きになっていて常に不確実性を伴う。工学分野の確率論的リスク評価ではリスクを次のように定義することが多い。

   リスク=損害の大きさ×損害の発生確率

 ここで、リスク論ではリスクマネジメントとリスクアセスメントやリスク対応の関係は図1に示すようにまとめられることが多い。

4.ゼロトラストアプローチの問題点と対応策

 ゼロトラストアプローチは時代に合致したものであり基本的には合理的なアプローチだと考えられる。ただ、以下のような問題もある。

今、図2に示すようにマイナンバー用のサーバと一般業務用のサーバがあるとする。対策後のマイナンバーサーバ用の残存リスクと、一般業務用サーバの残存リスクはリスク論によればそれぞれ次式で表すことができる。

(1)マイナンバー用サーバの残存リスク

    R1’=(P1*D1)*M1   ―――(1)     

     P1:マイナンバー用サーバが被害を受ける確率

     D1:対策による確率低減効果

     M1:マイナンバー用サーバが被害を受けた場合の損害額(円)

(2)一般業務用サーバの残存リスク

    R2’=(P2*D2)*M2   ―――(2)

     P2:一般業務用サーバが被害を受ける確率

     D2:対策による確率低減効果 

     M2:業務用サーバが被害を受けた場合の損害額(円)

ここでは両者の構成が同じであるので、P1≒P2と考えてよいだろう。また、損害額に関してはマイナンバー系からの情報漏洩などがもたらす損害は、明らかに一般業務系より大きいのでのM1>>M2であると考えることができる。

また、ゼロトラストの考え方ではすでに述べたような4 つの対策を検討するが対象システムの重要性によって対策を変えるという言及はなされていない。そうするとシステム構成が同じならインシデントの発生確率の低減効果はD1≒D2になると考えられる。従って、式(1)(2)と上記の推定によりR1’>>R2’となり、マイナンバー用サーバの残存リスクが一般業務用サーバの残存リスクよりも大幅に大きいまま残されることになる。

R1’ の値が十分小さいことが証明されている場合は問題ないが、大きくなる可能性は残る。このような問題を避けるには、リスクアセスメントやリスクコミュニケーションと関連付け、マイナンバー用サーバ側のリスクが十分小さくなるように追加対策を取っておく必要がある。

5.おわりに

 ここではゼロトラストの考え方自体は適切なものであるが、同時にリスクアセスメントを中心とするリスク論的アプローチも併用しないと適切な対策にならないことを示した。今後のゼロトラストアプローチが常にリスクアセスメントやリスクコミュニケーションとリンクしたものになることを期待する。

【著作権は、佐々木氏に属します】

カテゴリー
コラム第22期
コラム

前の記事

コラム第895号:「Health ISAC Japanの設立、および「ヘルスケア」分科会との連携について」
2025年10月13日