最近よく聞く「ゼロトラスト」の謳い文句は鵜吞みにして大丈夫？原点に立ち返り、本質と目的を見直そう

SASEを導入すれば対策は十分？

　どれも合っているようで合っていない。今回は、改めてゼロトラストの原点にさかのぼり、「ゼロトラストとは何か」について本質を理解したうえで企業、自治体などが自ら製品・サービスの検討ができるようになることを目指していきたい。

ゼロトラストの原点を振り返る

　ゼロトラストの原点は、1994年にStephen Paul Marsh氏（以下、Marsh氏）が発表した学術論文『Formalising Trust as a Computational Concept（コンピュータによる信頼の定式化）』（1994）にある。

　ここからは少し学術的な話になるが、ゼロトラストの本質を理解するためには避けては通れない部分なので、少々お付き合いいただきたい。

　この論文が発表された1990年代は、メインフレーム中心からPCやクライアント/サーバー型システムへのダウンサイジングが急速に進行した転換期で、LAN、分散型システム、インターネット活用などが大きなトレンドになっていた。この時代のセキュリティモデルは境界防御型である。そんな中で発表されたMarsh氏のコンピュータによる信頼の定式化は、「信頼」を数理モデルで定義し、コンピュータシステム上で扱える概念に変換した。「信頼」を連続値で定めて、部分的かつ文脈依存的なものとして扱ったのである。

信頼度の定義（連続値）

　信頼度 T は、区間 [0, 1] または [0, 100] の間の実数として表現される。ここで、最も単純な形式として [0, 1] を用いて解説する。

　この連続値の考え方により、「信頼」が二元論ではないことが形式的に示されたことになる。

信頼度のコンテキスト依存性（動的な加算）

　Marshモデルでは、信頼度 T は単なる時間 t だけでなく、特定の文脈 C にも依存する。これは、ある文脈（ex. メール閲覧）で信頼できるエージェントが、別の文脈（ex. 機密データのダウンロード）でも同じように信頼されるわけではないことを示している。信頼度を動的に決定するための基本形式は、エージェント B が過去に示した振る舞い（Performance）と、その重要度（Significance）に依存するということだ。

　まず、文脈 C における A の B に対する初期信頼度を Tinitial と定義する。

　次に、この Tinitial に、実績に基づいて増減する信用スコア ΔT を加算（または減算）することで、最終的な信頼度を算出する。

---

●Tinitial  (A,B,C)：文脈 C における初期信頼度

■∑ ：t までの過去 n 回の重要な相互作用（Interaction）の総和

■Performance：i 回目の相互作用における B の実績（例: 成功≈+1、失敗≈-1）

■Significance：その相互作用の重要度（重み）

ゼロトラストの思想的基点（Zero Initial Trust）

　Marsh氏の思想的な基点は、システムは原則として他者をゼロ（不信）から扱うべきという考え方にある。これを数式に落とし込むと、デフォルトの初期信頼度がゼロであるという条件の数式になる。

　この時、エージェント A は、エージェント B が文脈 C で何らかのアクションを行う際に、必ず過去の実績や現在の認証情報などの証拠に基づいて ΔT がゼロより大きくなることを検証する必要がある。

　真のゼロトラストとは、この Tinitial  = 0 の状態から始まり、「証明された最小限の信頼」のみを動的に与えていくという形式的なアプローチに裏付けられている。

　少々難解になったが、ここまでをまとめるとポイントは以下のようになる。