【リンク先抜粋】
　行政のデジタル化を目玉政策に掲げる菅義偉（すがよしひで）政権にとって、避けることができない課題にサイバー攻撃がある。スマートフォン決済事業者を使った不正な預金引き出し問題はその典型で、セキュリティー対策の抜本的な見直しが急務だ。こうした中で注目されるのが「ゼロトラスト（信用しない）」という新しい考え方。不正侵入を完全に防ごうとするのではなく、侵入があり得るとの前提で対策をとる発想で、今後の浸透が見込まれている。 【図で見る】本人確認が不十分な所が犯人に狙われた 　「顧客を広げるため、簡易な方法を取った。反省している」。ＮＴＴドコモの電子マネー決済サービス「ドコモ口座」を用いた不正な預金引き出し問題で、９月１０日に記者会見したドコモの丸山誠治副社長はそう述べ、セキュリティー対策の甘さを認めた。 　ドコモは昨年９月に同サービスをドコモの携帯電話契約者以外に広げた際、メールアドレスだけで口座が開設できるように仕様を変更。フリーメールを使えば簡単に他人になりすますことが可能になっていた。事業拡大に伴い生じた、セキュリティーの穴を見落としていた格好だ。 　セキュリティー問題に詳しい決済サービスコンサルティングの宮居雅宣社長はドコモ口座の問題について「ゼロトラストの考え方に基づいて工夫をすれば防ぐことはできた」と話す。 　不正利用されることを前提に考えていれば、本人確認手続きを強化するなど、対策を講じることができたからだ。ゆうちょ銀行など銀行側のセキュリティーにも同じことが言える。 　ドコモの担当者によると、同社では一部でゼロトラストの考え方を取り入れたシステムも導入し始めていたが、「未導入の部分が狙われた」のだという。 　ゼロトラストは「信用しない」という言葉の通り、外部も内部もすべて疑ってかかるという「性悪説」に基づいた考え方だ。 　２０１０年に米国の調査会社「フォレスター・リサーチ」のジョン・キンダーバーグ氏が提唱した概念で、これをシステムに落とし込むと、利用者や使われている機器を正確に特定し、常に監視・確認する仕組みになる。米グーグルが今春にゼロトラストの発想に基づくセキュリティー対策を備えたクラウドサービスの提供を始め、広く知られるようになった。 　ゼロトラストに対し、これまでのセキュリティーは「境界型」といわれている。城の守りのようなイメージで、

続きはこちら

(2020/10/03)