ゼロトラスト導入に際して、最初に検討しなければいけないのが、IdP(Identity Provider)の選定です。IdPとは、アイデンティティー &アクセス管理(IAM)をする機能を提供してくれるサービスです。
自前で認証基盤を持っている会社もあると思いますが、最近では、Azure AD など、大手クラウドベンダーに付属のサービスを活用する例が増えています。
大手のIdPを利用する理由は、多要素認証や端末認証、端末のバージョンに関する制限といったゼロトラスト時代に即したフレームワークを、すぐに利用できることが挙げられます。
さらに、既存の社内のID基盤からの移行・連携もサポートしています。認証基盤を外部に置くことに不安を感じることもあるかもしれませんが、大手のIdPゆえの一元的な認証周辺機能の提供というメリットと天秤に掛けて考えるのが良いでしょう。
IdPを利用して、単純に既存VPNの認証部分を刷新することも可能です。もしパスワード認証だけで運用しているとしたら、多要素認証の導入のために検討を実施することをオススメします。
それに加え、IdPの提供する機能によって、SAML(Security Assertion Markup Language)という規格を利用した、複数のアプリケーションへのシングルサインオンが実現可能です。
これにより、クラウド上にあるSaaS型の社内サービスであれば、社内イントラネットを一度経由する形のVPNを利用することなく、直接SaaS型サービスと通信をすることが可能となります。テレワークにおけるVPNの逼迫問題も同時に解決できるかもしれません。
さらにいえば、直接SaaSを利用しているため、「ネットワークを信頼していない」という点でゼロトラストと言えます。同様に、社内ネットワーク上にあるシステムについても、SAML対応のアプリケーションであればシングルサインオン化が可能です。
これにより、社内からのアクセスと社外からのアクセスの区別が少なくなり、リモートワークでも出社しているのとほぼ同等のセキュリティが担保できます。