筆者が最初にゼロトラストという概念に触れた時、「認証を疑うべき？昔から言われていることでは??」「必要以上の権限を与えない？当り前では??」と思った。昔からあるものをこねくり回して新しいものっぽく見せる、いわゆる「車輪の再発明」だと感じたが、（米国標準技術研究所）が「NIST SP 800-207」として発行したゼロトラストのガイドラインを読み、そうではないことが理解できた。なお、日本語訳はPwCコンサルティングが公開している。
 
　NISTのガイドラインには“ゼロトラスト 7原則”が定義されているが、その中の原則1と4についてのみ紹介する。

原則1：全てのデータソースとコンピューティングサービスをリソースとみなす

　これはスマートデバイスやIoT機器、コピー機などのエンドポイント側にとどまらず、パブリッククラウドやコンテナ、サーバーやネットワークをはじめとしたインフラの構成をプログラムのようにコード化し、その管理とプロビジョニングを自動化する手法「IaC（Infrastructure as Code）」やAPIのプログラムなど、クラウドネイティブも含まれるため、かなり広範囲に渡る。

原則4：リソースへのアクセスは、クライアントアイデンティティ、アプリケーション／サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する

　クリティカルシンキングは、まさにこの原則4に則って行った。簡素化のためにネットワークアクセスに限定したので項目としてはそこまで多くなく済んだが、本来は原則1のとおり広範囲に渡って信頼度を判定していかなければならない。

　従って、単純なユーザー認証/デバイス認証をかければ良いわけではなくさまざまなポイントで信頼度を積み上げる必要があり、また、アクセス先やアクセス元の端末の権限・状態チェックを動的かつ継続的に行わなければならない点が「車輪の再発明」ではない所以となる。

　では、1製品でこの広範囲な領域を全てカバーできている製品はまだない現状で、どのように製品選定をしていけば良いのか。ここでは一例として当社がどのように製品の目利きをしているかについて述べたい。

　まずセキュリティ製品として必要と考えられる機能を全てマッピングするところからスタートした。ブレストから始まり、セキュリティ業界の有識者と議論を重ねてきたことで網羅的になっている。また、少なくとも半年に1回は新領域の追加やトレンドを鑑みて更新もしているので最新の状態だ。
 
　この全体の機能群の中で、ゼロトラストに必要な機能群に絞ったのが上記の黄色部分である。これでカバー範囲のフレームはできた。

　次にそれぞれの機能の深さ（どこまでできるのか）について評価ポイントを洗い出していった。例えば「SWG（Secure Web Gateway）」を一つ取っても、「PAC（Proxy Auto Configuration）」ファイルでのアクセスコントロールができる製品もあればできない製品もある。「CASB（Cloud Access Security Broker）」でも経路上にインライン設置でシャドーIT検知しかできない製品もあればAPIで詳細な制御まで可能な製品もある。

　このように、カバー範囲内の各機能について評価ポイントを設定し、さまざまなメーカーの製品に対して、どこの領域に対応しているのか、どこまでできるのかを評価している。Webやリリースノートの情報をウォッチしているだけでなく、時にはメーカーに直接ヒアリングして不明点の解消や今後のロードマップ（方向性や追加機能）についても情報を更新しているので参考にしてほしい。また、自身で目利き・情報収集が難しい場合は、数多くの製品を扱っている販売店に相談してみるのも一考の余地がある。