セキュリティというか、外部からの攻撃に対抗する方法として、ずっと以前からは入口でのブロックがされてきた。
今でもこの方法が、世界中のITシステムの大多数を占めていることに疑う余地はない。
なので、ログイン時のチェックばかりが厳しくなり、パスワードの要件が人の記憶能力を遥かに超えるものになり、パスワードを管理するためのアプリが出現。
しかし、そのアプリ利用時にはパスワードを使うという、冗談みたいな状況になっている。
例えば、悪意のある人やシステムがどこかのシステムに不正にアクセスすることに成功したとしよう。
その時に、全くクリーンな利用者のアカウントを使ったら、その人が不正アクセスの原因でなくても、その人がセキュリティ違反をしたものとして処分されるだろう。
ゲートさえ乗り越えてしまえば、後は内部システムにアクセスする際に嵌めてやりたい人のアカウントを使えばいいだけなのだ。
ゼロトラストでは、ゲートを乗り越えただけではなんの意味もない。
内部でのアクセスはその度に認証が求められる。つまり、システム内に侵入しても何かをするためには、都度認証が必用になる。
例えば、個人が唯一持つハードウェアキーに送られるワンタイムコードが必要だとか、そんな感じ。
そこまでのセキュリティが必要な環境は少ないのかも知れないが、いずれはそうなるんだろうなあ。