Intro

　CTO室所属の@ken5scal (鈴木研吾)です。LayerXでは、事業を横断するかたちでSRE、社内システム基盤、セキュリティやガバナンスなどを担当しています。一方、個人としてはセキュリティ関係の同人会を主宰するなど専らセキュリティ関係の活動をしており、その一環で昨年度にO’Reillyの「ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計」を監訳しました。

　その甲斐あってか、あるいは一気に増えたテレワークによるセキュリティインシデントの多発によってか、当初の予想をはるかに超え、日経新聞にとりあげられるほど「ゼロトラスト」という言葉が普及したように思います。そこで、ゼロトラストを起点に「トラスト（信頼）」について、複数回に分けて筆を執りたいと思います。今回は第一回目ということで、現在、様々な分野で話されているトラストの概観について書きます。

トラストとゼロトラスト - トラストとは

　ゼロトラスト自体には2016年あたりに出会い、それからトラストとは何かについて思いを馳せていました。ファイアウォールのトラストゾーンから脱するということで、ゼロなトラストネットワークと名付けられていた節がありますが、最近はNIST（National Institute of Standards and Technology：アメリカ国立標準技術研究所）のSP800-207の「Zero Trust Architecture」も含め「ゼロトラスト」となっているように思えます。
　ではゼロになるトラストとは何か。それは、かつてのファイアウォールを中心にしたネットワークゾーンを暗黙的に信頼することを指していました。その信頼モデルを、「Never Trust, Always Verify」を合言葉に全てのアクセスをユーザー、デバイス、ネットワーク単位を動的に検証するモデルに変容した状態がゼロトラストの実現したいことです。
　詳細については過去講演時に作成した資料をSpeaker Deckにアップロードしているため、お時間があればこちらをご参照ください。

　しかし、どうしても全てをVerifyすることなどできません。例えば、HTTPSをサポートしているウェブサイトに日常的にアクセスする上で、認証局（CA）の証明書までしっかり検証しなければならないのでしょうか。不可能ではありませんが、日常業務さえ滞るようになり、コストパフォーマンスも含めて現実的ではないように思います。

　このように全てをゼロトラストにはできず、一定の範囲はトラストアンカーとして、信頼せねばなりません。その場合、トラストとは何か。信頼なのか信用なのか。そういったことを考えた結果、苦し紛れに書いたのがO’Reilly ゼロトラストネットワークの巻末の監訳者による寄稿「トラスト: 信頼か信用か」です。そこでは検証の対象になるのが信用とし、一方、「信頼」は、「ある人や物を高く評価して、すべて任せられるという気持ちを抱くこと」と定義しました。目に見えないものに対する期待と、その期待に対するレスポンスへの期待で、双方向的な感情をもとにした行為と解釈しました。

　さて、技術的なトラストについては自分なりの解釈を提示しましたが、一方、経済や社会的な場面でも「トラスト」という単語をよく聞きます。例えば、監訳と同時期に開催された2019年の「第8回サイバーセキュリティ国際シンポジウム」におけるテーマは「デジタル・エコノミーの越境問題を解決するトラスト・サービス」でした。「健全な市場や社会を維持しつつ、ボーダレスになったデータをいかに個人の幸福追求につなげるかを担保する」ことをトラストとし、議論をすすめる場面もありました。

　また、直近のBG2C FIN/SUM BBにおいて氷見野金融庁長官は講演で
ニューノーマル下で構築しなければならない「トラスト」について繰り返し発言されていました。

Is Satoshi’s dream still relevant today?
https://www.fsa.go.jp/common/conference/danwa/20200825.pdf

個人的には「 He(Satoshi) replaced a trusted third party with a trusted community of nodes」とコミュニティ主導のトラスト構築が垣間見えるなど非常に興味深いものでした。おそらく、このトラストは「慶應義塾大学SFC研究所 ブロックチェーン・ラボ」がリリースしていた「ニューノーマル時代における人間の社会活動を支える情報基盤の在り方とデジタルアイデンティティの位置づけ」に登場したトラストと地続きであるように思えます。そこでは「トラストとは、事実の確認をしない状態で、ユーザまたはその他のステークホルダーが、ある系が期待した通りに振舞うと信じる度合い」と言った形で紹介されていました。

　今回、紹介したトラスト（信頼）は、それぞれ異なる場面で使われていることがわかりました。しかし、何かしらの共通項もあるようです。少々、長くなってきましたので、今回はここまでにし、次回は「信頼を考える: リヴァイアサンから人工知能まで」という本の紹介をしようと思います。

むすび、次回に向けて

　「トラスト」という言葉は技術、経済、社会と様々な文脈にまたがり登場しています。これは偶然でしょうか。それについては、なんとも言えません。しかし、サービスを運営する立場としては様々なステークホルダーと協力しあって、サービスをそして我々を利用者に信頼してもらわねばなりません。
この「LayerX Trustブログ」を通して、読者の皆さんと「信頼」について考え、トップダウン的にあるいはボトムアップ的に読者が広がっていくことで、読者の皆さんから「信頼」について多様な意見が集まったら嬉しいです。

今後のコンテンツ改善（及び筆者のモチベーション）のために、エントリへのご感想、ご意見などをコメントまたはTweetいただければ幸いです。