企業や組織の情報システムにおいて、「すべての通信やアクセスを信用せず、常に確認する」という考え方に基づいたセキュリティモデルである。

従来は、社内ネットワークの内側は安全であるという前提に立ち、一度信頼された利用者や端末からのアクセスは自由に許可される仕組みが一般的であった。これに対し、ゼロトラストでは、ネットワークの内外を問わず、すべてのアクセスを都度検証し、必要最小限の権限のみを付与することを原則とする。

この方針が注目されるようになった背景には、リモートワークの定着やクラウドサービスの普及により、企業ネットワークの内外を区別する境界が曖昧になったことがある。また、サイバー攻撃は従来よりも巧妙かつ多様化しており、もはや社内ネットワークの内部であっても安全とは限らない。こうした状況を受けて、「すべてのアクセスを信頼せず、常に検証する」というゼロトラストの考え方が求められるようになった。

ゼロトラストは単一の製品や技術ではなく、アクセス制御、暗号化、監視、認証など複数の仕組みを組み合わせて実現される。情報を保護するために、「誰も無条件では信頼しない」という前提に立つことが、今後の情報セキュリティ対策において必須となる。ただし、具体的にどのようにゼロトラスト環境を構築するかは曖昧であることから、現在、ゼロトラストに関する解説書として、NIST（アメリカ国立標準技術研究所）によるSP800-207「ゼロトラストアーキテクチャ」や、IPAによる「ゼロトラスト移行のすゝめ」などが発表されている。