「ゼロトラスト」とは、調査会社Forrester Researchのアナリストが2009年に発案した概念で、何も信頼せず、全てのアクセスに対して全てを疑い検証することを意味しています。
これまで、社内LANやVPNで接続されたデータセンターなどの「内側」は信頼でき、インターネットである「外側」は信頼できないものとして、ネットワークを分け、その境界線でセキュリティ対策をしていました。
この対策は、保護すべき機密情報やシステムが内側にあることが前提でしたが、クラウド利用が多くなり、外側にも保護すべき重要な情報やシステムがある状態になりました。
ゼロトラストは、従来の「境界」の概念を捨て去り、保護すべき情報やシステムにアクセスするものはすべて信用せずにその安全性を検証することで、資産への脅威を防ぐという、という考えです。

ゼロトラストの概念を取り入れたセキュリティ対策では、システムやデータへアクセスするためのIDがセキュリティ境界となりますが、IDのみならずデータ・アプリ・デバイスもそれぞれ保護する必要があります。
なお、ゼロトラストは単一製品やソリューションでの実現は難しく、これら製品やソリューション間の連携が必須です。
例えば、クラウド・アクセス・セキュリティ・ブローカー（CASB）、セキュア Web ゲートウェイ（SWG）、セキュリティ情報とイベント管理（SIEM）やエンドポイントにおける検知と対応（EDR）、情報漏洩対策（DLP）などが関連しますが、それぞれが見ているIDは本当に正しいと言い切れるのでしょうか。
IDの管理が正しく行われない限り、関連製品によるゼロトラスト対策も信頼性が揺らぐことになります。
これら関連機能が本人確認に利用するIDは、IAMにより管理されるため、ゼロトラストの中でもIAMが最も重要な機能であると言えます。