ゼロトラストセキュリティとは？仕組みや導入のポイントをわかりやすく解説

デジタルトランスフォーメーション（DX）は、もはや特定の企業だけが取り組むテーマではなく、あらゆる業種・規模の企業にとって前提条件となっています。リモートワークの常態化や、SaaSを含めたクラウドサービスの本格活用が進み、企業のIT環境は急速に高度化・分散化しています。

その結果、社内外の境界は曖昧になり、クラウド設定の不備を狙った攻撃、サプライチェーンを経由した侵害など、サイバーリスクはより複雑化しています。従来の境界型防御だけでは、こうした環境変化に十分対応できないケースも増えています。

そうした背景から注目されているのが「ゼロトラストセキュリティ」です。ゼロトラストは、ネットワークの内外を問わずすべてのアクセスを検証するという考え方に基づき、ID管理やデバイス管理などのセキュリティ対策を横断的に再設計するアプローチです。クラウド活用を安全に推進するための基盤として、ゼロトラストの具体的な導入・実装が重要なテーマとなっています。

本記事では、ゼロトラストの定義や仕組み、導入手順を整理し、DX時代に求められる実践的な進め方を解説します。

ゼロトラストセキュリティとは何か

ゼロトラスト（ZT）は、ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことである。

出典 PwC Japan「NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ」

基本的な考え方をわかりやすく解説

ゼロトラストモデルは「Verify and Never Trust」（決して信用しないで必ず確認する）という考え方です。境界型防御のように社内ネットワークは安全、境界外は危険という考え方とは異なり、たとえ境界内部であっても無条件に信用しない、すべてにおいて都度確認し、認証・認可を行うという概念です。

ゼロトラストモデルはその後さらに議論され、先述した「SP 800-207 Zero Trust Architecture」の定義に至ります。総務省の「情報通信白書（令和4年版）」^※2などでも指摘されている通り、サイバー攻撃の増加やクラウドサービスの普及、テレワークの拡大により、セキュリティリスクは年々高まっています。企業はネットワーク上の脅威を防ぐために、セキュリティの考え方を時代のニーズに合わせて変えていかなければなりません。ゼロトラストモデルを基にしたセキュリティ対策は企業にとって重要であるといえます。

ゼロトラストアーキテクチャを考える上で、具体的な企業の取り組みとして挙げられるのがGoogleの取り組みです。Googleは検索エンジンとネット広告を核に、動画配信サービスや人工知能（AI）、ロボット企業など多くのテクノロジー企業との買収などを通じて連携しています。ここで、買収時の課題となるのがネットワークシステムの統合です。

もともと他社のものであるネットワーク構成を、自社の内部の仕様に適合させるには苦労が伴います。ゼロトラストセキュリティでは、インターネットにさえ接続できていればインフラとして機能します。従来の方法でネットワークを統合するよりずっと軽い負担で統合できるというわけです。Googleのゼロトラストセキュリティモデルは「BeyondCorp」として公表されています。

ゼロトラストでは、ネットワークの内外を問わずセキュリティ対策を講じる必要があります。従来の境界型防御では、社内ネットワークに侵入されると内部からの攻撃を防げないという考えが前提にあるためです。クラウドサービスやテレワークの普及により、境界が曖昧になった現代では、すべてのアクセスを疑い検証する姿勢が不可欠です。

従来型の境界型セキュリティとの違い

従来型では、VPN（仮想プライベートネットワーク）に接続するIDとパスワードがあれば社内システムに入り、アプリケーションを利用することができました。ファイアウォールやIDS/IPS（侵入検知装置／侵入防止装置）、アンチスパム／アンチマルウェア、UTM（統合脅威管理）などの製品を配置し、社外と社内の境界を出入りするパケットをチェックします。このように、社内ネットワークの安全を保障するのが従来型の「ペリメタモデル」です。

境界型セキュリティモデルであるペリメタモデルでは、一度検査したパケットや認証した利用者を信頼します。しかし、ここに落とし穴があります。

安全と思っていたはずの境界内ですが、セキュリティ製品の監視をかいくぐる攻撃など従来なかったような脅威が近年特に目立っているからです。

境界線を引いて内側を防衛する方法は、例えばドッジボールにおける戦い方のイメージにも通じるためわかりやすいですが、一方で現在のセキュリティトレンドは「敵はどこにいるかわからない」という考え方へと急速にシフトしています。そこで「だれも信用しない」という考え方に支持が集まっているのです。

このように、防衛に対する根本的な考え方が変化しているのであれば、ファイアウォールやIDS/IPSといった従来型のセキュリティ製品だけでは今後を展望できなくなります。だれも信用しないゼロトラストアーキテクチャならではの戦い方があるからです。

ゼロトラストが今注目される背景

従来型セキュリティ施策の限界は、新型コロナウイルス感染症の影響によって広がったテレワークの影響として、すでに見えています。境界内のネットワークにのみ公開されているWebサービスは通常インターネットから接続できません。組織の外のネットワークから接続するためにはVPNなどのリモートネットワークを利用する必要があります。しかし、VPNには課題があるのです。

背景にある3つの主要な要因について具体的に解説します。

テレワークの普及とセキュリティリスク

ゼロトラストが注目される背景には、働き方の多様化によるセキュリティ環境の変化があります。テレワークの普及により従業員が社外から業務システムへアクセスする機会が増加し、従来の境界型防御では対応できないリスクが顕在化しました。

私有端末の業務利用（BYOD）や公衆Wi-Fi経由の接続など、管理が困難な環境下でのアクセスが常態化する中、ゼロトラストセキュリティの重要性が増しています。

クラウドサービスの利用拡大

クラウドサービスの利用拡大により、企業のセキュリティ環境は変化しています。業務で使用するアプリケーションやデータの保管場所が、従来の社内サーバからクラウド環境へ移行したためです。

システムやデータが物理的な社内ネットワークの外側に存在する状況が一般化しました。社内を安全、社外を危険とみなす境界型防御では、クラウド上の資産を適切に保護できません。

サイバー攻撃の巧妙化と高度化

サイバー攻撃の巧妙化により、侵入を完全に防ぐことが困難になっているのが現状です。特定の企業を狙った標的型攻撃やランサムウェアは、従来のセキュリティ対策をすり抜ける高度な手法を用いるためです。

実際に、境界防御を突破して社内ネットワークへ侵入されるケースが増加しています。侵入されることを前提として、内部での不正アクセスを検知し被害を最小化するゼロトラストの考え方が重要です。

ゼロトラストを実現する7つの基本原則

データやサービスをすべてリソースと定義

ゼロトラストでは、保護すべき対象をすべてリソースとして定義することが基本原則です。従来のセキュリティ対策がネットワーク境界の防御に重点を置いていたのに対し、データ、アプリケーション、各種サービスなどあらゆる資産を保護対象としなければなりません。

ゼロトラストセキュリティの考え方により、どこに存在する資産であっても一貫したセキュリティ管理が可能となり、包括的な保護体制を構築できます。

場所を問わずすべての通信を守る

ゼロトラストでは、場所を問わずすべての通信を守ることが求められます。社内ネットワークだから安全と考えず、あらゆる通信を信頼できないものとして扱います。社内LANを経由する通信であっても、暗号化や認証を省略せず、厳格なセキュリティ対策を適用しなければなりません。

アクセス許可はセッション単位で実施

ゼロトラストでは、アクセス許可をセッション単位で実施することが原則です。一度認証に成功したユーザを継続的に信頼するのではなく、リソースへのアクセス要求が発生するたびに検証を行うことが求められます。

例えば、業務システムにログイン後も、別のファイルやアプリケーションへアクセスする際には改めて認証と認可を求めることが必要です。セキュリティ侵害が発生した場合でも被害範囲を限定でき、不正アクセスを早期に検知できます。

動的なポリシーでアクセス可否を判断

ゼロトラストでは、動的なポリシーによってアクセス可否を判断することが重要です。固定的なルールではなく、ユーザの役割、使用デバイス、アクセス時間、場所といった複数の要素をリアルタイムで評価します。

通常と異なる国からのアクセスや、セキュリティパッチが未適用の端末からの接続を検知した場合、自動的にアクセスを制限します。

すべての資産のセキュリティ状態を監視

ゼロトラストでは、すべての資産のセキュリティ状態を継続的に監視することが不可欠です。なぜなら、PCやサーバだけでなく、IoTデバイスやモバイル端末を含むあらゆるIT資産が攻撃対象となりうるためです。

古いファームウェアを使用するIoT機器や、セキュリティパッチが未適用の端末は脆弱性の入口となりかねません。

アクセス前の認証と認可を厳格に実施

ゼロトラストでは、アクセス前の認証と認可を厳格に実施することが求められます。リソースへのアクセスを許可する前に、ユーザやデバイスの本人性と権限を動的に検証しなければなりません。

多要素認証によって本人確認を行い、さらにデバイスのセキュリティ状態や業務上の必要性を評価したうえでアクセス可否を判断します。厳格なプロセスにより、なりすましや権限外のアクセスを防止でき、セキュリティリスクを低減できます。

収集した情報でセキュリティを改善

ゼロトラストでは、収集した情報を活用してセキュリティを継続的に改善することが重要です。ネットワークトラフィックやアクセスログなどのデータを分析することで、脅威の傾向や脆弱性を把握できます。

異常なアクセスパターンを検知した場合、データを元にポリシーを更新し、同様の攻撃を未然に防ぎます。継続的な改善サイクルにより、セキュリティ対策の精度が向上し、新たな脅威にも迅速に対応できる体制の構築が可能です。

ゼロトラスト導入の3つのメリット

ゼロトラスト導入には企業にとってメリットがあります。従来の境界型防御では対応困難な現代のセキュリティ課題を、ゼロトラストの考え方で解決できるためです。

セキュリティレベルの全体的な向上

ゼロトラスト導入により、セキュリティレベルの全体的な向上が実現します。社内ネットワークを無条件に信頼しないため、内部不正やマルウェア感染など内側からの脅威にも効果的に対応できるためです。

すべてのアクセスを検証することで、攻撃者が侵入後に横方向へ移動して被害を拡大するラテラルムーブメントを防止できます。

多様な働き方への柔軟な対応

ゼロトラストは、多様な働き方への柔軟な対応を可能にします。場所を問わず安全なアクセス環境を提供できるため、テレワークやハイブリッドワークのセキュリティ向上を推進できることがメリットです。

多様な働き方の柔軟性により生産性が向上し、優秀な人材の確保にもつながります。働き方改革とセキュリティ強化を両立できる点が特徴です。

ITインフラ運用の効率化

ゼロトラスト導入により、ITインフラ運用の効率化が実現します。クラウドベースのセキュリティサービスを活用することで、各拠点に物理的な機器を設置・管理する必要がありません。

従来は支社ごとにファイアウォールやVPN装置を配備し保守していましたが、ゼロトラストではクラウド上で一元管理できます。機器の購入費用や保守作業が削減され、運用負荷とコストを大幅に低減できます。

ゼロトラスト導入の注意すべきデメリット

ゼロトラスト導入には注意すべきデメリットも存在します。セキュリティ強化のメリットがある一方で、企業は事前に注意点を把握しておかなければなりません。

導入と運用にコストがかかる

ゼロトラスト導入には相応のコストがかかることを認識しなければなりません。新たなセキュリティソリューションの導入費用や、既存システムからの移行作業に多額の投資が必要です。

認証基盤の刷新やアクセス制御システムの構築には初期費用がかかり、既存環境との統合にも時間と労力を要します。さらに、継続的な運用には専門知識をもつ人材の確保や外部サービスの利用も欠かせない要素です。

セキュリティ管理の複雑化

ゼロトラスト導入により、セキュリティ管理が複雑化する可能性があります。従来の境界型セキュリティと比較して、管理すべき項目や運用プロセスが増加するためです。例えば、すべてのアクセスログを監視し、動的なポリシーを継続的に見直す作業が発生します。

複雑性に対応するには、適切な運用体制の構築と担当者の育成も必要です。体制整備を怠るとセキュリティの実効性が低下します。

生産性への一時的な影響

ゼロトラスト導入により、生産性への一時的な影響が生じる可能性があります。厳格な認証プロセスやアクセス制御が加わることで、従業員の業務効率が導入初期に低下する可能性を考慮しなければなりません。

リソースへのアクセスごとに認証が求められたり、承認手続きが増えたりすることで作業時間が延びる場合があります。セキュリティと業務効率のバランスを考慮した段階的な導入により、スムーズな移行が見込めます。

ゼロトラストを実現するための主要技術

ID管理と認証強化（IAM/IDaaS）

ゼロトラストの基盤となるのがID管理と認証強化です。だれがアクセスしているかを正確に把握することがセキュリティの起点です。IAM（Identity and Access Management）ではユーザIDと権限を一元管理し、IDaaS（Identity as a Service）では多要素認証などの高度な認証機能をクラウドで提供します。

エンドポイントセキュリティ（EPP/EDR）

エンドポイントセキュリティは、ゼロトラスト実現に不可欠な技術です。EPP（Endpoint Protection Platform）はマルウェア感染を未然に防ぎ、EDR（Endpoint Detection and Response）は感染後の異常な挙動を検知して迅速に対応します。

不審なプロセスの実行を検知した際、EDRが自動的に隔離し被害拡大を防ぎます。

クラウドアクセス制御（CASB/SWG）

クラウドアクセス制御は、ゼロトラストにおいて重要な役割を果たします。CASB（Cloud Access Security Broker）は従業員のクラウド利用状況を可視化し制御します。SWG（Secure Web Gateway）は安全なWebアクセスを実現し、マルウェアから守る技術です。

アクセスを可視化し、従業員が無断で利用しているツールを検出できるため、IT部門が把握していないシャドーIT対策にも有効です。

ネットワークの監視と分離（ZTNA）

ネットワークの適切なアクセス制御と分離には、ZTNA（Zero Trust Network Access）が効果的です。従来のVPNが社内ネットワーク全体へのアクセスを許可するのに対し、ZTNAはユーザと特定のリソースを直接接続し、不要なアクセスを制限します。

ネットワーク内での横移動を防ぎ、セキュリティリスクを低減できます。ゼロトラスト時代のVPN代替技術として注目されている技術です。

運用の可視化と分析（SIEM/SOAR）

ゼロトラストにおいて、各ソリューションから出力されるログを統合し、分析する技術も不可欠です。SIEM（Security Information and Event Management）は、複数の機器から収集したログを相関分析し、潜在的な脅威を検知します。

また、SOAR（Security Orchestration, Automation and Response）を活用することで、検知したインシデントへの対応工程を自動化し、迅速な復旧を支援します。これらは、収集した情報に基づきセキュリティを継続的に改善するという、ゼロトラストの原則を実現するために重要な役割を担います。

ゼロトラスト導入を成功させる手順

ゼロトラスト導入を成功させるには、計画的な手順を踏むことが重要です。全面導入するのではなく、段階的に進めることでリスクを抑え、効果を最大化できます。また、独立行政法人情報処理推進機構（IPA）が公開している「ゼロトラスト導入指南書」^※4では、導入に向けた具体的な工程が示されています。

手順1：現状のIT環境と課題の把握

ゼロトラスト導入の第一歩は、現状のIT環境と課題の把握です。クラウドサービスの利用状況、端末の種類、アクセス経路などを棚卸しします。現状把握により、シャドーITや脆弱なアクセス経路など課題を明確にできます。

現状を正確に把握することで、最適なゼロトラスト戦略の策定が可能です。

手順2：導入範囲と優先順位の決定

ゼロトラスト導入では、導入範囲と優先順位の決定が重要です。全社への一斉導入はリスクが高く、段階的なアプローチが効果的です。

機密情報を扱う部門や外部アクセスが多いシステムから優先的に導入します。顧客データや知的財産など重要度の高いリソースを優先的に守るスモールスタート方式により、課題を発見しながら段階的にゼロトラストセキュリティの範囲を拡大できます。

手順3：具体的なソリューションの選定

ゼロトラスト導入には、具体的なソリューションの選定が必要です。認証強化が優先ならIAM、端末保護ならEDR、リモートアクセスにはZTNAなど、課題にあったソリューションを選定します。

複数製品が連携して動作するかどうかも重要な要素です。統合管理が可能なソリューションを選ぶことで、運用負荷を抑えながらゼロトラストセキュリティ体制を構築できます。

手順4：段階的な導入と効果測定の実施

ゼロトラスト導入は、段階的な導入と効果測定の実施が不可欠です。導入後はアクセスログを分析し、インシデント発生状況や業務への影響を定期的に測定します。

得られたデータを基に認証エラーの頻度や業務効率の変化を評価し、ポリシーをチューニングしなければなりません。見直しにより、セキュリティレベルと利便性のバランスを最適化できます。効果測定を繰り返し、自社に最適なゼロトラストセキュリティ体制を構築することが重要です。

段階的導入で始めるゼロトラストセキュリティ

ゼロトラストは、現代のビジネス環境において不可欠なセキュリティアプローチです。テレワークやクラウドサービスの普及により、従来の境界型防御では対応できない脅威が増加しているのが現状です。

本記事で解説した7つの基本原則と主要技術を理解し、段階的な導入手順に沿って進めることで、セキュリティレベルを向上させながら多様な働き方にも対応できます。まずは自社のIT環境と課題を把握し、優先順位を決めてスモールスタートで始めることが重要です。

参考情報

※1 NIST（National Institute of Standards and Technology：米国国立標準技術研究所）

※2 総務省｜令和4年版 情報通信白書｜総論

※3 SP 800-207, Zero Trust Architecture | CSRC

※4 IPA/ゼロトラスト導入指南書