なぜ今、ゼロトラストなのか
「社内ネットワークの中にいれば安全」——この前提が崩れたのはコロナ禍のリモートワーク普及がきっかけでした。従来の境界型セキュリティは、ファイアウォールで社内と社外を明確に分け、内側に入ったユーザーやデバイスを「信頼できる」ものとして扱っていました。しかし実態は、クラウドサービスの利用拡大、BYODの普及、そしてVPN経由で接続するリモートワーカーの増加によって、「内側」という概念自体が形骸化しています。
攻撃者はフィッシングや資格情報の窃取で一度ネットワーク内に入り込めば、あとは横移動(ラテラルムーブメント)を繰り返して重要な資産に到達できます。境界型モデルはこの「内側に入られたら終わり」という弱点を根本的に解決できません。実際、2020年に発覚したSolarWinds攻撃では、正規のソフトウェアアップデートを悪用して多数の大企業・政府機関に侵入が成功しました。これは境界の内側を信頼することの危うさを世界に知らしめた事例です。
ゼロトラストアーキテクチャ(ZTA)はこの前提をひっくり返します。「何も信頼しない、常に検証する(Never Trust, Always Verify)」が基本原則です。場所(社内か社外か)ではなく、アイデンティティ、デバイスの状態、コンテキストに基づいてアクセスを都度判断します。この考え方はGoogleが2010年代に社内向けに実装した「BeyondCorp」で実証され、現在は業界標準の設計思想として定着しています。
ゼロトラストの3つの核心概念
アイデンティティが新しい境界線になる
ゼロトラストでは、ネットワークの境界ではなく「誰が」「どのデバイスで」「何にアクセスするか」がセキュリティの判断基準になります。そのため、強力なアイデンティティ管理が不可欠です。
具体的には多要素認証(MFA)の徹底が出発点です。パスワードだけの認証は、資格情報が漏洩した時点でほぼ無意味になります。SMS認証よりも、FIDO2/WebAuthnに基づくパスキーや物理セキュリティキー(YubiKeyなど)の利用が推奨されます。フィッシングに対して耐性があるのはパスキーや物理キーだけであり、SMSやTOTPコードはリアルタイムフィッシングによって突破される可能性があります。
さらにシングルサインオン(SSO)と組み合わせることで、すべてのアプリケーションアクセスを一元管理できます。Microsoft Entra ID(旧Azure AD)やOktaといったIdP(Identity Provider)がその中核を担います。IdPと連携することで、「退職者のアカウントを一括無効化する」「不審なログイン試行を検知してセッションを強制終了する」といった運用も実現できます。
最小権限の原則(PoLP)を徹底する
ユーザーやサービスアカウントには、業務に必要な最小限の権限だけを付与します。「とりあえず管理者権限を与えておく」という運用は、ゼロトラストと真っ向から対立します。エンジニア組織でありがちなのは、開発者が本番環境の管理者権限を持ったまま長期間放置されているケースです。これは侵害時の被害を最大化する要因になります。
| 権限の与え方 | リスク | ゼロトラストの対応 |
|---|---|---|
| 常時・広範な権限付与 | 侵害時の被害範囲が広い | JIT(Just-In-Time)アクセスで必要時のみ付与 |
| 共有アカウントの利用 | 追跡・監査が困難 | 個人アカウントの徹底とアクセスログの記録 |
| 長期間有効なAPIキー | 漏洩時のリスクが長期化 | 短命なトークン(OIDC・サービスアカウント)の活用 |
JIT(ジャストインタイム)アクセスはゼロトラスト実装の中でも特に効果が高い施策です。管理者権限が必要な作業があった場合に、その時だけ一時的に権限を払い出し、作業が終われば自動的に失効させます。AWS IAMのSTS(Security Token Service)やMicrosoft Entra PIMがこれを実現するサービスです。申請・承認のワークフローをSlackやJiraと連携させることで、監査ログも自動で残せます。
マイクロセグメンテーションで横移動を封じる
仮に攻撃者が一つのシステムに侵入できたとしても、他のシステムへ自由に移動できないようにするのがマイクロセグメンテーションです。ネットワークを細かく分割し、サービス間の通信も明示的に許可されたものだけを通します。
クラウド環境であればVPCのセキュリティグループやネットワークACL、KubernetesであればNetworkPolicyリソースがこれに該当します。コンテナ環境でのマイクロセグメンテーションは、サービスメッシュ(IstioやLinkerdなど)を用いてmTLS(相互TLS認証)で実装するのが現代的なアプローチです。mTLSでは通信の両端が互いに証明書で認証するため、正規のサービスを装った不正な通信を防げます。
実装ロードマップ:どこから手をつけるか
ゼロトラストは一度に完成するものではなく、段階的に成熟度を上げていくものです。NISTのSP 800-207(ゼロトラストアーキテクチャ)では、ゼロトラストを「理念」から「最適」までの成熟度モデルとして段階的に捉えることを推奨しています。
| フェーズ | 主な施策 | 期待効果 |
|---|---|---|
| フェーズ1:可視化 | ユーザー・デバイス・アプリのインベントリ整備、ログ収集 | 現状把握と攻撃面の特定 |
| フェーズ2:認証強化 | MFA全社展開、SSO導入、特権アクセス管理(PAM)の整備 | 資格情報窃取リスクの大幅低減 |
| フェーズ3:アクセス制御 | JITアクセス、ZTNA(ゼロトラストネットワークアクセス)の導入 | 最小権限の実現 |
| フェーズ4:継続的監視 | SIEM/SOARの整備、異常検知、定期的なアクセスレビュー | インシデントの早期検知と自動対応 |
最初のフェーズで多くの組織がつまずくのは、「何がどこにあるか分からない」という棚卸しの問題です。Shadow ITとして野良クラウドサービスが利用されていたり、退職者のアカウントが残っていたりすることは珍しくありません。CASBなどのツールを使って組織内のクラウド利用状況を可視化し、まず現状を正確に把握することが堅固な土台になります。
ZTNAとVPNの違い
リモートアクセスの文脈でよく比較されるのが、従来のVPNとZTNA(Zero Trust Network Access)です。VPNはネットワーク全体へのアクセスをトンネリングするため、一度接続すれば社内LANと同等の広い範囲にアクセスできてしまいます。接続したまま退勤して自宅のデバイスから社内の別システムを探索される、というリスクがVPNにはつきまといます。
ZTNAはこれと対照的で、ユーザーはネットワーク全体ではなく「特定のアプリケーション」へのアクセスだけを得ます。Cloudflare Access、Zscaler Private Access、Google BeyondCorpなどがZTNAを提供する代表的なサービスです。アプリごとにアクセスポリシーを定義でき、デバイスの健全性(OS更新状況、EDRの有効化など)もアクセス判断に組み込めます。たとえば「OSパッチが適用されていないデバイスからは本番環境へのアクセスを拒否する」といったポリシーをコードで定義・管理できます。
デバイス管理もゼロトラストの一部
見落とされがちですが、デバイスの信頼性評価もゼロトラストの重要な要素です。いくら強力なMFAを使っても、マルウェアに感染したデバイスからアクセスされればセッションを乗っ取られるリスクがあります。
MDM(Mobile Device Management)やEDR(Endpoint Detection and Response)を導入し、デバイスの状態をリアルタイムで評価する仕組みをアクセス制御に組み込みます。これを「デバイスポスチャー評価」と呼び、ZTNAソリューションの多くが対応しています。たとえば、ディスク暗号化が有効かどうか、最新のウイルス定義ファイルが適用されているかどうかを条件としてアクセスの可否を判断できます。
まとめ
ゼロトラストアーキテクチャは、「境界の外にも内にも敵がいる」という現実に対応するための設計思想です。一夜にして完成するものではありませんが、MFAの徹底と最小権限の原則から始めるだけでも、セキュリティの水準は大きく改善します。
重要なのは「ゼロトラストの製品を買う」ことではなく、「何も信頼しない」という思想でシステム全体を見直すことです。技術選定よりも先に、自社のアイデンティティとアクセスの現状を正直に棚卸しすることが、最初の一歩です。地道な作業に見えますが、それこそが本物のゼロトラスト実装への最短ルートです。