ゼロトラスト ぜろとらすと
ゼロトラストネットワーク認証アイデンティティマイクロセグメンテーションSASEクラウドセキュリティ
ゼロトラストについて教えて
簡単に言うとこんな感じ!
「社内ネットワークにいる人は信頼できる」という古い考え方をやめて、誰でも・どこからでも、必ずチェックするセキュリティの考え方だよ!「信頼ゼロからスタート」って意味なんだ。
ゼロトラストとは
ゼロトラスト(Zero Trust)とは、「社内にいるから安全」「VPNでつないでいるから大丈夫」といった暗黙の信頼を一切持たないセキュリティの設計思想です。あらゆるユーザー・デバイス・通信を「信頼できない」ものとして扱い、アクセスのたびに認証・検証を行います。
従来のセキュリティは「城壁モデル」でした。社内ネットワークという城の中に入れれば安全、外は危険、というイメージです。しかしクラウドの普及・テレワークの拡大・標的型攻撃の高度化により、「城の中に敵がいる」ケースが急増。境界線を守るだけのセキュリティは機能しなくなったのです。
ゼロトラストは「Never Trust, Always Verify(決して信頼せず、常に検証する)」という原則のもと、ユーザーの身元・デバイスの健全性・アクセス先リソースの重要度を都度確認することで、被害を最小限に抑える考え方です。製品名ではなく設計思想・アーキテクチャの概念であり、複数の技術を組み合わせて実現します。
ゼロトラストの7つの原則
米国国立標準技術研究所(NIST)のSP 800-207では、ゼロトラストアーキテクチャの原則が定義されています。
| # | 原則 | ひとことで言うと |
|---|---|---|
| 1 | すべてのリソースをネットワーク外とみなす | 「社内だから安全」は禁止 |
| 2 | 最小権限アクセスの徹底 | 必要最低限しか触れない |
| 3 | アクセスごとに検証 | 昨日OKでも今日また確認 |
| 4 | すべての通信を暗号化 | 社内通信も例外なし |
| 5 | デバイスの健全性を確認 | ウイルス感染PCはNG |
| 6 | 動的ポリシーで制御 | 状況に応じて自動で判断 |
| 7 | すべてのログを収集・分析 | 常時監視で異常を検知 |
覚え方:「信じるな、確かめろ、最小限」
ゼロトラストの本質は3つのキーワードで覚えられます。
┌─────────────────────────────────────────────────────┐
│ 信じるな → Never Trust(暗黙の信頼を持たない) │
│ 確かめろ → Always Verify(常に認証・検証する) │
│ 最小限に → Least Privilege(必要な権限だけ与える) │
└─────────────────────────────────────────────────────┘ゼロトラストを構成する主な技術要素
| 技術要素 | 役割 | 代表的な製品・規格 |
|---|---|---|
| IAM(Identity and Access Management) | 「誰が」を管理 | Azure AD、Okta |
| MFA(多要素認証) | なりすまし防止 | TOTP、FIDO2 |
| EDR(Endpoint Detection and Response) | デバイスの健全性確認 | CrowdStrike、SentinelOne |
| マイクロセグメンテーション | ネットワークを細かく分割 | VMware NSX |
| CASB | クラウドサービスの可視化・制御 | Microsoft Defender for Cloud Apps |
| SIEM/SOAR | ログ収集・自動対応 | Splunk、Microsoft Sentinel |
歴史と背景
- 2010年 — Forrester Researchのアナリスト、ジョン・キンダーバーグが「Zero Trust」という概念を提唱。従来の境界防御モデルへの疑問から生まれた
- 2011年 — Googleが社内で「BeyondCorp」プロジェクトを開始。VPNを廃止し、全アクセスをゼロトラスト原則で管理する先進的な取り組み
- 2014年 — Googleが「BeyondCorp」を論文として公開し、業界に広く認知される
- 2017年頃 — クラウド移行・リモートワーク普及に伴い注目度が急上昇
- 2019年 — NISTがゼロトラストアーキテクチャの草案(SP 800-207)を公開
- 2020年 — COVID-19によるテレワーク急拡大でゼロトラスト導入が世界的に加速
- 2021年 — 米国バイデン大統領が大統領令でゼロトラスト移行を連邦政府機関に義務付け
- 2022年以降 — 日本でも経済産業省・総務省がゼロトラスト導入ガイドラインを相次いで発行
従来の境界防御モデルとの違い
ゼロトラストと従来の「城壁モデル(境界防御)」は、セキュリティへのアプローチが根本的に異なります。
ゼロトラスト導入のステップ(実務では段階的に進める)
ゼロトラストは一夜にして完成するものではありません。以下の順序で段階的に取り組むのが現実的です。
Step 1: アイデンティティの強化
└─ MFA(多要素認証)の全社導入
└─ シングルサインオン(SSO)の整備
Step 2: デバイス管理の整備
└─ MDM / EDRによるデバイス健全性の把握
└─ 未管理デバイスのアクセス制限
Step 3: ネットワークの可視化・分割
└─ マイクロセグメンテーションの導入
└─ 通信ログの取得・分析開始
Step 4: アプリケーション・データの保護
└─ CASBによるクラウドSaaSの可視化
└─ データ分類・DLPの適用
Step 5: 継続的な監視・改善
└─ SIEM/SOARによる自動検知・対応
└─ ポリシーの定期見直し関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの定義・原則(米国標準) |
| NIST SP 800-63 | デジタルアイデンティティ・認証に関するガイドライン |
| RFC 8446 | TLS 1.3(通信の暗号化に利用) |
| CISA Zero Trust Maturity Model | 米国CISA発行のゼロトラスト成熟度モデル(5段階評価) |
| IPA「ゼロトラスト移行のすゝめ」 | 日本語で読める実践ガイド(IPA発行) |
関連用語
- [MFA(多要素認証)](./mfa.