ゼロトラストアーキテクチャ ぜろとらすとあーきてくちゃ
簡単に言うとこんな感じ!
「社内ネットワークにいるから安全」という考えを捨てて、誰でも・どこからでも・毎回疑うセキュリティの仕組みだよ!社員証を持っていても毎回「本当にあなた?」って確認するイメージ。テレワーク時代に合わせたセキュリティの新常識なんだ!
ゼロトラストアーキテクチャとは
ゼロトラストアーキテクチャ(Zero Trust Architecture、ZTA) とは、「何も信頼しない(Trust Nothing)」を原則にしたセキュリティ設計の考え方です。従来のセキュリティは「社内ネットワークの中にいれば安全」という 境界型防御(ペリメーターモデル) を前提としていましたが、ゼロトラストはその考えを根本から否定し、社内・社外を問わずすべてのアクセスを継続的に検証・認可 します。
クラウドサービスの普及やリモートワークの拡大によって、「社内にいる=安全」という前提が崩れました。たとえば社員が自宅から会社のシステムにアクセスしたり、クラウド上のデータを外部から操作したりするケースが当たり前になった現代では、従来の「お城の堀(ファイアウォール)」で守るモデルでは対応できなくなっています。ゼロトラストはこうした変化に対応するために生まれた、現代のセキュリティ設計の根幹 といえます。
米国国立標準技術研究所(NIST)は2020年にゼロトラストアーキテクチャの定義をSP 800-207として標準化しており、日本でも政府・大企業を中心に導入が急速に進んでいます。「ゼロトラスト」は製品名ではなく設計思想・考え方であるため、複数の技術・製品を組み合わせて実現するものです。
ゼロトラストの7つの原則(NIST SP 800-207)
NISTが定めるゼロトラストの核心的な原則は以下の7つです。
| # | 原則 | 内容のポイント |
|---|---|---|
| 1 | すべてのリソースをサービスとみなす | 社内・社外関係なく、システム・データは「サービス」として扱う |
| 2 | 通信はすべて保護する | 場所を問わず、全通信を暗号化・認証する |
| 3 | アクセスはリクエスト単位で許可 | セッションごとに最小限の権限のみを付与する |
| 4 | アクセス制御は動的に行う | ユーザー・デバイス・状況を総合的に評価して判断する |
| 5 | すべてのデバイスの整合性を確認 | 管理対象外・未知のデバイスは信頼しない |
| 6 | 認証・認可を動的・厳格に適用 | 多要素認証などで継続的に本人確認を行う |
| 7 | テレメトリを収集・分析する | ログ・挙動データを常に収集し、異常を検知する |
覚え方:「疑って・確認して・最小限だけ渡す」
ゼロトラストの本質は 「疑う → 確認する → 必要最小限だけ許可する」 の3ステップです。宅配便の受け取りに例えると、「インターフォンで顔確認(疑う)→ 本人確認書類を見る(確認する)→ 本人宛の荷物だけ渡す(最小限)」と同じ発想です。
ゼロトラストを構成する主要技術コンポーネント
[ ゼロトラストアーキテクチャを構成する主な技術 ]
┌─────────────────────────────────────────────┐
│ アイデンティティ・アクセス管理(IAM) │ ← 「誰か」を確認
│ 多要素認証(MFA)/ シングルサインオン(SSO) │
├─────────────────────────────────────────────┤
│ デバイス管理(MDM / EDR) │ ← 「何を使っているか」を確認
│ エンドポイントセキュリティ │
├─────────────────────────────────────────────┤
│ マイクロセグメンテーション │ ← 「どこにアクセスできるか」を制限
│ ネットワークアクセス制御(NAC) │
├─────────────────────────────────────────────┤
│ SIEM / SOAR / ログ分析 │ ← 「何をしているか」を監視
│ ユーザー行動分析(UEBA) │
└─────────────────────────────────────────────┘歴史と背景
- 2004年 — 「De-perimeterization(境界の消滅)」という概念がJerichoフォーラムで提唱される。従来の境界型防御への疑問が始まる
- 2010年 — Forrester ResearchのアナリストJohn Kindervagが 「Zero Trust」 という用語を初めて定義・発表
- 2014年頃 — Googleが社内で BeyondCorp というゼロトラストベースの社内セキュリティモデルを実装・公開。実用例として注目を集める
- 2017年 — 大規模ランサムウェア被害(WannaCry、NotPetya)が世界中で発生。境界型防御の限界が露わに
- 2020年 — NIST(米国国立標準技術研究所)が SP 800-207「Zero Trust Architecture」 を正式公開。定義が標準化される
- 2021年 — 米国バイデン政権が 大統領令14028号 でゼロトラスト移行を連邦政府機関に義務付け。世界的な普及が加速
- 2022年〜 — 日本でも経済産業省・総務省がゼロトラスト移行ガイドラインを相次いで公開。国内企業での導入が本格化
境界型防御との比較
ゼロトラストは従来の 境界型防御(ペリメーターモデル) と根本的に考え方が異なります。
実務でよく使われるゼロトラスト関連製品・サービス
| カテゴリ | 代表的な製品・サービス例 | 役割 |
|---|---|---|
| IAM / IdP | Azure AD、Okta、Google Workspace | 誰がアクセスするか管理 |
| ZTNA | Cloudflare Access、Zscaler Private Access | VPNに代わる安全なアクセス制御 |
| EDR | CrowdStrike、Microsoft Defender | デバイスの安全性を継続監視 |
| CASB | Microsoft Defender for Cloud Apps、Netskope | クラウドサービス利用を可視化・制御 |
| SIEM/SOAR | Microsoft Sentinel、Splunk | ログ収集・異常検知・自動対応 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの公式定義・設計原則(2020年) |
| NIST SP 800-63 | デジタルアイデンティティガイドライン(認証・認可の基準) |
| RFC 8705 | OAuth 2.0 Mutual-TLS Client Authentication(ゼロトラストの認証基盤) |
| RFC 7636 | PKCE(OAuth 2.0のコード横取り攻撃対策。ZTNAの認証に活用) |
関連用語
- 多要素認証(MFA) — ゼロトラストの「継続的な認証」を実現する中核技術
- SASE(サシー) — ゼロトラストとネットワーク機能を統合したクラウド型セキュリティモデル
- マイクロセグメンテーション — ネットワークを細かく分割して侵入後の横展開を防ぐ技術
- IAM(アイデンティティ・アクセス管理) — 誰がどのリソースにアクセスできるかを管理する仕組み
- ZTNA(ゼロトラストネットワークアクセス) — VPNに代わるゼロトラスト原則に基づくリモートアクセス技術
- EDR(エンドポイント検知・対応) — デバイスの脅威をリアルタイムで検知・対応するセキュリティツール
- VPN(仮想プライベートネットワーク) — 従来の境界型防御で使われてきたリモートアクセス技術。ZTNAとよく比較される
- 最小権限の原則 — 必要最小限のアクセス権のみを付与するセキュリティの基本原則