ゼロトラスト(Zero Trust)とは、「社内・社外を問わず、いかなる通信もアクセスも自動的には信頼せず、その都度検証する」という情報セキュリティの考え方です。「Never Trust, Always Verify(決して信頼せず、常に検証する)」を合言葉に、ネットワークの内側にいるという理由だけでアクセスを許す従来の発想を捨てるのが核心です。
クラウド利用とテレワークが当たり前になり、守るべき資産も働く場所も「社内ネットワークの中」に収まらなくなりました。ゼロトラストは、その現実に合わせてセキュリティの前提を組み替えるためのモデルです。本記事では、情シス担当者が概念を正しくつかみ、社内説明や検討の出発点にできるよう、定義・原則・実務の勘所を整理します。
この記事でわかること
- ゼロトラストの正確な定義と、よくある誤解
- 従来の「境界型防御」との違い
- NIST SP 800-207が示す7つの基本原則
- 情シスが導入を検討するときの現実的な勘所と注意点
ゼロトラストとは何か
ゼロトラストは特定の製品名ではなく、セキュリティ設計の「考え方(モデル)」です。米国国立標準技術研究所(NIST)の標準文書「SP 800-207 Zero Trust Architecture」は、ゼロトラストを「ネットワークが侵害されている前提に立ち、情報システムやサービスにおいてアクセス判断の不確実性を最小化するために設計された概念と考え方の集合」と位置づけています。
ポイントは、信頼を「場所(ネットワークのどこにいるか)」ではなく、「アクセスのたびに確認できる情報(誰が・どの端末で・どんな状態で・何にアクセスしようとしているか)」に基づいて与える点です。一度ログインしたら社内をフリーパスにするのではなく、リソースへアクセスするたびに認証・認可を行います。
ゼロトラストは「製品を入れれば完成」なのか?
いいえ。ゼロトラストは単一製品で買えるものではなく、ID管理・端末管理・アクセス制御・ログ監視などを組み合わせて段階的に近づけていく方針です。「ゼロトラスト対応」をうたう製品も、あくまで構成要素の一つと捉えるのが正確です。
従来の「境界型防御」と何が違うのか
従来の主流は「境界型防御(ペリメータ型)」でした。社内ネットワークと外部の境目にファイアウォールやVPNを置き、「内側は安全・外側は危険」と線引きする考え方です。しかし、クラウド上に業務データが移り、社外から端末が接続する今、「内側=安全」という前提が崩れています。VPNで一度内側に入った攻撃者やマルウェアが、横展開(ラテラルムーブメント)で被害を広げる事例も後を絶ちません。
| 観点 | 境界型防御 | ゼロトラスト |
|---|---|---|
| 信頼の基準 | ネットワークの内側にいるか | アクセスごとの本人・端末・文脈の検証 |
| 守る対象の中心 | ネットワークの境界 | データ・アプリなどのリソース単位 |
| 一度の認証後 | 内側は比較的自由に移動できる | リソースごとに都度認可 |
| 前提 | 内側は信頼できる | すでに侵害されているかもしれない |
NIST SP 800-207が示す7つの基本原則
NIST SP 800-207は、ゼロトラストの土台となる7つの基本原則(tenets)を挙げています。要約すると次の通りです。
- すべてのデータソースとコンピューティングサービスを「リソース」とみなして保護する。
- ネットワークの場所に関わらず、すべての通信を保護する(社内だから安全とはしない)。
- 個々のリソースへのアクセスは、セッション単位で許可する。
- アクセスは、利用者・端末の状態など動的なポリシーによって決定する。
- すべての資産の整合性とセキュリティ状態を継続的に監視・測定する。
- リソースへのアクセスを許可する前に、認証と認可を動的かつ厳格に実施する。
- 資産・通信・アクセスの状態に関する情報を可能な限り収集し、セキュリティの改善に役立てる。
原文の正確な定義は出典の一次情報を確認してください。共通するのは「都度検証する」「継続的に監視する」「情報を集めて判断を更新し続ける」という姿勢です。
ゼロトラストを構成する主な要素
ゼロトラストの実現に向けてよく登場する要素を整理します。いずれも単体で完結するものではなく、組み合わせて使います。
- ID・アクセス管理(IAM)と多要素認証(MFA):「誰か」を強く確認する土台。ゼロトラストの中心。
- 端末管理(EDR/MDMなど):「どんな状態の端末からか」を把握し、危険な端末からのアクセスを抑える。
- ZTNA(ゼロトラストネットワークアクセス):VPNの代替として、アプリ単位で最小限のアクセスを許可する仕組み。
- SASE:ネットワークとセキュリティ機能をクラウドで統合的に提供する考え方。
- ログ収集・監視(SIEMなど):継続的な検証と異常検知の目。
情シスはどう向き合うべきか
何から手をつければよいのか?
まずは「守るべき重要なデータ・システムはどこにあり、誰がアクセスするのか」を可視化することからです。いきなり全社一斉導入を目指すのではなく、影響の大きい資産から段階的に適用するのが現実的です。日本の公的資料も、現状把握とスモールスタートを推奨しています。
具体的な進め方は、自前でチェックリストを作り込むより、公的機関の指針を出発点にするのが確実です。IPAの「ゼロトラスト導入指南書」や「ゼロトラスト移行のすゝめ」は、検討の流れと構成要素を体系的に整理しており、社内検討のたたき台に向いています。政府機関の方針としては、デジタル庁の「ゼロトラストアーキテクチャ適用方針」も参考になります。
現場目線の率直な所感
正直なところ、ゼロトラストは「導入したら終わり」ではなく、運用し続けてはじめて意味を持つモデルです。アクセスのたびに検証するということは、ポリシーの設計・見直しやログの監視を地道に回し続けるということでもあります。限られた人員でそこまで手が回るのか——という葛藤は、多くの情シス担当者が抱える本音でしょう。
だからこそ、流行り言葉に乗って製品を一式そろえることをゴールにせず、「自社にとって最初に守るべきものは何か」を見極め、できる範囲から確実に積み上げる姿勢が大切だと感じます。MFAの徹底や端末の棚卸しといった足元の対策は、それ自体がゼロトラストへの第一歩でもあります。あわせて、利用者一人ひとりがなぜ都度認証が必要なのかを理解する地道な啓発も、運用を支える土台になります。
まとめ
- ゼロトラストとは「社内外を問わず信頼を前提とせず、アクセスごとに検証する」考え方であり、特定製品ではない。
- NIST SP 800-207が定義と7原則を示しており、従来の境界型防御からの発想転換が核心。
- 導入は一気にではなく、重要資産の可視化とスモールスタートが現実的。IPA等の公的指針を出発点にするとよい。
関連記事
出典
- NIST SP 800-207「Zero Trust Architecture」 https://csrc.nist.gov/pubs/sp/800/207/final
- IPA「ゼロトラスト導入指南書」(2021年6月) https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2021/zero-trust.html
- IPA「ゼロトラスト移行のすゝめ」(2022年6月) https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/zero-trust-mgn.html
- デジタル庁「ゼロトラストアーキテクチャ適用方針」(2022年6月30日、DS-210) PDF
