ゼロトラストとは?NISTの7原則とCISA成熟度モデルで作る導入ロードマップ
Definitionゼロトラストとは、「決して信頼せず、常に検証する」という前提に基づき、ネットワークの内外を区別せず、全てのリクエストに対して認証・認可と暗号化を求めるセキュリティモデルのことです。
TL;DR (要約)
テレワークの普及で「社内=安全」という境界型防御は崩壊しました。ゼロトラストは、VPN脱却だけでなく、ID管理(IdP)とエンドポイント監視(EDR)を軸にした新しい防御思想です。一足飛びの導入は難しいため、CISAの成熟度モデルを参考に、ID統合から始める3段階のロードマップで着実に進めるのが成功の鍵です。
この記事でわかること
- 「境界型防御」の限界とゼロトラストの必然性について学べます
- NIST SP 800-207 の7原則(守るべき鉄則)について学べます
- CISA 成熟度モデルの5つの柱について学べます
- 導入ロードマップ(どこから始めるか)について学べます
- 導入チェックリスト&FAQについて学べます
「境界型防御」の限界とゼロトラストの必然性
従来は「社内ネットワークは安全、外は危険」として、境界(Firewall/VPN)を守る手法が主流でした。しかし、クラウド利用の拡大とリモートワークの常態化により、守るべきデータは社外に散らばり、このモデルは機能しなくなっています。
▼ 境界型防御 vs ゼロトラスト 比較表
| 比較項目 | 境界型防御 (従来) | ゼロトラスト (次世代) |
|---|---|---|
| 前提 | 社内(内側)は信頼する | 何も信頼しない(Verify Always) |
| 守り方 | 境界に壁を作る (VPN/FW) | データ/ID/端末を個別に守る |
| アクセス | 一度入れば動き放題 | リクエスト毎に認証・認可 |
| ログ | 境界の出入り口のみ | 全トランザクションを記録 |
| 弱点 | VPN機器の脆弱性、内部不正 | 運用・管理コストの増大 |
| 適正 | オンプレミス中心 | クラウド・テレワーク中心 |
特に重要なのは、SaaS利用の増加に伴い、VPNを経由させると通信速度が遅くなる(ボトルネックになる)問題も、ゼロトラスト移行の大きな動機となっています。
NIST SP 800-207 の7原則(守るべき鉄則)
米国国立標準技術研究所(NIST)が定めた、ゼロトラストの定義となる7つの原則です。
- すべてのデータソースとコンピューティングリソースをリソースとみなす
PCやサーバーだけでなく、モバイル端末やIoT機器、SaaS上のデータも全て守るべき対象です。 - ネットワークの場所に関係なく、すべての通信を保護する
社内LANからのアクセスであっても、社外からのアクセスと同様に暗号化し、信頼しません。 - リソースへのアクセスは、セッション単位で付与する
一度認証したからといって、無期限の許可は与えません。アクセスごとに許可を最小限にします。 - リソースへのアクセスは、動的なポリシー(属性)によって決定する
「誰が」「どの端末から」「何時に」「どんな状態で」アクセスしているかをリアルタイムに評価します。 - すべての資産の整合性とセキュリティ動作を監視し、測定する
OSが最新か、ウイルス対策ソフトが動いているか(Device Health)を常にチェックします。 - すべてのリソースの認証と認可を動的かつ厳格に行う
IDパスワードだけでなく、MFA(多要素認証)を必須とし、継続的に再認証を行います。 - 資産、ネットワークインフラ、通信の現状について多くの情報を収集し、セキュリティ体制の改善に利用する
ログを収集・分析し、ポリシーの穴を塞ぎ続けます。
CISA 成熟度モデルの5つの柱
米国土安全保障省(CISA)は、ゼロトラストを実装するための領域を5つの柱(Pillars)に整理しています。
1. Identity (ID・ユーザー)
「誰か?」を厳密に特定します。パスワードレスやMFA、属性ベースのアクセス制御(ABAC)が求められます。
2. Device (デバイス)
「健全な端末か?」を確認します。MDMやEDRを導入し、OSパッチや感染の有無を評価します。
3. Network (ネットワーク)
「通信を分割・暗号化」します。マイクロセグメンテーションを行い、水平移動(ラテラルムーブメント)を防ぎます。
4. Application (アプリ)
「アプリごとの保護」を行います。WAFやコンテナセキュリティ、AI利用時のポリシーなどを適用します。
5. Data (データ)
最も重要な資産です。データの分類(機密度ラベル)を行い、暗号化とDLP(情報漏洩対策)を実施します。
導入ロードマップ(どこから始めるか)
全てを一気に入れ替える予算は多くの企業にはありません。DX戦略の全体像を見据えつつ、費用対効果の高い順に進めるロードマップを推奨します。
- 目的: パスワード管理の脱却
- Actions:
- - IdP (Okta/Entra ID) 導入
- - SaaSのSSO連携
- - MFA (多要素認証) の強制
- 目的: リモートアクセスの安全化
- Actions:
- - ZTNA / IAP の導入
- - VPN機器の撤廃
- - 端末の可視化 (EDR/MDM)
- 目的: 運用負荷の軽減
- Actions:
- - SIEM/SOARによるログ分析
- - 異常検知時の自動遮断
- - ポリシーの動的最適化
導入チェックリスト&FAQ
自社がゼロトラストへ向かう準備ができているか確認しましょう。
重要ポイント
チェックリスト
- □ 全社員のIDが単一のIdP(Entra ID/Google/Okta等)で管理されている
- □ 全ての業務SaaSへのログインにMFA(多要素認証)を強制している
- □ 社給PCのOSバージョンやインストールアプリを資産管理ツールで把握している
- □ 社外からのアクセスにVPNを使わず、ZTNAツール(Cloudflare Access等)を試行している
- □ 退職者のID削除が自動、または即日行われるフローがある
- □ 重要なデータ(個人情報・機密情報)がどこに保存されているか棚卸しできている
- □ 未使用のライセンスやSaaSを定期的に停止・削除している
よくある質問
Q. 中小企業にはオーバースペックではないですか?
いいえ。むしろ専任のセキュリティ担当がいない中小企業こそ、IdP(Microsoft 365など)の標準機能を活用した「ID中心の防御」が有効です。高価な専用アプライアンスを買うよりも安価で強力な防御になります。
Q. VPNを完全に無くすことはできますか?
可能です。ただし、レガシーなオンプレミスシステムが残っている場合、そこへのアクセス手段として一部残るケースはあります。その場合も、ZTNAコネクタ経由にすることで、ユーザー端末側からはVPNレスに見せることができます。
Q. 何からツールを買えばいいですか?
まずはツールではなく「IdP(Identity Provider)」の整備からです。Microsoft Entra ID (旧Azure AD) や Google Workspace のセキュリティ設定を最大化することから始めてください。ID基盤が無い状態で高機能なセキュリティ製品を入れても効果は半減します。
DX推進やIT戦略でお悩みですか?
現状分析から戦略立案、実行まで、専門家が伴走型で支援します。
中小企業のための実践的DX推進ガイド:戦略立案から実行まで
このテーマの全体像を把握し、より体系的な理解を深めましょう。