フレームワーク活用ガイドひとことで言うと#
「社内ネットワークだから安全」という前提を捨て、すべてのアクセスを毎回検証するセキュリティモデル。「信頼するな、常に検証せよ(Never Trust, Always Verify)」が基本原則。
押さえておきたい用語#
- 境界防御(Perimeter Security)
- ファイアウォールやVPNで社内ネットワークの「境界」を守る従来のセキュリティモデルのこと。ゼロトラストはこの「境界の内側は安全」という前提を否定する。
- ラテラルムーブメント(Lateral Movement)
- 攻撃者がネットワーク内部に侵入した後、他のシステムに横移動して被害を拡大する攻撃手法を指す。境界防御だけでは防げない。
- MFA(Multi-Factor Authentication)
- パスワードに加えて、デバイス認証やワンタイムコードなど複数の要素で本人確認する認証方式のこと。ゼロトラストの第一歩。
- 最小権限の原則(Principle of Least Privilege)
- ユーザーやサービスに必要最小限の権限だけを付与するセキュリティ原則のこと。「デフォルト拒否、明示的に許可」が基本。
- JITアクセス(Just-In-Time Access)
- 必要な時だけ、一時的に権限を付与し自動で回収するアクセス制御方式である。常時付与ではなく「使う時だけ開ける」発想。
ゼロトラストアーキテクチャの全体像#
こんな悩みに効く#
- VPNに繋がっていれば何でもアクセスできてしまう状態が不安
- リモートワークの普及で「社内ネットワーク=安全」という前提が崩れた
- 一度侵入されると、ネットワーク内を横移動(ラテラルムーブメント)されてしまう
基本の使い方#
ゼロトラストで守るべき重要なリソースを洗い出す。
- アプリケーション、データベース、API、ファイルストレージ
- 誰がどのリソースにアクセスしているかを現状把握する
- データの分類(機密度)を行い、優先順位をつける
ポイント: すべてを一度にゼロトラスト化するのは非現実的。重要度の高いリソースから始める。
すべてのアクセス元を確実に識別する仕組みを作る。
- 多要素認証(MFA)を全ユーザーに必須化する
- サービス間通信にもmTLS(相互TLS認証)を適用する
- IDプロバイダー(IdP)を一元化する
ポイント: ゼロトラストの第一歩は「確実な本人確認」。ここが弱いと全体が崩れる。
必要最小限の権限だけを動的に付与する。
- ロールベースアクセス制御(RBAC)で権限を管理する
- Just-In-Time(JIT)アクセスで、必要な時だけ権限を付与する
- アクセス権限は定期的に棚卸しする
ポイント: 「デフォルト拒否、明示的に許可」が基本。
アクセスを許可した後も継続的にリスクを評価する。
- すべてのアクセスログを収集・分析する
- 異常なアクセスパターンをリアルタイムで検知する
- デバイスの状態(OSバージョン、パッチ適用状況)も検証に含める
ポイント: 一度認証したら終わりではなく、セッション中も信頼度を再評価し続ける。
具体例#
状況: 従業員150名のSaaS企業。全社VPNで社内ネットワークに接続すれば、すべての内部システムにアクセス可能だった。退職者のVPNアカウントが3ヶ月放置されていた事例も発覚。リモートワーク率が70%に達し、VPN帯域がボトルネックに。
ステップ1: 保護対象を特定。顧客データDB、管理画面、CI/CDパイプライン、GitHubを最重要リソースに分類。
ステップ2: Okta をIdPとして導入し、全サービスをSAML/OIDC連携。MFAを全社必須化。VPNを廃止し、各サービスに直接アクセスする構成に変更。
ステップ3: 顧客データDBへのアクセスは、承認ワークフローを経て4時間だけ付与(JITアクセス)。開発者のAWS権限はプロジェクト単位でRBACを設定。
ステップ4: Datadogで全アクセスログを収集。深夜の管理画面アクセスや、通常と異なるIPからのアクセスをアラート。
| 指標 | Before | After |
|---|---|---|
| セキュリティインシデント | 年間8件 | 年間3件(60%減) |
| VPN関連の業務停止 | 月平均2回 | 0回(VPN廃止) |
| 退職者アカウント放置 | 平均45日 | 即日無効化 |
| リモートワーク体感速度 | 「VPN遅い」が常態 | 直接アクセスで快適 |
インシデント60%減、VPN障害ゼロ、退職者アカウント放置即日解消。セキュリティ強化と利便性向上は両立する——VPN廃止がその証明になった。
状況: 病床数350床の総合病院。電子カルテシステムに医師・看護師・事務スタッフ800名がアクセス。院内ネットワークに接続すればどの端末からでも全患者データにアクセスできる状態。過去に退職した看護師が元同僚の患者情報を閲覧していた事案が発生。
ゼロトラスト導入:
- 認証: ICカード + PIN(MFA)で端末認証
- 権限: 診療科ごとのRBAC。整形外科医は自科の患者データのみアクセス可能
- JIT: 他科の患者データは「他科コンサルテーション」申請で4時間だけ閲覧許可
- 監視: 全アクセスログを記録、月1回の監査レポート
| 指標 | Before | After |
|---|---|---|
| 不正アクセス事案 | 年間3件 | 年間0件 |
| 権限範囲外のアクセス | 月平均45件 | 月平均2件(正規申請) |
| 監査対応時間 | 3日(手動集計) | 2時間(自動レポート) |
| 個人情報保護法の指摘事項 | 5件 | 0件 |
不正アクセス事案は年間3件から0件に。「院内ネットワーク=安全」という思い込みを捨てたことで、患者データの保護と他科コンサルテーションの利便性を両立できた。
状況: 従業員500名の精密機器メーカー。工場の制御系ネットワーク(OT)と情報系ネットワーク(IT)がフラットに接続されており、ランサムウェアがIT系から制御系に侵入して生産ラインが3日間停止する被害を経験。損害額は推定1.2億円。
ゼロトラスト導入:
- OTとITのネットワークをマイクロセグメンテーションで分離
- OT機器へのアクセスは専用踏み台サーバー経由に限定
- 保守ベンダーのリモートアクセスはJIT(作業申請→4時間だけVPN開放→自動遮断)
- 全通信をNDR(Network Detection and Response)で監視
| 指標 | Before | After |
|---|---|---|
| ランサムウェア被害 | 年1回(1.2億円) | 0件 |
| OT-IT間の不正通信検知 | 監視なし | 月平均12件を検知・遮断 |
| 保守ベンダー常時接続 | 5社が24時間接続 | 作業時のみ(月合計40時間) |
| 生産ライン停止(セキュリティ起因) | 年間72時間 | 0時間 |
ランサムウェア被害0件、保守ベンダーの常時接続を月40時間の作業時限定に。1.2億円の損害を経験したからこそ、OT環境のゼロトラスト化は「コスト」ではなく「保険」と認識された。
やりがちな失敗パターン#
- 全社一斉導入を目指す — スコープが大きすぎて頓挫する。最もリスクの高いリソースから段階的に導入すること
- ユーザー体験を無視する — 認証が厳しすぎて業務効率が下がると、シャドーITが増える。セキュリティとユーザビリティのバランスを取ること
- レガシーシステムを放置する — ゼロトラスト対応できない古いシステムが「穴」になる。レガシーシステムにはプロキシ層を挟んで保護すること
- 「ツールを入れればゼロトラスト」と考える — Okta やCrowdStrikeを導入しただけで満足する。ゼロトラストは組織文化とプロセスの変革であり、ツールは手段に過ぎない
まとめ#
ゼロトラストは 「境界防御の限界」 を認め、すべてのアクセスを検証するセキュリティモデル。認証の強化、最小権限、継続的な監視の3つが柱。一夜にして実現できるものではないが、最もリスクの高い領域から段階的に導入していくことで、現代の脅威に対応できるセキュリティ体制を構築できる。