ゼロトラスト・アーキテクチャ

英語名 Zero Trust Architecture
読み方 ゼロトラスト アーキテクチャ
難易度
所要時間 30分〜1時間
提唱者 John Kindervag / Forrester Research (2010)
#セキュリティ #ネットワーク #アーキテクチャ
目次

ひとことで言うと
#

「社内ネットワーク=安全」という前提を捨て、すべてのアクセスに対して明示的な検証・最小権限の付与・侵害を前提とした監視を行うセキュリティモデル。

押さえておきたい用語
#

押さえておきたい用語
Never Trust, Always Verify
ゼロトラストの基本原則で、ネットワークの場所に関係なく毎回認証・認可を行うという考え方。
Identity-Aware Proxy(IAP)
ユーザーの認証情報とコンテキスト(デバイス状態・場所等)に基づきアクセスを動的に判断するプロキシを指す。
Least Privilege(最小権限)
タスクの遂行に必要最小限の権限のみを付与する原則を指す。JIT(Just-In-Time)アクセスと組み合わせることが多い。
Microsegmentation(マイクロセグメンテーション)
ネットワークを細かいセグメントに分割し、セグメント間の通信を個別に制御する手法である。横方向の移動を防ぐ。
mTLS(相互TLS認証)
サーバーとクライアントが互いに証明書を提示して認証する方式。サービス間通信の暗号化と認証を同時に実現する手法。

ゼロトラスト・アーキテクチャの全体像
#

ゼロトラスト:3つの原則と実装レイヤー
明示的な検証すべてのアクセスを毎回認証・認可するユーザー認証デバイス検証コンテキスト評価最小権限必要最小限の権限をJITで付与するRBAC / ABACJITアクセス時限付き権限侵害の想定侵入されることを前提に設計する暗号化(転送中+保存時)横方向移動の制限異常検知・自動遮断実装レイヤーIdentityIdP(Okta, Azure AD)MFA必須化SSO統合デバイストラスト誰がアクセスしているかNetworkマイクロセグメンテーションmTLS(サービス間)Service MeshVPN廃止 → IAPどこからアクセスしているかMonitoringSIEM / SOAR異常行動検知リアルタイムアラート自動隔離・遮断何をしているか
ゼロトラスト導入の進め方フロー
1
資産の棚卸し
保護対象のデータ・サービス・アクセス経路を整理
2
Identity基盤構築
IdP統合・MFA・デバイス検証を導入
3
ネットワーク分離
マイクロセグメンテーション・mTLSを適用
継続的監視
異常検知と自動対応の運用を確立

こんな悩みに効く
#

  • VPN接続さえすれば社内リソースに自由にアクセスできてしまう
  • リモートワーク拡大で「社内ネットワーク=安全」の前提が崩れている
  • マイクロサービス間の通信が暗号化されておらず、横方向の移動リスクがある

基本の使い方
#

保護対象資産とアクセス経路を棚卸しする
まずどのデータ・サービスが最も重要かを特定する。アクセス経路(社内LAN、VPN、SaaS直接、API連携)を洗い出し、現状の信頼モデルを可視化する。
Identity基盤を強化する
IdP(Okta、Azure AD等)を統合し、全サービスでMFAを必須化する。デバイストラスト(MDM連携)を導入し、管理外デバイスからのアクセスを制限する。VPNに代わりIdentity-Aware Proxyを導入する。
ネットワークをマイクロセグメンテーションする
サービス間通信をmTLSで暗号化・認証する。Service Mesh(Istio、Linkerd)の導入が効果的。必要な通信のみを明示的に許可し、デフォルトは全拒否(Deny All)とする。
継続的な監視と自動対応を構築する
SIEM/SOARでログを集約し、異常なアクセスパターンを検知する。「深夜の大量データダウンロード」「通常と異なる地域からのログイン」等のルールで自動アラート・自動遮断を設定する。

具体例
#

例1:金融企業がVPN廃止でリモートワークセキュリティを刷新する

エンジニア120名の金融企業。コロナ禍でリモートワークに移行したが、VPN接続がボトルネックになり ピーク時に30%のパケットロス が発生。さらにVPN内部では全リソースにアクセス可能で、セキュリティ監査で「横方向移動リスク」が指摘されていた。

VPNを廃止しGoogle BeyondCorpモデルを参考にIAPを導入。全社員にMFAを必須化し、MDM連携でデバイストラストを実装。社内システムへのアクセスはIAP経由のみとし、アクセスごとにユーザー・デバイス・コンテキストを検証する方式に変更した。

VPN関連の障害が 月12件 → 0件。セキュリティインシデント(不正アクセス試行の成功件数)が 年8件 → 1件 に減少した。

例2:ヘルスケアSaaSがマイクロサービス間のmTLSを導入する

エンジニア40名のヘルスケアSaaS。マイクロサービス 23個 がKubernetes上で稼働していたが、サービス間通信は平文HTTPで、クラスタ内部は「信頼されたネットワーク」として扱われていた。HIPAAコンプライアンス監査で「内部通信の暗号化不備」が重大な指摘事項となった。

Istio Service Meshを導入し、全サービス間通信にmTLSを適用。Network Policyでサービスごとの通信許可を明示的に定義し、デフォルトDeny Allとした。

導入後、HIPAA監査を 1回 で通過。また、マイクロセグメンテーションにより、あるサービスの脆弱性が突かれた際の影響範囲がクラスタ全体ではなく 当該サービスのみ に限定された。

例3:製造業がOT/IT統合環境にゼロトラストを適用する

従業員800名の製造業。工場のOT(制御系)ネットワークとIT(情報系)ネットワークがフラットに接続されており、ランサムウェア攻撃で 生産ラインが3日間停止 する被害を受けた。被害額は 約1.5億円

OT/IT間にマイクロセグメンテーションを導入。制御系への通信は専用のジャンプサーバー経由のみとし、JITアクセス(申請 → 承認 → 時限付き接続)を必須化。異常な通信パターンをリアルタイム検知するSOARも導入した。

同様の攻撃の再発時、影響範囲が IT系の1セグメント に限定され、生産ラインへの波及を ゼロ に抑えた。セキュリティ保険料も年間 20% 削減された。

やりがちな失敗パターン
#

  1. すべてを一度に導入しようとする — ゼロトラストは段階的に実装するもの。Identity基盤 → ネットワーク分離 → 継続的監視の順で進める
  2. VPNを廃止しただけでゼロトラストと称する — VPN廃止はゼロトラストの一要素に過ぎない。最小権限・マイクロセグメンテーション・継続的検証の3原則すべてが必要
  3. ユーザー体験を犠牲にする — MFAの過度な頻度やアクセス手順の複雑化はシャドーITの温床になる。リスクベース認証で低リスク操作のフリクションを下げる
  4. 内部脅威を軽視する — ゼロトラストは外部攻撃だけでなく内部脅威にも対応する。正規ユーザーの異常行動検知も重要な要素

まとめ
#

ゼロトラスト・アーキテクチャは、「信頼しない、常に検証する」 を原則とし、明示的な検証・最小権限・侵害の想定の3つ の柱でセキュリティを構築するモデル。Identity基盤の強化、マイクロセグメンテーションによるネットワーク分離、SIEM/SOARによる継続的監視を段階的に導入する。VPN中心の境界型セキュリティからの脱却として、リモートワーク時代に不可欠なアーキテクチャとなっている。

↑ 目次に戻る