この記事は、サイバーセキュリティ基礎講座の第7回です。
前回は、【第6回】パスキーとは何か|パスワードに頼らないログインの仕組みをわかりやすく解説で、パスワードに頼らないログインの仕組みを整理しました。
今回は、社内だから安全、一度ログインしたから安全、と決めつけない防御思想であるゼロトラストを扱います。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「突然ですが、『ゼロトラスト』と聞いて何を思い浮かべるでしょうか?」
- 誰も信じない
- 社員も信じない
- すべて疑う
そんな印象を受ける人もいると思います。
このゼロトラストはセキュリティで使われる言葉なのですが、人間不信の考え方ではありません。
- 社内だから安全
- 会社のパソコンだから安全
- VPNにつないでいるから安全
- 一度ログインしたから安全
こうした思い込みに頼りすぎないための防御思想です。
NISTは、ゼロトラストを、静的なネットワーク境界を中心とした防御から、ユーザー、資産、リソースへ焦点を移すサイバーセキュリティの考え方として整理しています。
つまり、ゼロトラストは「場所」ではなく、「何に、誰が、どの状態でアクセスするのか」を確認する考え方なのです。(NIST Computer Security Resource Center)
今回は、「ゼロトラストとは何か」を見ていきます。
「なぜ、社内だから安全とは言えないのか?」
「なぜ、毎回確認するという考え方が必要なのか?」
「人、端末、アプリ、ネットワークをどう分けて見るのか?」
「ゼロトラストは、個人の生活にも関係するのか?」
こうした問いを、防御の構造として整理していきます。
第1章 ゼロトラストとは何か
ゼロトラストとは、簡単に言えば、「一度入れたら安全」と決めつけない防御思想です。
名前だけを見ると、「何も信じない」と聞こえます。
ですが、実際には「誰も信用しない」という精神論ではありません。
アクセスのたびに、必要なことを確認する考え方です。
- 誰がアクセスしようとしているのか?
- どの端末からアクセスしているのか?
- どのアプリやデータにアクセスするのか?
- その端末は安全な状態か?
- その人に必要な権限か?
- 普段と違う行動ではないか
NIST SP 800-207では、ゼロトラストを、ネットワークの場所だけに依存せず、ユーザー、資産、リソースへ焦点を当てる考え方として説明しています。
ゼロトラストアーキテクチャは、その原則に基づいて組織のインフラやワークフローを設計するものです。(NIST Computer Security Resource Center)
つまり、ゼロトラストは「信用しない」ではなく、「確認せずに信用しない」ということです。
- 社内ネットワークにいるから安全
- 会社支給の端末だから安全
- 一度ログインしたから安全
そう決めつけない。
必要なときに、必要な範囲だけ、確認して許可する。
これがゼロトラストの入口なのです。
第2章 なぜ境界防御だけでは足りなくなったのか
昔のサイバー防御は、会社の内側と外側を分ける考え方が中心でした。
- 会社の外は危険
- 会社の内側は比較的安全
- その境界に、ファイアウォールやVPNを置く
この考え方は、今でも大切です。
ただし、それだけでは足りない場面が増えました。
理由は、働き方とシステムの使い方が変わったからです。
- クラウドを使う
- 在宅勤務をする
- スマホやノートパソコンで仕事をする
- 外部サービスと連携する
- 委託先や取引先とデータを共有する
- 社員が社外から業務システムにアクセスする
- SaaSを使う
- 端末が社内外を行き来する
こうなると、「会社の内側」と「外側」の境界が曖昧になります。
- クラウド上にあるデータは、会社の内側にあると言えるのか?
- 在宅勤務中の社員は、社内なのか?
- 取引先と共有しているファイルは、どこにあるのか?
- VPNに入った端末は、本当に安全なのか?
このように、境界だけで守るのが難しくなっています。
さらに、攻撃者が一度社内に入った場合、内側が広く信頼されていると、被害が広がりやすくなります。
一つのアカウントが乗っ取られる
↓
一台の端末が感染する
↓
VPN認証情報が盗まれる
↓
そこから別のシステムへ進まれる
このような被害を防ぐには、「内側だから安全」という前提を見直す必要があります。
ゼロトラストは、境界防御を捨てる考え方ではありません。
境界だけに頼らない考え方なのです。
第3章 ゼロトラストの3つの基本原則
ゼロトラストを理解するときは、3つの考え方を押さえると整理しやすくなります。
Microsoftは、ゼロトラストの中核原則として、明示的に検証すること、最小権限アクセスを使うこと、侵害を前提にすることを挙げています。(Microsoft Learn)
- 明示的に確認する
- 最小権限にする
- 侵害を前提にする
1つ目は、明示的に確認することです。
ユーザー名とパスワードだけでなく、端末、場所、アプリ、リスク、行動なども見ます。
「このアクセスは本当に本人か?」
「この端末は安全な状態か?」
「この操作は普段と違わないか?」
こうした確認を重ねます。
2つ目は、最小権限にすることです。
必要な人に、必要なときだけ、必要な範囲だけアクセスを許可します。
- 全員に広い権限を与えない
- 管理者権限を必要以上に配らない
- 使っていない権限を残さない
これが大切です。
3つ目は、侵害を前提にすることです。
これは「必ず侵入されるから諦める」という意味ではありません。
侵入される可能性も考えて、被害が広がらないようにするということです。
- 一つの端末が侵害されても、全体に広がらないようにする
- 一つのアカウントが乗っ取られても、重要データにすぐ届かないようにする
- 異常に早く気づけるようにする
ゼロトラストは、疑うための思想ではありません。
被害を小さくするための設計思想なのです。
第4章 ゼロトラストで見る対象は何か
ゼロトラストでは、ネットワークだけを見ません。
見る対象を分けて考えます。
CISAのZero Trust Maturity Modelでは、ゼロトラストの成熟に向けた領域として、Identity、Devices、Networks、Applications and Workloads、Dataの5つの柱を示しています。(CISA)
日本語で言えば、次のような領域です。
- ID
- 端末
- ネットワーク
- アプリケーション
- データ
IDとは、誰がアクセスしているのかです。
- 社員なのか
- 管理者なのか
- 委託先なのか
- 一時的な利用者なのか
- 退職済みのアカウントが残っていないか
こうした確認です。
端末とは、どの機器からアクセスしているのかです。
- 会社支給のPCなのか
- 個人のスマホなのか
- 管理された端末なのか
- OSやアプリは更新されているのか
- セキュリティ機能は有効か
ネットワークとは、どこを通ってアクセスしているのかです。
- 社内なのか
- 自宅なのか
- 公共Wi-Fiなのか
- VPNなのか
- クラウド経由なのか
アプリケーションとは、どのサービスを使っているのかです。
- メール
- クラウドストレージ
- 業務システム
- チャット
- 顧客管理
- 会計システム
データとは、何にアクセスしているのかです。
- 公開情報なのか
- 社内資料なのか
- 個人情報なのか
- 機密情報なのか
- 顧客データなのか
ゼロトラストでは、「ネットワークの中にいるか」だけで判断しません。
- 誰が
- どの端末で
- どのアプリに
- どのデータへ
- どんな状況でアクセスしているのか
ここを分けて見るのです。
第5章 毎回確認するとはどういうことか
ゼロトラストでは、「毎回確認する」という表現がよく出てきます。
ただし、これは毎回あなたに面倒な操作をさせるという意味ではありません。
- 毎回パスワードを入れ直す
- 毎回本人確認をやり直す
- 毎回上司に許可を取る
そういう単純な話ではありません。
実際には、システム側がさまざまな情報を見ながら、アクセスを許可するかどうかを判断します。
- 本人確認はできているか
- 多要素認証は通っているか
- 端末は管理されているか
- 端末は最新状態か
- 場所や時間に不自然さはないか
- アクセス先のデータは重要か
- 普段と違う操作ではないか
たとえば、
- 普段は日本からアクセスしている人が、急に遠い国からログインしようとした場合
- 普段は閲覧だけしている人が、大量のデータをダウンロードしようとした場合
- 管理されていない端末から、重要な顧客情報にアクセスしようとした場合
こうしたときは、追加確認を求めたり、アクセスを止めたりすることがあります。
Microsoftもゼロトラストについて、利用可能なすべてのデータポイントに基づいて認証と認可を行うことを「明示的に検証する」と説明しています。(Microsoft Learn)
つまり、ゼロトラストの確認は、人を疑うためのものではありません。
状況が変わったときに、被害を防ぐための確認です。
「いつもと違う」を見逃さない仕組みなのです。
第6章 最小権限とは何か
ゼロトラストで重要なのが、最小権限です。
最小権限とは、必要な人に、必要な範囲だけ権限を与える考え方です。
たとえば、会社の全員がすべての顧客情報を見られる必要はありません。
一時的に作業する人が、ずっと管理者権限を持つ必要もありません。
退職した人のアカウントが残っている必要もありません。
- 必要な人だけ
- 必要な期間だけ
- 必要なデータだけ
- 必要な操作だけ
- 必要がなくなったら権限を外す
最小権限が大切なのは、被害の広がり方に関係します。
もし、広い権限を持つアカウントが乗っ取られたらどうなるでしょうか?
攻撃者は、多くのデータやシステムにアクセスできるかもしれません。
もし、全員が重要データを削除できる状態だったらどうなるでしょうか?
一つのミスや攻撃で、大きな被害につながります。
一方で、権限が限定されていれば、被害の範囲も限定しやすくなります。
Microsoftは、最小権限アクセスについて、ユーザーアクセスを制限し、Just-In-TimeやJust-Enough-Access、リスクベースの適応型ポリシーなどを使うと説明しています。(Microsoft Learn)
つまり、最小権限は「不便にするため」の仕組みではありません。
被害を広げないための仕組みです。
権限は広いほど便利です。
ですが、広いほど危険でもあります。
必要な範囲に絞ることが、現代の防御では重要なのです。
第7章 侵害を前提にするとは何か
ゼロトラストでは、「侵害を前提にする」という考え方があります。
少し怖い言葉に聞こえるかもしれません。
ですが、これは「どうせ侵入されるから無駄」という意味ではありません。
むしろ逆です。
侵入される可能性もあるからこそ、被害を広げない設計にするという考え方です。
- 一つの端末が感染しても全体へ広がらないようにする
- 一つのアカウントが乗っ取られても重要情報へ届きにくくする
- 異常な動きに早く気づく
- 被害が出ても切り離せるようにする
- 復旧できるようにする
これは、火災対策に似ています。
火事を起こさないことは大切です。
ですが、建物ではそれだけでは足りません。
- 火災報知器
- 防火扉
- 避難経路
- 消火設備
- 避難訓練
こうした備えがあります。
つまり、「火事が起きる可能性がある」ことを前提に、被害を小さくする設計をしています。
サイバーセキュリティも同じです。
- 感染しないようにする
- 盗まれないようにする。
- 侵入されないようにする
それでも、万が一に備える。
Microsoftは、ゼロトラストの「侵害を前提にする」原則について、被害範囲を最小化し、アクセスを分割し、可視性や脅威検知を向上させることを説明しています。(Microsoft Learn)
ゼロトラストは悲観的な思想ではなく、現実的に備えるための思想なのです。
第8章 ゼロトラストは何を導入すれば完成するのか
ゼロトラストという言葉は、製品名のように使われることがあります。
- ゼロトラスト製品
- ゼロトラストサービス
- ゼロトラスト導入
こう聞くと、何か一つ買えば完成するように思えるかもしれません。
ですが、ゼロトラストは製品名ではありません。
考え方です。
もちろん、ゼロトラストを実現するために役立つ技術はあります。
- 多要素認証
- 端末管理
- 条件付きアクセス
- ID管理
- ログ監視
- 権限管理
- データ分類
- 暗号化
- ネットワーク分離
- EDRやXDR
- クラウドセキュリティ
ただし、どれか一つを入れれば「ゼロトラスト完了」ではありません。
CISAのZero Trust Maturity Modelは、組織がゼロトラストアーキテクチャへ移行するためのロードマップとして、従来型、初期、発展、最適という成熟段階を示しています。(CISA)
つまり、ゼロトラストは一度で完成するものではありません。
- 今どこまでできているかを把握する
- 重要なところから改善する
- ID、端末、アプリ、データを少しずつ整える
- 監視と対応も強化する
この積み重ねです。
ゼロトラストは、買うものではなく、育てるものなのです。
第9章 ゼロトラストは個人にも関係するのか
ゼロトラストは、企業や政府のための考え方に見えるかもしれません。
もちろん、本格的なゼロトラストアーキテクチャは組織向けの話です。
ですが、考え方そのものは、個人の生活にも応用できます。
たとえば、あなたの生活でも、次のようなことがあります。
- メールにログインする
- SNSにログインする
- クラウドに写真を保存する
- スマホで銀行アプリを使う
- 通販サイトにカード情報を登録する
- 家族とファイルを共有する
- 仕事用アカウントにアクセスする
ここでも、同じ考え方が役に立ちます。
- 一度ログインしたから安全と決めつけない
- 知らない端末を放置しない
- 使っていないアプリ連携を削除する
- 重要なアカウントには多要素認証を設定する
- 必要以上に共有しない
- 公式アプリからログインする
- ログイン通知を確認する
つまり、個人版のゼロトラストはこうです。
- 誰が使っているのか確認する
- どの端末から使っているのか確認する
- 重要なアカウントは強く守る
- 不要な権限や共有を減らす
- 怪しい通知を承認しない
- 使わない連携を切る
これは、難しい専門用語を覚えることではありません。
自分のデジタル生活で、「入れっぱなし」「つなぎっぱなし」「共有しっぱなし」を減らすことです。
ゼロトラストは、企業だけの話ではありません。
あなたの生活を守る考え方にもつながるのです。
第10章 ゼロトラストを見る5つの問い
ゼロトラストを考えるときは、次の5つの問いを持つと整理しやすくなります。
「誰がアクセスしているのか?」
「どの端末からアクセスしているのか?」
「何にアクセスしようとしているのか?」
「その権限は本当に必要なのか?」
「侵害されたとき、どこで止められるのか?」
たとえば、会社のクラウドストレージならこうです。
- 誰がアクセスしているのか?
- 社員なのか
- 委託先なのか
- 退職者のアカウントが残っていないか
- どの端末からアクセスしているのか?
- 会社管理の端末なのか
- 個人端末なのか
- 最新状態なのか
- 何にアクセスしようとしているのか?
- 公開資料なのか
- 顧客情報なのか
- 機密資料なのか
- その権限は本当に必要なのか?
- 閲覧だけでよいのか
- 編集が必要なのか
- ダウンロードまで必要なのか
- 侵害されたとき、どこで止められるのか?
- 多要素認証
- 端末制限
- 権限分離
- ログ監視
- 共有停止
こうして分けると、ゼロトラストは抽象的な流行語ではなくなります。
- 人
- 端末
- アプリ
- データ
- 権限
- 被害の止め方
これらを確認する実践的な考え方として見えてきます。
ゼロトラストは、信じないための言葉ではありません。
確認し、絞り、止めるための言葉なのです。
まとめ ゼロトラストとは、確認し続ける防御思想である
ゼロトラストとは、「何も信じない」という冷たい思想ではありません。
- 社内だから安全
- VPNだから安全
- 一度ログインしたから安全
- 会社の端末だから安全
そう決めつけないための防御思想です。
ゼロトラストでは、次のことを確認します。
- 誰がアクセスしているのか?
- どの端末からアクセスしているのか?
- 何にアクセスしているのか?
- その権限は必要なのか?
- 普段と違う動きはないか?
- 侵害されたとき、どこで止められるのか?
基本となる考え方は、3つです。
- 明示的に確認する
- 最小権限にする
- 侵害を前提にする
これは、疑うためではありません。
被害を広げないためです。
現代の仕事や生活では、データは社内だけにありません。
- クラウド
- スマホ
- 自宅
- 取引先
- 委託先
- SaaS
さまざまな場所に広がっています。
そのため、「内側だから安全」という考え方だけでは守りきれません。
- 必要なときに
- 必要な人へ
- 必要な範囲だけ
- 状況を確認して許可する
これがゼロトラストの考え方です。
ゼロトラストは、製品を一つ入れて終わるものではありません。
- ID
- 端末
- ネットワーク
- アプリ
- データ
- 権限
- 監視
- 対応
これらを少しずつ整えていくものです。
そして、個人の生活にもつながります。
- 重要なアカウントを守る
- 不要な共有を減らす
- 使っていない連携を切る
- ログイン通知を確認する
- 怪しい承認をしない
ゼロトラストは、世界を疑うための言葉ではありません。
安心を思い込みにしないための言葉です。
- 確認することで、被害を減らす
- 権限を絞ることで、広がりを止める
- 侵害を想定することで、戻れるようにする
これが、ゼロトラストの本質なのです。
次回は、「VPNとは何か」を扱います。
「VPNを使えば本当に安全なのか?」
「VPNは何を守り、何を守れないのか?」
「なぜ、VPNだけではゼロトラストにならないのか?」
「あなたは、どんな場面でVPNを使うべきなのか?」
こうした問いを、通信の保護とアクセス制御の違いから見ていきます。
次回の【第8回】VPNとは何か|通信を守る仕組みと「VPNだけでは安全ではない」理由をわかりやすく解説、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
ここまでお読みいただきありがとうございました。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
この記事では、ゼロトラストを「何も信じない思想」ではなく、確認し、権限を絞り、被害を広げにくくする防御思想として整理しました。
さらに深く理解したい場合は、ゼロトラストを扱った入門書を読むと、ゼロトラストが単なる技術用語ではなく、組織の運用やリスク管理とつながって見えやすくなります。
※一部リンクにはアフィリエイトを利用しています。
あなたの負担が増えることはありません。
いただいた収益は、ブログ運営や書籍購入などの学習費に充てています。
- 村上 博『ゼロトラスト時代のセキュリティ新入門』
- 野村総合研究所, NRIセキュアテクノロジーズ『ゼロトラストネットワーク[実践]入門』
参考情報
- NIST「SP 800-207 Zero Trust Architecture」
- ゼロトラストを、静的なネットワーク境界中心の防御から、ユーザー、資産、リソース中心へ移す考え方として整理した代表的な資料です。(NIST Computer Security Resource Center)
- NIST「SP 800-207 Zero Trust Architecture PDF」
- ゼロトラストアーキテクチャの原則や、組織インフラ・ワークフローへの適用を詳しく確認できます。(NIST出版物)
- CISA「Zero Trust Maturity Model Version 2.0」
- ID、端末、ネットワーク、アプリケーションとワークロード、データの5つの柱をもとに、ゼロトラストへの移行段階を整理しています。(CISA)
- Microsoft「What is Zero Trust?」
- ゼロトラストの3原則として、明示的に検証する、最小権限アクセスを使う、侵害を前提にする、という考え方を確認できます。(Microsoft Learn)
- Microsoft「Zero Trust security guidance」
- ゼロトラストを、侵害を前提にし、すべてのリクエストを検証するセキュリティ戦略として整理しています。(Microsoft Learn)
