CyberFix Note
防御・ハードニング

ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入

対象の目安: 情報システム担当・インフラ/運用 / 実務レベル

アオイ防御・運用担当
・ 約15分で読めます
ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入

「ゼロトラスト」という言葉は、いまや高価な製品群やネットワーク刷新の代名詞のように使われがちです。ベンダーの提案書には新しいゲートウェイやエージェントがずらりと並び、「全部入れ替えないとゼロトラストにならない」という空気が漂います。しかし、ゼロトラストは本来、製品の名前ではなく考え方の名前です。考え方であるからこそ、いま手元にあるID基盤やクラウドの設定を活かしながら、限られた予算でも少しずつ取り入れていくことができます。

この記事は、ゼロトラストを「大きな投資の決断」ではなく「日々の設定と運用の見直し」として捉え直すための実務ガイドです。まず、ゼロトラストの核心である「決して信頼せず、常に検証する」と「ID中心」という発想を原理から噛み砕きます。そのうえで、すでに多くの組織が持っているMFAやクラウドのアクセス制御を起点に、何から手を付ければ費用対効果が高いのかという段階導入の優先順位を示します。

対象は、情報システム部門やインフラ・運用の担当者で、「ゼロトラストに興味はあるが、何百万円もかけて製品を入れる前に、まず自分たちでできることを知りたい」という段階の方です。完璧な構成を目指すのではなく、いまの一歩を確実に踏み出すための判断材料を提供します。

ゼロトラストとは何か(そして何でないか)

ゼロトラストの定義としてよく参照されるのが、米国NISTのSP 800-207「Zero Trust Architecture」です。ここでは、ネットワークの場所(社内か社外か)を信頼の根拠にしないこと、すべての通信をネットワークの位置に関わらず保護すること、個々のリソースへのアクセスはセッションごとに評価すること、といった原則が示されています。一言でまとめれば、「ネットワークのどこにいるか」ではなく「いま誰が・どの端末で・何にアクセスしようとしているか」を、その都度確かめてからアクセスを許す、という考え方です。

NIST SP 800-207「Zero Trust Architecture」(2020年8月公開)は、ゼロトラストの基本原則(tenets)を定義した一次文書です。製品仕様ではなく、設計思想とアーキテクチャの考え方を示しています。

ここで誤解しやすいのが、「ゼロトラスト=VPNや社内ネットワークを廃止すること」あるいは「特定の製品を導入すること」だという理解です。どちらも正確ではありません。ゼロトラストは、従来の境界防御(社内ネットワークの中は安全、という前提)を否定して何かに置き換えるものではなく、「境界の内側であっても、その場所にいること自体を信頼の根拠にしない」という発想を上乗せするものです。ファイアウォールやVPNが無駄になるわけではなく、それらに加えて、アクセスのたびにIDと端末と文脈を検証する層を足していくイメージです。

もう一つの誤解は、「ゼロトラストはゴールである」というものです。実際には、完成形が一つあるわけではなく、成熟度(マチュリティ)の段階を少しずつ上げていく継続的な取り組みです。CISA(米国サイバーセキュリティ・インフラセキュリティ庁)のZero Trust Maturity Modelは、この段階性を明確にしており、組織が自分の現在地を測りながら前進できるよう設計されています。

なぜ「境界の内側」を信頼してはいけないのか

従来の境界防御モデルは、城と堀にたとえられます。堀(ファイアウォールやVPN)の外は危険、内側は安全、という前提で、いったん社内ネットワークに入れた相手は比較的自由に動ける、という設計です。このモデルが崩れたのは、働き方とシステムの置き場所が変わったからです。

第一に、リモートワークとクラウドの普及で、守るべき資産が社内ネットワークの中に収まらなくなりました。SaaSやクラウド上のデータは、そもそも「堀の内側」に存在しません。第二に、攻撃の現実として、攻撃者はフィッシングや認証情報の窃取で「正規の利用者」になりすまして堀の内側に入り込みます。いったん内側に入られると、境界モデルでは横方向の移動(ラテラルムーブメント)をほとんど止められません。ランサムウェア被害が一台の感染から全社に広がるのは、まさにこの「内側は信頼する」前提が悪用されるからです。

ゼロトラストは、この「内側なら信頼する」という前提そのものを外します。社内からのアクセスであっても、毎回IDと端末と文脈を確かめる。これにより、たとえ一つのアカウントや端末が侵害されても、そこから他の資産へ自由に広がることを難しくします。被害の封じ込めという観点で効いてくるのが、ゼロトラストの実利です。

「VPNにつながってさえいれば社内システムは見える」という構成を長年使ってきたので、最初は『内側も信頼しない』がピンと来ませんでした。腑に落ちたのは、退職者のアカウントが残っていて、そこからVPN経由で重要サーバーに到達できる構成だと気づいたときです。場所ではなくID単位で許可を見直す、という発想に切り替えたら、やるべきことが具体的になりました。

ある社内インフラ担当の声

なぜ「ID中心」が出発点になるのか

ゼロトラストには複数の柱(ピラー)があります。CISAのZero Trust Maturity Modelでは、Identity(ID)、Devices(端末)、Networks(ネットワーク)、Applications and Workloads(アプリケーションとワークロード)、Data(データ)の5つの柱が示され、さらにこれらを横断する能力としてVisibility and Analytics(可視化と分析)、Automation and Orchestration(自動化)、Governance(統制)が挙げられています。

CISAのZero Trust Maturity Model(バージョン2.0、2023年公開)は、5つの柱と3つの横断的能力ごとに、Traditional / Initial / Advanced / Optimal の4段階で成熟度を測る枠組みを提供しています。

このうち、最小コストで始める出発点として最も費用対効果が高いのがIDの柱です。理由は単純で、現代の侵害の多くが「正規の認証情報の悪用」から始まるからです。攻撃者にとって、脆弱性を突くより、漏れたパスワードでログインする方が安上がりで確実です。だからこそ、「誰が・何に・どの条件でアクセスできるか」をIDを軸に締めることが、最も効きます。しかもIDの強化は、新しいネットワーク機器を買わなくても、既存のID基盤(Microsoft Entra IDやGoogle Workspaceなど)の設定で相当部分が実現できます。追加投資ゼロから始められる、というのが実務上の大きな魅力です。

IDを固める第一歩はMFAです。MFAは、パスワードが漏れても、もう一つの要素がなければログインできない状態をつくる、ゼロトラストの土台です。方式の選び方や組織導入の進め方は

あわせて読みたい

多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説

で詳しく整理しているので、あわせて参照してください。MFAが入っていない組織にとっては、ゼロトラストの議論より先に、まずここを埋めることが最優先です。

早見表: 段階導入の優先順位

何から手を付けるかを、コストと効果の観点で整理すると次のようになります。多くの項目が「いまある仕組みの設定」で実現でき、新規製品の購入を必ずしも必要としません。

段階やること主なコスト効果
1全アカウントにMFAを必須化(特に管理者・外部公開)既存ID基盤の設定のみ認証情報悪用を大きく抑止
2退職者・不要アカウント・過剰権限の棚卸し運用工数攻撃面の縮小、横移動の抑制
3条件付きアクセス(端末・場所・リスクで判定)既存ID基盤の上位機能アクセスを文脈で都度評価
4最小権限の徹底(必要な人に必要な範囲だけ)設計・運用工数侵害時の影響範囲を限定
5ログの集約と可視化(誰が何にアクセスしたか)既存ログ+集約の工数異常検知と事後追跡
6アプリ単位のアクセス(ZTNA等で個別公開)製品導入の検討VPNの広い到達範囲を縮小

段階1から5までは、多くの場合いま持っている仕組みの設定変更と運用見直しで進められます。製品導入の検討が本格的に必要になるのは段階6あたりからで、そこに至る前にやれることが大量にある、というのがこの表の要点です。

いまある仕組みで始める具体策

MFAと条件付きアクセス

MFAを必須化したら、次は条件付きアクセス(コンディショナルアクセス)です。これは、「誰が」だけでなく「どの端末から」「どこから」「どのくらいリスクが高い状況か」を見て、アクセスの可否や追加認証の要否を都度決める仕組みです。たとえば「管理されていない端末からは機密データへアクセスさせない」「普段と違う国からのログインには追加の確認を求める」といった制御がこれにあたります。多くの主要なID基盤の上位プランに、この機能が含まれています。これはまさにゼロトラストの「セッションごとに評価する」という原則の実装そのものです。

権限の棚卸しと最小権限

費用がほとんどかからず、効果が大きいのが権限の棚卸しです。退職者のアカウントが残っていないか、誰も使っていない管理者権限がないか、本来不要な広い権限が付いていないかを洗い出して削ります。最小権限の原則(必要な人に、必要な範囲だけ、必要な期間だけ)は、ゼロトラストの中核です。万一アカウントが侵害されても、そのアカウントが持つ権限が狭ければ、攻撃者にできることも狭まります。

注意

権限の棚卸しは「一度やって終わり」ではありません。人事異動やプロジェクト終了のたびに権限は陳腐化し、使われない強い権限が静かに残り続けます。棚卸しを定期的な運用プロセスとして組み込まないと、時間とともに元の状態に戻ってしまいます。

ログの集約と可視化

「誰が・いつ・何にアクセスしたか」を後から追えるようにすることも、ゼロトラストの重要な要素です。CISAの枠組みでも、可視化と分析は柱を横断する能力として位置づけられています。高価なSIEMをいきなり導入しなくても、まずは認証ログとアクセスログを一カ所に集めて、定期的に見る習慣をつくるだけでも、異常への気づきは大きく変わります。検証で何を許可したのかを記録に残すことが、後の改善の土台になります。

VPNからアプリ単位のアクセスへ

VPNは「社内ネットワーク全体への入口」を提供するため、いったん認証を通すと到達範囲が広くなりがちです。ゼロトラストの発想に沿うと、ネットワーク全体ではなく「特定のアプリケーションだけ」に、IDと端末の検証を通った相手だけがアクセスできる形に寄せていきます。これがZTNA(Zero Trust Network Access)と呼ばれる考え方です。ここは製品の導入検討が必要になる領域なので、段階の後半に位置づけ、まずID側を固めてから取り組むのが現実的です。

つまずきやすい点と判断基準

ゼロトラストの取り組みでよくある失敗は、「製品を入れたことで満足してしまう」ことです。ゲートウェイやエージェントを導入しても、肝心のID側がMFAなし・権限過剰のままでは、ゼロトラストとは言えません。逆に言えば、製品をまだ何も買っていなくても、MFAと最小権限と条件付きアクセスが効いていれば、それは立派にゼロトラストの実践です。判断基準は「何を買ったか」ではなく「アクセスのたびに検証されているか」です。

もう一つの失敗は、いきなり全社・全システムに完璧な構成を適用しようとして、現場の業務を止めてしまうことです。ゼロトラストは段階的な成熟が前提です。影響の大きいID(管理者権限、外部公開アカウント)と資産(機密データ、基幹システム)から着手し、利用者の業務影響を計測しながら範囲を広げます。この進め方は、IPAの「ゼロトラスト移行のすゝめ」でも、組織が移行を検討する際の考え方と進め方として整理されています。

IPA「ゼロトラスト移行のすゝめ」(2022年公開)は、国内の組織がゼロトラスト移行を検討する際の心構えと進め方、ソリューション導入の順序や勘所を、ユーザー企業やベンダーの知見を交えて整理した資料です。

  1. 1

    現在地を把握する

    MFAの適用範囲、管理者権限の数、退職者アカウントの有無、ログの集約状況などを棚卸しし、自組織がどの段階にいるかを確かめます。CISAの成熟度モデルが自己評価の物差しになります。

  2. 2

    IDの土台を固める

    全アカウント、特に管理者と外部公開アカウントへMFAを必須化します。ここが空いていると、上に何を積んでも崩れます。

  3. 3

    権限を絞る

    不要アカウントを削除し、過剰な権限を最小権限へ是正します。棚卸しを定期運用に組み込みます。

  4. 4

    文脈で判定する

    条件付きアクセスを使い、端末・場所・リスクに応じてアクセス可否や追加認証を制御します。

  5. 5

    見えるようにする

    認証・アクセスログを集約し、定期的に確認する運用を整えます。異常への気づきと事後追跡の土台です。

  6. 6

    範囲を広げる

    効果と業務影響を計測しながら、対象システムとアプリ単位のアクセス制御へ段階的に広げます。

よくある質問

ゼロトラストには高価な専用製品が必須ですか?
必須ではありません。ゼロトラストは設計思想であり、まずは既存のID基盤が持つMFAや条件付きアクセス、権限管理、ログ集約の設定で大きく前進できます。製品の導入検討が本格化するのは、アプリ単位のアクセス制御(ZTNA)などを進める後半の段階です。
ゼロトラストにするとVPNは廃止しないといけませんか?
いいえ。ゼロトラストはVPNやファイアウォールを否定して置き換えるものではなく、その内側でも信頼を前提にしないという発想を上乗せするものです。最終的にVPNからアプリ単位のアクセスへ寄せていく方向性はありますが、いきなり廃止する必要はありません。
何から始めるのが最も費用対効果が高いですか?
IDの強化、特にMFAの必須化と権限の棚卸しです。現代の侵害の多くが正規の認証情報の悪用から始まるため、ここを締めるのが最も効きます。いずれも既存の仕組みの設定と運用で実現でき、追加投資をほとんど必要としません。
中小規模の組織でもゼロトラストは現実的ですか?
現実的です。むしろ大規模なネットワーク刷新が難しい組織ほど、既存のクラウドID基盤の設定を活かす最小コストのアプローチが向いています。完璧な構成ではなく、影響の大きいIDと資産から段階的に進めることが鍵です。
ゼロトラストは『完成』しますか?
一つの完成形があるわけではなく、成熟度を段階的に上げていく継続的な取り組みです。CISAの成熟度モデルのように、現在地を測りながら少しずつ前進する、というのが本来の姿です。

まとめ

最小コストで始めるゼロトラスト チェックリスト

  • ゼロトラストを製品ではなく『常に検証する』考え方として捉え直したか
  • 全アカウント、特に管理者・外部公開にMFAを必須化したか
  • 退職者・不要アカウント・過剰権限を棚卸しし、最小権限へ是正したか
  • 端末・場所・リスクに応じた条件付きアクセスを検討・適用したか
  • 認証・アクセスログを集約し、定期的に確認する運用を整えたか
  • 影響の大きいIDと資産から、計測しながら段階的に広げる計画にしたか

ゼロトラストは、大きな投資の決断としてではなく、「アクセスのたびに、場所ではなくIDと文脈を確かめる」という日々の設定と運用の積み重ねとして始められます。出発点はID、特にMFAと最小権限です。ここを固めるだけで、現代の侵害が最も多用する「正規の認証情報の悪用」に対して、追加投資をほとんどせずに大きく備えられます。完璧を目指して立ち止まるより、影響の大きいところから一歩を確実に踏み出すことが、最小コストのゼロトラストへの近道です。認証の設計はその要であり、

あわせて読みたい

多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説

とあわせて取り組むことをおすすめします。

出典・参考

この記事をシェア

関連する記事