境界防御モデルの限界

従来のネットワークセキュリティは「城と堀」モデルに基づいていました。ファイアウォールや DMZ で外部との境界を固め、その境界の内側にいるユーザーやシステムは「信頼できる」ものとして扱うアプローチです。VPN もこの思想の延長にあります。

しかし、このモデルはいくつかの前提が崩壊したことで限界を迎えています。

  • クラウドの普及: リソースは社内ネットワーク内にあるとは限らない
  • リモートワークの常態化: ユーザーは社内 VPN の外から業務を行う
  • デバイスの多様化: スマートフォン・IoT・BYOD デバイスが内部ネットワークに接続
  • ラテラルムーブメントの脅威: 一度内部に入った攻撃者が自由に横展開できる
警告

2020年の SolarWinds サプライチェーン攻撃では、攻撃者が正規の VPN アクセスを持つアカウントを悪用し、境界防御を突破した後に数ヶ月間にわたって内部を自由に移動しました。これは境界防御モデルの根本的な脆弱性を示した事例です。

ゼロトラストの基本概念

ゼロトラスト(Zero Trust)は「決して信頼せず、常に検証する(Never Trust, Always Verify)」という原則に基づいたセキュリティモデルです。ネットワークの内外を問わず、すべてのアクセスリクエストを明示的に検証することを求めます。

この概念は 2010 年に Forrester Research の John Kindervag によって初めて体系化され、2020年に NIST が SP 800-207「Zero Trust Architecture」を発行したことで標準的な参照フレームワークとなりました。

2026年:ゼロトラストはベースライン

2026年現在、ゼロトラストは「先進的な取り組み」ではなくベースラインの期待値となっています。SaaSの普及、ハイブリッドワーク、サードパーティアクセスの拡大により、従来のネットワーク境界は事実上消滅しました。攻撃者がファイアウォール突破よりもアイデンティティの侵害に注力している現在、「アイデンティティが新しい境界」という認識が定着しています。NIS2指令やCMMC 2.0など、規制面でもゼロトラスト原則の実装が求められています。

NIST SP 800-207 の7つの原則

ポイント

NIST SP 800-207 はゼロトラストの概念的な基盤を定義した文書です。特定の製品やベンダーに依存せず、アーキテクチャの考え方を示しています。

原則 1: すべてのデータソースとサービスをリソースとみなす

企業ネットワーク内にあるかどうかに関わらず、データベース、SaaS、IoT デバイスを含むすべてのリソースへのアクセスは検証対象とします。

原則 2: ネットワークの場所に関係なく通信をすべて保護する

社内ネットワーク内の通信であっても暗号化(TLS など)を要求します。「内側にいるから安全」という前提を排除します。

原則 3: リソースへのアクセスはセッション単位で許可する

アクセス許可は固定的なものではなく、各セッションで再評価します。一度認証されても、次のリソースへのアクセスには再度検証が必要です。

原則 4: アクセスポリシーは動的に決定する

アクセス可否の判断は静的なルールではなく、ユーザーのアイデンティティ・デバイスの状態・場所・行動パターン・時刻などの複数の属性を組み合わせて動的に決定します。

原則 5: すべての資産の整合性とセキュリティ状態を監視・測定する

アクセスを要求するデバイスが最新のパッチを適用しているか、エンドポイントセキュリティが有効か、コンプライアンスに準拠しているかを継続的に評価します。

原則 6: すべての認証・認可を動的に行い、アクセス前に厳格に実施する

多要素認証(MFA)の徹底、最小権限アクセス(Least Privilege)の適用、Just-In-Time アクセスの実装が含まれます。

原則 7: 資産・ネットワーク・インフラのテレメトリを収集し、セキュリティ状態を改善する

すべてのアクセスログ・ネットワークフロー・エンドポイントデータを収集・分析し、継続的に改善します。

ZTNA と VPN の違い

ZTNA(Zero Trust Network Access)は、従来の VPN を置き換える新世代のリモートアクセス技術です。

【従来の VPN モデル】 ユーザー → [VPN 接続] → 企業ネットワーク全体にアクセス可能 リスク: 一度接続すれば内部全体に横展開できる

【ZTNA モデル】 ユーザー → [認証・デバイス検証] → 許可されたアプリケーションのみにアクセス可能 特徴:

  • アプリケーション単位での最小権限アクセス
  • ネットワークへの直接アクセスは不要
  • ユーザー・デバイス・コンテキストに基づく継続的検証
  • ネットワーク経路を隠蔽(インターネット上でサービスが見えない)
ヒント

主要な ZTNA ソリューションには、Zscaler Private Access(ZPA)、Cloudflare Access、Palo Alto Prisma Access、Microsoft Entra Private Access などがあります。SaaS 型で提供されるため、初期構築コストが低い点も VPN との大きな違いです。

マイクロセグメンテーション

マイクロセグメンテーションは、内部ネットワークを細かいセグメントに分割し、セグメント間の通信を厳格に制御する手法です。ラテラルムーブメントを防ぐ上で最も効果的な技術の一つです。

実装アプローチ

【ネットワークベース】 VLAN・ファイアウォールルール・SDN(Software Defined Networking)による 物理/論理的なセグメント分割。各セグメント間はホワイトリスト方式で通信許可。

【ホストベース(推奨)】 エンドポイントエージェントによるマイクロセグメンテーション。 各ホストのアウトバウンド/インバウンド通信をプロセス単位で制御。 例: Illumio、VMware NSX、AWS Security Groups

【クラウドネイティブ】 クラウドプロバイダーのネイティブ機能を活用。 AWS: Security Group + Network ACL + VPC Peering 制御 Azure: Network Security Group(NSG)+ Azure Firewall GCP: VPC Firewall Rules + Hierarchical Firewall

ゼロトラストファイアウォールポリシーの例

AWS Security Group で最小権限のルールを設定

aws ec2 authorize-security-group-ingress
—group-id sg-webserver
—protocol tcp
—port 443
—cidr 0.0.0.0/0

アプリケーション層からデータベース層への通信のみ許可

aws ec2 authorize-security-group-ingress
—group-id sg-database
—protocol tcp
—port 5432
—source-group sg-appserver

管理アクセスはジャンプサーバー(Bastion)からのみ許可

aws ec2 authorize-security-group-ingress
—group-id sg-database
—protocol tcp
—port 22
—source-group sg-bastion

Identity-Centric Security の実装

ゼロトラストでは「ユーザーとデバイスのアイデンティティ」がアクセス制御の中心になります。

多要素認証(MFA)の徹底

MFA の優先順位(強度の高い順):

  1. FIDO2/WebAuthn ハードウェアキー(YubiKey など)— フィッシング耐性あり
  2. TOTP アプリ(Google Authenticator、Authy)
  3. プッシュ通知(Duo Security、Microsoft Authenticator)
  4. SMS/音声コード — フィッシング・SIM スワップに弱い(最終手段)

推奨: 特権アカウントには必ずハードウェアキーを使用

条件付きアクセスポリシーの設計

アクセス許可の判断基準(コンテキスト評価):

ユーザーアイデンティティ:

  • 本人確認済みか(MFA 完了)
  • 異常なログイン場所・時刻ではないか
  • アカウントが侵害されていないか(UEBA による行動分析)

デバイス状態:

  • 企業管理デバイスか(MDM 登録済み)
  • OS・アプリのパッチが最新か
  • エンドポイントセキュリティが有効か
  • ディスク暗号化が有効か

ネットワークコンテキスト:

  • 既知の場所(オフィス IP)か
  • 匿名プロキシ・TOR 経由でないか
  • リスクスコアが閾値以下か

クラウド環境でのゼロトラスト

AWS での実装例

IAM ロールへの最小権限付与(S3 の特定バケットのみ読み取り)

aws iam create-policy —policy-name MinimalS3ReadPolicy —policy-document ’{ “Version”: “2012-10-17”, “Statement”: [{ “Effect”: “Allow”, “Action”: [“s3:GetObject”, “s3:ListBucket”], “Resource”: [ “arn:aws:s3:::company-data-bucket”, “arn:aws:s3:::company-data-bucket/*” ] }] }‘

AWS Organizations SCP で全アカウントにガードレールを設定

(特定リージョン外へのリソース作成を禁止)

aws organizations create-policy
—name “DenyNonApprovedRegions”
—type SERVICE_CONTROL_POLICY
—document file://deny-regions-scp.json

段階的移行ロードマップ

ゼロトラストへの移行は一度に完成するものではなく、段階的に進めるのが現実的です。

フェーズ 1(0〜6ヶ月): 可視化と基盤整備

  • 全資産・ユーザー・通信フローの棚卸し
  • MFA の全アカウントへの展開
  • ID プロバイダー(IdP)の統合(Azure AD、Okta など)
  • ログの一元収集(SIEM の導入・強化)

フェーズ 2(6〜18ヶ月): アクセス制御の強化

  • 条件付きアクセスポリシーの実装
  • ZTNA への段階的移行(VPN の縮小)
  • 特権アクセス管理(PAM)の導入
  • エンドポイントの EDR 導入とコンプライアンスチェック

フェーズ 3(18ヶ月〜): マイクロセグメンテーションとオートメーション

  • ネットワーク/ホストレベルのマイクロセグメンテーション
  • ポリシーの継続的自動評価
  • UEBA による異常検知の高度化
  • サプライチェーンへのゼロトラスト要件拡大
注意

ゼロトラスト移行で最も難しいのは技術よりも「組織文化の変革」です。ユーザーが慣れ親しんだ境界防御ベースの運用から、継続的な認証・検証を必要とする環境への移行は、教育と丁寧なコミュニケーションが不可欠です。

理解度チェック

NIST SP 800-207 のゼロトラスト原則として正しいものはどれですか?

理解度チェック

従来の VPN と ZTNA(Zero Trust Network Access)の主な違いはどれですか?