ゼロトラストとは
ゼロトラストセキュリティモデルは「ネットワーク内のものは信頼する」という従来の境界型防御を廃止し、「すべてのアクセスを常に検証する(Never trust, always verify)」という考え方です。VPN・ファイアウォールに依存した内部ネットワークの信頼を前提としません。
従来モデルとゼロトラストの比較
| 項目 | 境界型防御 | ゼロトラスト |
|---|---|---|
| 信頼の前提 | 内部ネットワーク = 安全 | どこも信頼しない |
| 認証タイミング | 境界での1回 | アクセスごとに毎回 |
| VPN依存 | 高い | 最小化 |
| 侵入後の影響 | ラテラルムーブが容易 | 最小権限で被害を限定 |
ゼロトラスト実装の5原則
1. アイデンティティの検証:ユーザー・デバイス・サービスのすべてをMFA(多要素認証)と証明書で検証します。
2. 最小権限の原則(Least Privilege):必要最小限のアクセス権のみ付与。Just-in-time(JIT)アクセスでアクセス期間も最小化します。
3. マイクロセグメンテーション:ネットワークを細かく分割し、侵害が拡大しないよう封じ込めます。
4. デバイスの健全性確認:アクセスするデバイスのOSバージョン・パッチ状況・EDR導入状態を確認します。
5. 継続的な監視と分析:異常なアクセスパターンをUEBA(ユーザー行動分析)でリアルタイム検出します。
主要ソリューション
- BeyondCorp(Google):VPNなしでゼロトラストを実現したGoogle社内システムが原点
- Azure AD条件付きアクセス:デバイス・場所・リスクに基づくアクセス制御
- Cloudflare Zero Trust:エッジで認証・アクセス制御を実施
導入ロードマップ
一度に全システムをゼロトラストに移行するのは現実的ではありません。最も機密性の高いシステムから段階的に適用することが推奨されます。
