働き方やIT環境が変化する中で、企業のセキュリティ対策も大きく変わっています。
以前は、「社内ネットワークの中は安全」「社外からのアクセスは危険」という考え方が一般的でした。会社のオフィス内にあるパソコンやシステムは信頼し、外部からのアクセスを防ぐことが主な対策でした。
しかし、現在は状況が変わっています。
リモートワーク、クラウドサービス、スマートフォン利用、外部委託、グループ会社連携、SaaS利用が広がり、社内と社外の境界が曖昧になっています。社員が自宅からクラウドシステムにアクセスすることもあれば、外部ベンダーが社内システムに接続することもあります。
このような環境で役立つのが、Zero Trustです。
Zero Trustは、「何も無条件には信頼しない」という考え方を基本にしたセキュリティアーキテクチャです。初心者はまず「社内外を問わず、アクセスのたびに確認するセキュリティの考え方」と理解すれば十分です。
Zero Trustを知ることで、これからの企業セキュリティ、DX、クラウド活用、リモートワークの安全性を考えやすくなります。
この記事でわかること
・Zero Trustとは何か
・Zero Trustは何に使うのか
・Zero Trustの基本的な考え方
・Zero Trustの使い方
・Zero Trustの具体例
・関連フレームワークとの違い
最初から完璧に使いこなす必要はありません。まずは「Zero Trustはすべてのアクセスを確認し、安全に業務を行うための型だ」とつかめれば十分です。
Zero Trustとは?
Zero Trustとは、「社内だから安全」「一度認証したから安全」と考えず、すべてのアクセスを継続的に確認するセキュリティの考え方です。
日本語では「ゼロトラスト」と呼ばれます。
従来のセキュリティでは、社内ネットワークと社外ネットワークの境界を守る考え方が中心でした。会社のネットワークの内側に入れば比較的信頼され、外側からの攻撃を防ぐことに重点が置かれていました。
しかし、クラウドサービスやリモートワークが広がると、この考え方だけでは不十分になります。
たとえば、次のような状況があります。
・社員が自宅から業務システムにアクセスする
・営業担当者が外出先から顧客情報を見る
・クラウドサービスに会社の重要データが保存されている
・外部委託先が一部の業務システムを利用する
・社内端末がマルウェアに感染する可能性がある
・退職者のアカウントが残っている可能性がある
Zero Trustでは、アクセス元が社内か社外かだけで安全性を判断しません。
誰がアクセスしているのか、どの端末からアクセスしているのか、どのデータへアクセスしようとしているのか、その行動は通常と比べて不自然ではないかを確認します。
一言でいうと、Zero Trustは、すべてのアクセスを検証し続けるためのセキュリティフレームワークです。
Zero Trustは何に使うのか
Zero Trustは、現代の多様な働き方やクラウド利用に対応したセキュリティ対策に使います。
主な用途は次のとおりです。
・リモートワーク環境を安全にする
・クラウドサービス利用時のリスクを下げる
・ユーザーごとのアクセス権限を管理する
・端末の安全性を確認する
・重要データへのアクセスを制御する
・不正アクセスや情報漏えいを防ぐ
・退職者や異動者の権限残りを防ぐ
・外部委託先のアクセスを制限する
・社内ネットワーク内の過信を防ぐ
・セキュリティ監視を強化する
Zero Trustは、特定の製品名ではありません。
認証、端末管理、アクセス制御、ログ監視、データ保護、ネットワーク制御などを組み合わせた考え方です。
つまり、「ゼロトラスト製品を1つ買えば完成」というものではなく、自社の業務やIT環境に合わせて段階的に整備するものです。
どんな人に向いているか
Zero Trustは、次のような人に向いています。
・情報セキュリティを担当している人
・リモートワーク環境を整備している人
・クラウドサービスの利用を管理したい人
・社内システムのアクセス権限を見直したい人
・DX推進でセキュリティを強化したい人
・外部委託先との接続管理を行う人
・個人情報や機密情報を扱う部門の人
・情報システム部門の管理職や担当者
・内部統制やリスク管理に関わる人
・経営層としてサイバーリスクを把握したい人
Zero TrustはIT部門だけのテーマではありません。
営業、研究開発、人事、経理、法務、知的財産、製造など、重要情報を扱う部門にも関係します。
たとえば、研究開発データ、顧客情報、人事情報、契約情報、知的財産情報などは、アクセスできる人を慎重に管理する必要があります。
Zero Trustの考え方を知っておくと、「誰が、どの端末から、どの情報にアクセスできるべきか」を業務側でも考えやすくなります。
Zero Trustの基本的な考え方
Zero Trustの基本は、「信頼せず、常に確認する」ことです。
初心者が押さえたい考え方は、次の5つです。
・明示的に確認する
・最小権限にする
・侵害される前提で考える
・端末の状態を見る
・継続的に監視する
明示的に確認する
Zero Trustでは、アクセスのたびに、誰が、どこから、何にアクセスしようとしているのかを確認します。
確認する要素には、次のようなものがあります。
・ユーザーの本人確認
・多要素認証
・端末の状態
・アクセス元の場所
・利用するアプリケーション
・アクセス対象のデータ
・通常と異なる行動がないか
たとえば、普段は日本からアクセスしている社員アカウントが、突然海外から深夜に重要データへアクセスしようとした場合、追加認証やブロックが必要になるかもしれません。
最小権限にする
最小権限とは、業務に必要な範囲だけアクセス権限を与える考え方です。
すべての社員がすべての情報を見られる状態は危険です。
たとえば、営業担当者には担当顧客の情報が必要かもしれませんが、人事評価データや機密研究データを見る必要はありません。
また、管理者権限は特に慎重に扱う必要があります。
Zero Trustでは、「念のため広く権限を与える」のではなく、「必要な人に、必要な範囲だけ、必要な期間だけ」権限を与えることが重要です。
侵害される前提で考える
Zero Trustでは、攻撃を完全に防げるとは考えません。
どこかが侵害される可能性を前提に、被害を広げない設計を考えます。
たとえば、ある社員のアカウントが盗まれたとしても、そのアカウントでアクセスできる範囲が限定されていれば、被害を抑えられます。
また、異常なアクセスを検知できれば、早く対応できます。
この考え方は、現代のサイバーセキュリティでは非常に重要です。
端末の状態を見る
Zero Trustでは、ユーザー本人だけでなく、使っている端末の状態も確認します。
たとえば、次のような点です。
・会社が管理している端末か
・OSやソフトウェアが最新か
・セキュリティソフトが動いているか
・暗号化されているか
・マルウェア感染の疑いがないか
・紛失や盗難の報告がないか
たとえ正しいIDとパスワードでログインしていても、危険な端末から重要データにアクセスするのはリスクがあります。
継続的に監視する
Zero Trustでは、一度認証したら終わりではありません。
アクセス後の行動も継続的に確認します。
たとえば、次のような行動は注意が必要です。
・短時間に大量のデータをダウンロードする
・普段使わないシステムへアクセスする
・通常とは異なる時間帯にアクセスする
・権限変更を繰り返す
・失敗ログインが急増する
ログや行動を監視することで、不正アクセスや内部不正の兆候を早く見つけられます。
Zero Trustの使い方
手順1 守るべき情報とシステムを整理する
まず、守るべき情報とシステムを整理します。
すべてを一度に完璧に守ろうとすると、範囲が広すぎて進みません。重要度の高い情報から整理することが大切です。
たとえば、次のような情報があります。
・顧客情報
・個人情報
・人事情報
・契約情報
・研究開発データ
・知的財産情報
・財務情報
・製造条件
・営業機密
・システム管理者情報
どの情報がどこに保存され、誰が使っているかを確認します。
手順2 ユーザーと権限を棚卸しする
次に、ユーザーと権限を棚卸しします。
確認する観点は次のとおりです。
・誰がどのシステムを使っているか
・どのデータにアクセスできるか
・退職者や異動者の権限が残っていないか
・管理者権限を持つ人は適切か
・外部委託先の権限は必要最小限か
・共有アカウントが使われていないか
・権限付与の承認ルールはあるか
Zero Trustの基本は、最小権限です。まず現在の権限を見える化することが重要です。
手順3 本人確認を強化する
次に、本人確認を強化します。
代表的な方法が多要素認証です。
多要素認証とは、IDとパスワードだけでなく、別の確認手段を組み合わせることです。
たとえば、次のようなものがあります。
・スマートフォン認証
・ワンタイムパスワード
・生体認証
・セキュリティキー
・認証アプリ
IDとパスワードが盗まれても、多要素認証があれば不正ログインを防ぎやすくなります。
特に、管理者アカウントや重要システムでは、多要素認証を優先的に導入する価値があります。
手順4 端末管理を整える
次に、業務で使う端末を管理します。
確認する項目は次のとおりです。
・会社管理端末か
・OSは最新か
・セキュリティパッチは適用されているか
・ウイルス対策は有効か
・ディスク暗号化はされているか
・画面ロックは設定されているか
・紛失時に遠隔ロックや削除ができるか
リモートワークでは、端末管理が特に重要になります。
端末が安全でなければ、どれだけ認証を強化しても情報漏えいのリスクが残ります。
手順5 アクセス制御を細かくする
Zero Trustでは、アクセス制御を細かくします。
たとえば、次のような条件でアクセス可否を判断します。
・ユーザーの役割
・所属部門
・端末の安全性
・アクセス元の場所
・時間帯
・対象データの重要度
・操作内容
・過去の利用状況
重要情報にアクセスする場合は、追加認証を求める。危険な端末からのアクセスはブロックする。外部委託先は特定システムだけに限定する。このような制御が考えられます。
手順6 ログ監視と対応ルールを作る
最後に、ログ監視と対応ルールを整えます。
Zero Trustでは、異常を早く見つけ、早く対応することが重要です。
監視する情報には、次のようなものがあります。
・ログイン履歴
・アクセス履歴
・ファイルダウンロード履歴
・権限変更履歴
・管理者操作履歴
・失敗ログイン
・外部共有の状況
また、異常が見つかったときの対応ルールも必要です。
・誰が確認するか
・利用者にどう連絡するか
・アカウントを一時停止する基準は何か
・上司や管理者へどう報告するか
・インシデント対応へどうつなげるか
ログを取るだけではなく、見て、判断し、対応する仕組みが必要です。
Zero Trustの具体例
例 リモートワーク環境を安全にする場合
ある会社では、リモートワークが増え、社員が自宅や外出先からクラウドサービスにアクセスするようになりました。
便利になった一方で、次のような不安が出てきました。
・IDとパスワードだけでログインできる
・私物端末からアクセスしている可能性がある
・退職者のアカウントが残っている
・重要データを誰がダウンロードしたか分からない
・外部共有リンクが管理されていない
・端末紛失時の対応が決まっていない
この場合、Zero Trustの考え方で対策します。
まず、重要なクラウドサービスに多要素認証を導入します。
次に、会社が管理している端末からのみ重要データへアクセスできるようにします。
さらに、部門や役職に応じてアクセス権限を見直します。退職者や異動者の権限は定期的に棚卸しします。
ファイル共有については、外部共有の可否、共有期限、ダウンロード制限、アクセスログ確認を設定します。
これにより、リモートワークでも安全性を高めながら業務を続けやすくなります。
別の例 研究開発データを守る場合
別の例として、製造業や化学メーカーで研究開発データを守るケースを考えます。
研究データ、実験条件、配合情報、特許出願前の技術情報、共同研究資料などは、非常に重要な情報です。
しかし、次のようなリスクがあります。
・研究部門以外の人も閲覧できる
・共同研究先と共有した資料の管理が曖昧
・退職者のアクセス権限が残っている
・USBや個人端末への保存が管理されていない
・大量ダウンロードを検知できない
・アクセスログが確認されていない
この場合、Zero Trustでは、重要な研究データを分類し、アクセスできる人を必要最小限にします。
共同研究先には、特定フォルダや特定期間だけアクセスを許可します。アクセスには多要素認証を求め、ダウンロードや外部共有を制限します。
また、大量ダウンロードや通常と異なるアクセスがあれば、管理者に通知する仕組みを作ります。
これにより、技術情報の漏えいリスクを下げながら、必要な共同研究や業務連携を進められます。
具体例でわかるポイント
具体例から学べるポイントは次のとおりです。
・Zero Trustはリモートワークやクラウド利用で重要になる
・社内外の境界だけで安全性を判断しない
・本人確認、端末確認、権限管理を組み合わせる
・最小権限にすることで被害を限定しやすい
・重要データは分類してアクセスを制御する
・ログ監視と異常検知が重要である
・外部委託先や共同研究先との共有にも活用できる
Zero Trustは、業務を止めるための考え方ではありません。安全に業務を続けるための考え方です。
Zero Trustを使うメリット
Zero Trustを使うメリットは、クラウド利用やリモートワークが広がる環境でも、重要情報を守りやすくなることです。
主なメリットは次のとおりです。
・不正アクセスを防ぎやすくなる
・IDとパスワードだけに依存しなくなる
・重要データへのアクセスを細かく制御できる
・退職者や異動者の権限残りを減らせる
・端末の安全性を確認できる
・外部委託先のアクセスを管理しやすい
・情報漏えい時の被害範囲を抑えやすい
・ログ監視により異常に気づきやすい
・クラウドサービスを安全に使いやすくなる
・セキュリティを業務実態に合わせて設計できる
特に大きなメリットは、「社内だから安全」という思い込みをなくせることです。
攻撃者が社内アカウントを盗むこともありますし、社内端末がマルウェアに感染することもあります。Zero Trustでは、そのような可能性を前提にして、被害を広げない設計を考えます。
Zero Trustを使うときの注意点
Zero Trustは重要ですが、導入には注意点もあります。
よくある失敗例は次のとおりです。
・製品を導入すれば完成すると考える
・業務実態を見ずにアクセス制限を厳しくしすぎる
・利用者の利便性を大きく損なう
・権限棚卸しを一度だけで終わらせる
・ログを取るだけで監視していない
・端末管理が不十分なまま進める
・外部委託先や退職者の権限を見落とす
・重要データの分類ができていない
・例外ルールが増えすぎて形骸化する
・経営層や業務部門の理解がない
特に注意したいのは、セキュリティを強化しすぎて業務が回らなくなることです。
Zero Trustは、すべてを禁止する考え方ではありません。業務に必要なアクセスを安全に許可する考え方です。
そのため、情報システム部門だけで決めるのではなく、業務部門と相談しながら、重要情報、利用者、業務フロー、例外対応を整理することが重要です。
関連フレームワークとの違い
Zero Trustと関連するフレームワークには、STRIDE、COBIT、ITIL、DevOps、CI/CDなどがあります。それぞれ目的が異なります。
STRIDEとの違い
STRIDEは、セキュリティ脅威を分類して分析するためのフレームワークです。
なりすまし、改ざん、否認、情報漏えい、サービス妨害、権限昇格といった脅威を整理します。
Zero Trustは、アクセス制御や認証を中心としたセキュリティアーキテクチャの考え方です。
STRIDEが「どのような脅威があるかを分析する道具」だとすれば、Zero Trustは「信頼しすぎない設計で守る考え方」です。
COBITとの違い
COBITは、ITガバナンスとITマネジメントのフレームワークです。
ITが経営目標に合っているか、リスクが管理されているかを整理します。
Zero Trustは、セキュリティ設計の具体的な考え方です。
COBITでセキュリティリスクを管理対象として整理し、その対策としてZero Trustを導入する、という関係で考えると分かりやすいです。
ITILとの違い
ITILは、ITサービス管理のフレームワークです。
インシデント管理、問題管理、変更管理などを扱います。
Zero Trustは、アクセスや認証、端末管理を中心としたセキュリティの考え方です。
ただし、Zero Trustの運用では、ITILのインシデント管理や変更管理の考え方も役立ちます。
DevOpsとの違い
DevOpsは、開発と運用が連携して継続的に価値を届ける考え方です。
Zero Trustは、セキュリティを高めるための考え方です。
開発やリリースのスピードを保ちながら、セキュリティを組み込む場合は、DevSecOpsの考え方が重要になります。
CI/CDとの違い
CI/CDは、コード変更からテスト、リリースまでを継続的に行う仕組みです。
Zero Trustは、アクセスや認証を中心としたセキュリティアーキテクチャです。
CI/CDパイプラインの中にも、権限管理、コードスキャン、シークレット管理、承認制御など、Zero Trust的な発想を組み込むことができます。
Zero Trustはどんな場面で使うと効果的か
Zero Trustは、次のような場面で使うと効果的です。
・リモートワークを安全に運用したいとき
・クラウドサービス利用を拡大するとき
・重要データへのアクセスを制御したいとき
・退職者や異動者の権限管理を強化したいとき
・外部委託先や協力会社との接続を管理したいとき
・個人情報や機密情報を守りたいとき
・社内ネットワーク内の過信を見直したいとき
・サイバー攻撃の被害拡大を防ぎたいとき
・DX推進とセキュリティを両立したいとき
・情報漏えい対策を強化したいとき
特に、クラウドサービスや外部連携が増えている会社では、Zero Trustの考え方が重要です。
社内と社外の境界が曖昧になるほど、「一度中に入ったら安全」という考え方では守りきれなくなります。
まとめ
Zero Trustとは、「何も無条件には信頼しない」という考え方を基本にしたセキュリティフレームワークです。
社内か社外かだけで安全性を判断せず、ユーザー、端末、アクセス先、行動、データの重要度を確認しながらアクセスを制御します。
Zero Trustでは、明示的な確認、最小権限、侵害される前提、端末管理、継続的な監視が重要です。
リモートワーク、クラウド利用、外部委託、重要情報管理が広がる現在、Zero Trustは企業のセキュリティを考えるうえで欠かせない考え方になっています。
ただし、Zero Trustは製品を導入すれば完成するものではありません。業務、情報、ユーザー、端末、権限、ログ監視を段階的に整える必要があります。
まずは、自社や自部門で扱う重要情報を洗い出し、「誰が、どの端末から、どの情報にアクセスできるべきか」を整理するところから始めてみましょう。
次に読みたい関連記事
まず全体像を見たい方へ
仕事で使えるフレームワーク一覧|初心者向けに意味・種類・使い方をわかりやすく解説
あわせて読みたい関連記事
STRIDEとは?初心者向けに意味・使い方・具体例をやさしく解説
COBITとは?初心者向けに意味・使い方・具体例をやさしく解説
ITILとは?初心者向けに意味・使い方・具体例をやさしく解説
目的別にまとめて読みたい方へ
IT・システム・業務設計で使うフレームワークまとめ|初心者向けに種類・使い方・選び方をわかりやすく解説
