こんにちは。ネットワークエバンジェリストの飯田です。今回はゼロトラストをテーマにお届けします。
近年、「ゼロトラスト」という言葉を広く耳にするようになりました。
一方で、実際には「どうすればゼロトラストを実現できたと言えるのか」が曖昧なまま進んでいる企業も少なくありません。
例えば、SASEを導入した、VPNを置き換えた、クラウド認証を導入した、といった個別施策が、そのまま“ゼロトラスト化”として扱われることもあります。もちろんこれらは有効な施策ですが、ゼロトラストは単一製品や単一アーキテクチャを指す言葉ではありません。
本来のゼロトラストは、「アクセスを継続的・動的に評価する」アプローチに近いものです。つまり重要なのは、「どこから接続しているか」だけではなく、「誰が」「どの端末で」「どの権限を使い」「どのような状況でアクセスしているか」をもとに、状況に応じて信頼性を見直し続けることです。
例えば、通常利用している端末からのアクセスは許可しつつ、未知の端末や特権操作時には追加認証を要求する、といったように、状況に応じてアクセス可否や認証強度を変えるといった判断が“動的評価”にあたります。
こうした動的な評価モデルが求められている背景には、SaaS利用拡大やリモートワーク、生成AI活用の広がりがあります。従来のように「社内ネットワーク=信頼できる」という前提だけでは、制御しきれない場面が増えています。そのため、SASEやEDR、ITDRなどの各種ソリューションも、「どの通信を、何を基準に評価するのか」という観点で考える必要があります。
本記事では、ゼロトラストを「動的評価」という視点から整理し、なぜ認証・Identity(ID)基盤が重要になるのかを解説します。
ゼロトラストに対するよくある誤解
ゼロトラストという言葉は広く使われていますが、実際は幅広い意味で用いられています。
ゼロトラストの実現が語られる中、特に多いのが、
-
SASEを導入することでゼロトラストを実現できる
-
VPNを廃止し、ZTNAへ移行すればゼロトラストを実現できる
-
境界防御をやめればゼロトラストが実現できる
といった理解です。
しかし、単純な製品の導入だけでゼロトラストが実現できるわけではありません。ゼロトラストの考え方に基づき、製品をどのような役割で活用するのかが重要となります。
ゼロトラストの本質は、「境界をなくすこと」ではなく、“信頼を固定化しないこと”にあります。
本質は「継続的・動的な評価」にある
では、どのような観点で「信頼を固定化しない」設計に落とし込めばよいのでしょうか。
ゼロトラストでは、認証時点だけで信頼を決める考え方は取りません。
重要なのは、認証時点だけではなく、認証後も継続的な評価を行うことです。
その際に利用される代表的な評価要素としては、
-
Identity/アイデンティティ:ユーザーやアカウント
-
Device/デバイス:端末状態
-
Network/ネットワーク:接続元ネットワーク
-
Context/コンテキスト:時間帯・場所・操作内容など
があります。
例えば、通常利用している管理端末からのアクセスであれば許可する一方で、未知の端末や海外IPアドレスからのアクセス時には追加の認証を求める、といった制御は“動的評価”の一例です。さらに、重要資産へのアクセス時に、通常とは異なる操作や利用頻度の低い操作が確認された場合には、追加認証やアクセス制限を行うことがあります。
このように、ユーザーや端末の状態だけでなく、アクセス後の振る舞いも踏まえて判断する動的制御も、ゼロトラストにおける代表的なアプローチと言えます。
このように、ユーザーを一律に信頼するのではなく、状況や操作内容に応じて信頼度を変化させることが、ゼロトラストの重要な設計思想になります。
通信パターン別に見るゼロトラストの取り組み
ゼロトラスト設計を行う際は、組織ネットワークに関わる通信を3つに分けて考えると整理しやすくなります。
|
外部 → 内部 |
インターネット側から組織ネットワークへ発生する通信 |
|
内部 → 外部 |
組織ネットワークからインターネット側へ発生する通信 |
|
内部 → 内部 |
組織ネットワーク内部で発生する通信 |
どの通信パターンにおいても「誰が・どの端末から・どのリソースへアクセスするか」を継続的に評価することが重要です。
一方で、それぞれの通信パターンで、想定すべきリスクや必要な制御は異なります。
例えば、外部 → 内部では不正アクセス対策、内部 → 外部では情報持ち出し対策、内部 → 内部では横展開や特権利用など、“侵入後”を前提とした対策が重要になります。
このように、同じゼロトラストでも、通信パターンによって求められる制御は大きく異なります。
なぜ認証・Identity基盤が重要になるのか
ここまで整理すると、ゼロトラストにおいて認証・ID基盤が重要視される理由が見えてきます。
ゼロトラストでは、単に「ログインできたか」だけではなく、その権限利用が妥当か、通常と異なる操作ではないか、特権利用にリスクはないか、といった継続的な評価が必要になります。
そのため近年では、ITDR(Identity Threat Detection and Response)への関心も高まっています。
ゼロトラストでは、社内外やクラウド/オンプレミスを問わず、あらゆる通信に対して「誰が・何がアクセスしているのか」を確認し、制御する必要があります。そのため、通信制御の土台となるのはIdentityです。対象はユーザーIDだけでなく、サービスアカウントやAPI、ワークロードなどのNHI(Non-Human Identity)も含まれます。
さらに、ゼロトラストを実効性のあるものにするには、Identityを一度認証して終わりではなく、アクセス後のふるまいや権限利用の状況を継続的に評価する必要があります。この動的評価を実現するうえで、Identityの不正利用、権限昇格、特権アクセスの異常を可視化・検知するITDRが重要になります。
このように、ゼロトラストを実現するためには、どのように動的な評価と制御を実現し、そのためにどのソリューションを組み合わせる必要があるのかを検討することが重要です。組織内の環境は千差万別であり、自社の実態に合わせて動的な評価方法を落とし込み、各ソリューションの役割分担を整理することが課題となります。
ウェビナーのご案内
ゼロトラストを実現するためには、製品単体ではなく、全体設計として整理することが重要になります。
ゼロトラストを全体設計として整理する際に役立つ考え方につきましては、2026年6月25日に開催のオンラインウェビナーにてより詳しく解説します。
|
ゼロトラストの実現"、本当に出来ますか?個別対策で終わらせない、“全体設計”の進め方 |
|
2026年06月25日(木)15:00-16:00 ※申し込み締切:2026年06月25日(木)12:00 |
特に、
-
ゼロトラストを実現したいがどのように実現すべきか、何から手をつけるべきかわからない
-
新たなセキュリティ対策の導入を検討しているが、それが最善であるのかわからず不安
-
ゼロトラストを推進しているが、本当に実現できているか不安
といった課題を持つ方に向けた内容です。
単なる製品紹介ではなく、
といったセキュリティソリューションを、ゼロトラストの設計においてどのような役割で組み合わせるべきかを解説します。
「ゼロトラストをどう設計すべきか」を具体的に考えたい方は、ぜひご参加ください。
現在受付中のセミナー・イベント
"ゼロトラストの実現"、本当に出来ますか?個別対策で終わらせない、“全体設計”の進め方
本セミナーでは、当社がこれまでゼロトラストのご提案を行ってきた知見に加え、NIST SP 800-207(米国式ゼロトラスト)の考え方を踏まえながら、製品導入にとどまらない企業全体のセキュリティ設計のポイントを解説します。
