ゼロトラストはSASE導入では完成しない
―“動的評価”で整理する実践アプローチ
株式会社ネットワークバリューコンポネンツ
SUBSCRIBEお知らせを受け取る
RANKING人気記事ランキング
TOPICトピック一覧
- 保護領域
- 対策対象
- 市場/アーキテクチャ
- 製品
こんにちは。ネットワークエバンジェリストの飯田です。今回はゼロトラストをテーマにお届けします。
近年、「ゼロトラスト」という言葉を広く耳にするようになりました。
一方で、実際には「どうすればゼロトラストを実現できたと言えるのか」が曖昧なまま進んでいる企業も少なくありません。
例えば、SASEを導入した、VPNを置き換えた、クラウド認証を導入した、といった個別施策が、そのまま“ゼロトラスト化”として扱われることもあります。もちろんこれらは有効な施策ですが、ゼロトラストは単一製品や単一アーキテクチャを指す言葉ではありません。
本来のゼロトラストは、「アクセスを継続的・動的に評価する」アプローチに近いものです。つまり重要なのは、「どこから接続しているか」だけではなく、「誰が」「どの端末で」「どの権限を使い」「どのような状況でアクセスしているか」をもとに、状況に応じて信頼性を見直し続けることです。
例えば、通常利用している端末からのアクセスは許可しつつ、未知の端末や特権操作時には追加認証を要求する、といったように、状況に応じてアクセス可否や認証強度を変えるといった判断が“動的評価”にあたります。
こうした動的な評価モデルが求められている背景には、SaaS利用拡大やリモートワーク、生成AI活用の広がりがあります。従来のように「社内ネットワーク=信頼できる」という前提だけでは、制御しきれない場面が増えています。そのため、SASEやEDR、ITDRなどの各種ソリューションも、「どの通信を、何を基準に評価するのか」という観点で考える必要があります。
本記事では、ゼロトラストを「動的評価」という視点から整理し、なぜ認証・Identity(ID)基盤が重要になるのかを解説します。
ゼロトラストという言葉は広く使われていますが、実際は幅広い意味で用いられています。
ゼロトラストの実現が語られる中、特に多いのが、
SASEを導入することでゼロトラストを実現できる
VPNを廃止し、ZTNAへ移行すればゼロトラストを実現できる
境界防御をやめればゼロトラストが実現できる
といった理解です。
しかし、単純な製品の導入だけでゼロトラストが実現できるわけではありません。ゼロトラストの考え方に基づき、製品をどのような役割で活用するのかが重要となります。
ゼロトラストの本質は、「境界をなくすこと」ではなく、“信頼を固定化しないこと”にあります。
では、どのような観点で「信頼を固定化しない」設計に落とし込めばよいのでしょうか。
ゼロトラストでは、認証時点だけで信頼を決める考え方は取りません。
重要なのは、認証時点だけではなく、認証後も継続的な評価を行うことです。
その際に利用される代表的な評価要素としては、
Identity/アイデンティティ:ユーザーやアカウント
Device/デバイス:端末状態
Network/ネットワーク:接続元ネットワーク
Context/コンテキスト:時間帯・場所・操作内容など
があります。
例えば、通常利用している管理端末からのアクセスであれば許可する一方で、未知の端末や海外IPアドレスからのアクセス時には追加の認証を求める、といった制御は“動的評価”の一例です。さらに、重要資産へのアクセス時に、通常とは異なる操作や利用頻度の低い操作が確認された場合には、追加認証やアクセス制限を行うことがあります。
このように、ユーザーや端末の状態だけでなく、アクセス後の振る舞いも踏まえて判断する動的制御も、ゼロトラストにおける代表的なアプローチと言えます。
このように、ユーザーを一律に信頼するのではなく、状況や操作内容に応じて信頼度を変化させることが、ゼロトラストの重要な設計思想になります。
ゼロトラスト設計を行う際は、組織ネットワークに関わる通信を3つに分けて考えると整理しやすくなります。
|
外部 → 内部 |
インターネット側から組織ネットワークへ発生する通信 |
|
内部 → 外部 |
組織ネットワークからインターネット側へ発生する通信 |
|
内部 → 内部 |
組織ネットワーク内部で発生する通信 |
どの通信パターンにおいても「誰が・どの端末から・どのリソースへアクセスするか」を継続的に評価することが重要です。
一方で、それぞれの通信パターンで、想定すべきリスクや必要な制御は異なります。
例えば、外部 → 内部では不正アクセス対策、内部 → 外部では情報持ち出し対策、内部 → 内部では横展開や特権利用など、“侵入後”を前提とした対策が重要になります。
このように、同じゼロトラストでも、通信パターンによって求められる制御は大きく異なります。
ここまで整理すると、ゼロトラストにおいて認証・ID基盤が重要視される理由が見えてきます。
ゼロトラストでは、単に「ログインできたか」だけではなく、その権限利用が妥当か、通常と異なる操作ではないか、特権利用にリスクはないか、といった継続的な評価が必要になります。
そのため近年では、ITDR(Identity Threat Detection and Response)への関心も高まっています。
ゼロトラストでは、社内外やクラウド/オンプレミスを問わず、あらゆる通信に対して「誰が・何がアクセスしているのか」を確認し、制御する必要があります。そのため、通信制御の土台となるのはIdentityです。対象はユーザーIDだけでなく、サービスアカウントやAPI、ワークロードなどのNHI(Non-Human Identity)も含まれます。
さらに、ゼロトラストを実効性のあるものにするには、Identityを一度認証して終わりではなく、アクセス後のふるまいや権限利用の状況を継続的に評価する必要があります。この動的評価を実現するうえで、Identityの不正利用、権限昇格、特権アクセスの異常を可視化・検知するITDRが重要になります。
このように、ゼロトラストを実現するためには、どのように動的な評価と制御を実現し、そのためにどのソリューションを組み合わせる必要があるのかを検討することが重要です。組織内の環境は千差万別であり、自社の実態に合わせて動的な評価方法を落とし込み、各ソリューションの役割分担を整理することが課題となります。
本記事で解説した内容は、2026年6月25日開催のオンラインウェビナー「ゼロトラストの実現、本当に出来ますか? 個別対策で終わらせない、“全体設計”の進め方」でも取り上げたテーマです。
当日は多くの方にご参加いただき、ゼロトラストを「単一製品の導入」ではなく、「継続的な評価と制御を実現するための全体設計」として捉える考え方に、高い関心が寄せられました。
ウェビナー内では、SASE、ZTNA、MFA、NAC、CASBなどの個別対策をどのように位置づけるべきか、またIdentity、Device、Network、Contextを活用した継続的な評価をどのように設計へ落とし込むべきかを整理しています。
NVCでは、SASE、ITDR、NAC、EDR、NDRなど、ゼロトラストの実現に関連する複数領域の製品・サービスを取り扱っています。
ウェビナーではその一例として、Network側のアクセス制御を担うCato SASE Cloudと、Identity側の評価・制御を強化するSilverfortを組み合わせた構成もご紹介しています。
ゼロトラストを進めるうえで重要なのは、すべての領域を一度に埋めることではなく、自社にとって優先度の高い評価・制御ポイントから着手することです。
ゼロトラストを個別対策で終わらせず、全体設計として進めたい方や、ウェビナーでご紹介したCato SASE CloudとSilverfortの組み合わせ方・適用方法を詳しく知りたい方は、ぜひNVCまでお問い合わせください。
当社のウェブサイトは、利便性及び品質の維持・向上を目的に、クッキーを使用しております。当社のクッキー使用についてはクッキーポリシーをご参照いただき、クッキーの使用にご同意頂ける場合は「同意する」ボタンを押してください。同意いただけない場合は、ブラウザのクッキーの設定を無効化してください。