ゼロトラスト
ゼロトラスト
「境界の内側は安全」を捨て、すべてのアクセスを毎回検証するセキュリティモデル。
概要
ゼロトラストは、「社内ネットワークの内側にいるなら信頼してよい」という前提を捨て、すべてのアクセスを発生のたびに検証するセキュリティモデルです。標語は “Never trust, always verify”(決して信頼せず、常に検証する)。ネットワーク上の「場所」を信頼の根拠にせず、アクセスするたびに「誰が(ユーザーの認証)」「何から(デバイスの健全性)」「何に対して(リソースごとの認可)」を確認します。
特定の製品や単一の技術の名前ではなく、設計思想である点に注意が必要です。市場には「ゼロトラスト製品」が溢れていますが、実体はアイデンティティ基盤・デバイス管理・アクセスプロキシ・ネットワーク分割といった既存技術の組み合わせであり、「信頼を場所ではなくアイデンティティとコンテキストに紐づける」という原則が中核にあります。リモートワークとクラウド利用が当たり前になり、「社内」という場所そのものが曖昧になった現代において、事実上の標準的な考え方になりつつあります。
なぜ生まれたか
従来のセキュリティは「境界防御」、しばしば「城と堀」に喩えられるモデルでした。ファイアウォールとVPNで社内ネットワークの境界を固く守り、境界を越えて中に入った通信は信頼する。この設計は、守るべき資産がすべて社内にあり、社員が社内から働いていた時代には合理的でした。しかし内側は素通しであるため、致命的な弱点を抱えています。フィッシングやマルウェアで一台の端末が乗っ取られれば、攻撃者はVPNの内側から社内システムを自由に探索できます。侵入後にネットワーク内を移動して権限とデータを広げていく「ラテラルムーブメント(横移動)」に対して、境界防御はほぼ無力です。内部犯行にも同様に弱く、さらにクラウドとリモートワークの普及で「境界の内側」という概念自体が崩れました。
この問題意識は2010年に Forrester Research の John Kindervag が「ゼロトラスト」として定式化し、Google が自社実装 BeyondCorp として2014年から論文で公開したことで現実の設計として広まりました。BeyondCorp は「社内ネットワークにいることに特権的な意味を持たせない。社内からでもカフェからでも、同じ検証を経て同じようにアクセスする」を実際に全社規模で実現し、VPNを不要にしたことで大きな影響を与えました。2020年には NIST が SP 800-207 としてアーキテクチャを標準文書化しています。
詳細
境界型とゼロトラストの対比
両者の違いは「検証がどこで・何回行われるか」に集約されます。
境界防御では検証は入口の一回きりで、内側では「信頼済み」の札を持ったまま自由に動けます。ゼロトラストでは信頼ゾーンという概念をなくし、各リソースの手前に検証点(ポリシー適用点)を置きます。一台が侵害されても、その端末が持つアイデンティティで許可された最小限のリソースにしか届かず、横移動のたびに検証の壁に当たります。被害を権限の範囲に閉じ込めるという意味で、ゼロトラストは最小権限の原則をネットワークアクセスにまで拡張したものと捉えられます。
何を検証するのか — アイデンティティ・デバイス・コンテキスト
ゼロトラストの検証は「正しいパスワードか」より広い概念です。第一にユーザーのアイデンティティで、MFA(多要素認証)による本人確認が事実上の前提になります。第二にデバイスの健全性で、会社が管理する端末か、OSやパッチは最新か、ディスクは暗号化されているかを確認します。第三にコンテキストで、アクセス元の地域・時刻・普段の行動パターンからの逸脱を評価し、リスクが高ければ追加認証を要求したりアクセスを拒否したりします。重要なのはこれが「ログイン時の一回」ではなく継続的である点です。セッションの途中でもデバイスがポリシー違反になれば、アクセスはその場で遮断されます。
サービス間にも適用する — mTLS とマイクロセグメンテーション
ゼロトラストは人間のアクセスに限りません。マイクロサービス構成では、サービス同士の通信も「同じクラスタ内だから信頼する」のではなく、mTLS(相互TLS)で双方が証明書を提示し合い、通信ごとに相手を検証します。Kubernetes 上のサービスメッシュ(Istio など)がこれを透過的に実現する代表例です。またネットワーク自体も、大きな一枚のフラットな社内LANではなく、ワークロード単位の細かい区画に分割して区画間の通信を明示的に許可制にする「マイクロセグメンテーション」を行います。これも狙いは同じで、侵害の影響範囲を小さな区画に閉じ込めることです。
移行は一夜にできない
ゼロトラストの導入でよくある誤解は、「製品を買えば移行できる」というものです。実際には、全ユーザー・全デバイス・全アプリケーションの棚卸し、アイデンティティ基盤の統合、アプリケーションごとのアクセスポリシー定義という地道な作業の積み重ねであり、既存システムを動かしながらの移行は年単位のプロジェクトになります。現実的な進め方は、まず認証基盤の統合と MFA の全面適用から始め、重要度の高いアプリケーションから順にアクセスプロキシ経由へ切り替え、VPN依存を徐々に減らしていく段階的アプローチです。境界防御を今日すぐ捨てる必要はありません。「境界の内側だから安全」という暗黙の前提に依存した設計を、ひとつずつ明示的な検証に置き換えていくこと自体がゼロトラストへの移行です。