概要
ゼロトラスト(Zero Trust)は「ネットワークの内側だからといって信頼しない」という原則に基づくセキュリティモデルです。クラウドの普及・テレワークの拡大・APT攻撃の高度化により、従来の境界防御(ペリメータセキュリティ)モデルでは対応が困難になったことを背景に注目されています。SC試験では近年の午後問題への登場が増加しています。
仕組みと動作原理
境界防御モデル vs ゼロトラストモデル
| 観点 | 境界防御(ペリメータ)モデル | ゼロトラストモデル |
|---|---|---|
| 基本思想 | 内側は信頼できる・外側は危険 | 内外を問わずすべてを検証 |
| 信頼の根拠 | ネットワーク上の場所(社内LAN) | アイデンティティ・デバイス・コンテキスト |
| 内部不正への対応 | 弱い(内部は信頼されている) | 強い(内部でも常に認証・認可) |
| クラウド・テレワーク対応 | 困難(VPNで社内に接続が前提) | 容易(どこからでも同じポリシー) |
| 侵害後の横展開 | 起きやすい(内部ネットは広い信頼) | 限定的(マイクロセグメンテーション) |
ゼロトラストの7原則(NIST SP 800-207)
- すべてのデータソース・サービスをリソースとみなす
- ネットワークの場所に関わらず通信はすべて保護する
- リソースへのアクセスはセッションごとに許可する
- リソースへのアクセスはポリシーで動的に決定する
- すべての資産のセキュリティ状態を監視・測定する
- 認証・認可を厳格に実施し、アクセスを許可する前に実施する
- ネットワーク・インフラ・通信の情報を収集し、改善に活かす
ゼロトラストの主要コンポーネント
| コンポーネント | 役割 |
|---|---|
| IAM(Identity and Access Management) | ユーザ・デバイスのアイデンティティ管理 |
| IDaaS(Identity as a Service) | クラウド型のID管理・MFA・SSO。Okta・Azure ADなど |
| マイクロセグメンテーション | ネットワークを細かく分割して横展開を阻止 |
| PEP(Policy Enforcement Point) | アクセスリクエストを実際に許可・拒否するゲートウェイ |
| PDP(Policy Decision Point) | アクセスの許可・拒否を判断するエンジン |
| デバイス管理(MDM/EDR) | デバイスの健全性(パッチ適用状況・マルウェア検知状態)を確認 |
SASE(Secure Access Service Edge)
SD-WANとネットワークセキュリティ機能をクラウドから提供する統合フレームワークです。ゼロトラストを実現するためのアーキテクチャとして位置付けられます。
SASEの主要コンポーネント:
| 機能 | 説明 |
|---|---|
| SD-WAN | ソフトウェア定義WANによる経路最適化 |
| CASB | クラウドアプリへのアクセスを可視化・制御 |
| SWG(Secure Web Gateway) | Webアクセスのフィルタリング・マルウェアスキャン |
| ZTNA(Zero Trust Network Access) | VPN代替。アプリ単位で最小権限アクセスを提供 |
| FWaaS(Firewall as a Service) | クラウド上で提供するファイアウォール機能 |
ZTNA(Zero Trust Network Access)
従来のVPNとZTNAの主な違い:
| 観点 | 従来のVPN | ZTNA |
|---|---|---|
| アクセス範囲 | ネットワーク全体に接続 | アプリケーション単位で許可 |
| 信頼の前提 | VPN接続後は内部ネットとして信頼 | 接続後も継続的に認証・認可 |
| 横展開リスク | 高い(内部ネット全体にアクセス) | 低い(許可されたアプリのみ) |
SC試験での頻出ポイント
- ゼロトラストへの移行の背景:クラウド移行・テレワーク普及・内部不正・APTへの対応
- 「決して信頼せず、常に検証する(Never Trust, Always Verify)」:ゼロトラストの基本原則
- マイクロセグメンテーションの効果:ランサムウェア等の横展開を限定的なセグメントに封じ込める
- ZTNAとVPNの違い:VPNはネットワーク全体への接続、ZTNAはアプリ単位の最小権限アクセス
- SASEの5機能:SD-WAN・CASB・SWG・ZTNA・FWaaSの組み合わせ
よくある誤問・ひっかけパターン
誤り① 「ゼロトラストを導入したらVPNは不要になる」→ 状況次第。ZTNAでVPNを代替できますが、一部の用途(拠点間接続等)では VPN が継続して有効な場合もあります。
誤り② 「ゼロトラストは外部ネットワークからのアクセスのみを対象にする」→ 誤。ゼロトラストは内部ネットワークからのアクセスも含めて、すべての通信を検証します。
誤り③ 「ゼロトラストは製品を導入すれば実現できる」→ 誤。ゼロトラストはアーキテクチャ・思想・戦略であり、特定製品だけで実現するものではありません。IAM・ネットワーク・エンドポイント・ポリシー管理を組み合わせた継続的な取り組みです。
関連用語
- VPN(IPsec / SSL-VPN) — ZTNA が代替を目指す従来技術
- ファイアウォールとDMZ — 境界防御モデルの代表的な実装
- OAuth 2.0 と OIDC — ゼロトラストのアイデンティティ層で使われる標準
- 多要素認証(MFA)と FIDO2 — ゼロトラストの認証強化の中核
重要キーワード
| 用語 | 説明 |
|---|---|
| ゼロトラスト | ネットワークの内外を問わず常に認証・認可を行うセキュリティモデル |
| マイクロセグメンテーション | ネットワークを細かく分割して横展開を阻止する手法 |
| SASE | SD-WANとネットワークセキュリティをクラウドから提供する統合フレームワーク |
| ZTNA | アプリケーション単位で最小権限アクセスを提供するVPN代替技術 |
| CASB | クラウドアプリへのアクセスを可視化・制御するブローカー |
| IDaaS | クラウド型のID管理・MFA・SSOを提供するサービス |