ゼロトラストとは、「すべてのアクセスを無条件に信頼しない」ことを前提に、あらゆる環境やデバイス、ユーザーからのアクセスを検証するセキュリティモデルです。従来のようにネットワークの内外で信頼度を分けるのではなく、アクセスの都度、正当性を確認する点が特徴です。

ゼロトラストは「製品名」ではなく、設計・運用の考え方

ゼロトラストは、特定の製品やサービスの名称ではありません。「すべてを信頼しない」という前提で、認証・認可、通信保護、端末状態の確認、ログ分析などを組み合わせて運用する“設計思想”です。 そのため、ゼロトラストは「何か1つを導入すれば完成する」ものではなく、自社の業務やシステム構成に合わせて段階的に適用範囲を広げていくことが一般的です。

IPAでは、ゼロトラストを以下のように定義しています。

ここでは、ゼロトラストセキュリティとは何かについて、従来型のセキュリティモデルとの違いを整理しながら、なぜゼロトラストが必要とされているのかを見ていきます。

ゼロトラストモデルと従来型セキュリティモデルの違い

従来型のセキュリティモデルでは、内部のネットワーク（LANなど）は安全であり、ネットワーク外部（WAN）からのアクセスを脅威とする「境界型セキュリティモデル」が主流でした。「内部ネットワークからのアクセスは安全」という前提に基づき、ファイアウォールやUTMによってネットワークの出入口を中心に防御を行っていたのです。また、遠隔地からの通信については、VPNを利用して内部ネットワークとして扱い、セキュリティを確保してきました。

VPNは「社内と同等の扱い」を実現できても、「安全」を保証するものではない

VPNは通信を暗号化し、遠隔地から社内ネットワークへ接続するための手段です。一方で、ID・パスワードの漏えいや端末の感染などが起きた場合、攻撃者に「社内と同等の経路」を与えてしまう可能性があります。 ゼロトラストでは、接続経路だけで信頼を置かず、本人確認（ユーザーの真正性）・端末状態・アクセス状況などを踏まえて、 リソースごとにアクセスを判断する点が大きく異なります。

しかし、このような境界型防御は、攻撃者が一度でも内部に侵入すると被害が拡大しやすいことや、内部脅威に対して脆弱であるという課題を抱えていました。

一方、ゼロトラストモデルでは、ネットワークの内外を区別せず、どこからのアクセスであっても信頼しないという前提でセキュリティを設計します。すべての通信を検証・監視の対象とし、オフィス内のユーザーデバイスからのアクセスであっても認証を求めます。さらに、ユーザーやデバイス、接続元の環境や状況に応じて動的にポリシーを適用し、アクセスの認証と許可を行います。これにより、リモートワークの拡大やクラウドサービスの普及といった環境変化にも柔軟に対応しながら、高いセキュリティ水準を維持できます。

このようにゼロトラストは、従来型のセキュリティ概念では防ぎきれなかった脅威に対応するための、新たなセキュリティモデルとして位置付けられています。

増加するサイバーリスクとゼロトラストの必要性

サイバー攻撃の高度化により、境界防御に依存した従来型のセキュリティ対策だけでは、十分な防御が難しくなっています。近年、世界的に被害が拡大しているランサムウェアや、情報漏えいにつながるフィッシング攻撃では、内部ネットワークに侵入した後、システム全体や従業員のPCへと被害が広がるケースが増えています。

さらに、リモートワークやクラウドサービスの普及により、内部ネットワークの境界は曖昧になり、攻撃対象となる範囲も拡大しました。社内ネットワークだけでなく、自宅やカフェなど多様な場所からシステムやデータへアクセスする機会が増えたことで、攻撃者にとって侵入の機会が増えているのです。

こうした状況について、総務省もサイバーセキュリティ上の脅威が増加していることを次のように示しています。

サイバーリスクは年々増加しており、それは企業における不正アクセスや情報漏えいのリスクが高まっていることを意味します。こうした背景から、ゼロトラストセキュリティの導入は、早期に検討・実施すべき重要なセキュリティ対策といえるでしょう。

ゼロトラストを理解するためには、NIST（米国立標準技術研究所）が示す 「Special Publication 800-207」の基本原則を押さえておくことが重要です。 以下の原則は、ゼロトラストを構成する中心的な考え方であり、 日々の運用判断にも直結する“実務的な指針”として活用できます。

NIST SP 800-207は「ゼロトラストの考え方を整理した指針」

NIST SP 800-207は、特定製品の導入手順を示すものではなく、ゼロトラストを設計・運用するうえで押さえるべき考え方や構成の捉え方を整理したガイドです。 自社の環境・リスク・業務要件によって、優先すべき対策や導入順は変わります。以下の原則は「何を重視して設計すべきか」を判断するための軸として理解すると、実務に落とし込みやすくなります。

“データソースとコンピュータサービスは、すべてリソースと見なす”
— “All data sources and computing services are considered resources.” 社内外に存在するデータ、アプリケーション、SaaS、クラウドサービスなど、利用者が扱うすべての要素を「保護対象」として扱うという考え方です。対象範囲を限定してしまうと、小規模な外部サービスが未管理のまま利用され、結果として攻撃者の侵入経路になる可能性があります。リソースを広く定義することで、保護すべき対象の抜け漏れを防ぎ、境界の内外を意識せずに統一したセキュリティ対策を適用できます。

“ネットワークの場所に関係なく、すべての通信を保護する”
— “All communication is secured regardless of network location.” 従来の「社内ネットワークは安全」「外部ネットワークは危険」という前提を廃し、どこからアクセスしても同じ基準で通信を保護する必要があります。たとえば、オフィスLANと外出先のWi-Fiを行き来するユーザーがいる場合、場所に応じて保護レベルが変わると、不正アクセスや偽装の見逃しにつながります。通信の暗号化やセッション保護を一貫して適用することで、ネットワーク環境による保護レベルのばらつきを抑え、リスクを下げやすくなります。

“企業リソースへのアクセスをセッション単位で付与する”
— “Access to resources is granted on a per-session basis.” 一度認証したら長時間利用できる従来方式とは異なり、ゼロトラストでは、アクセス中のセッションを継続的に評価し、必要に応じて再認証を行います。この仕組みがないと、アカウント乗っ取りや不正利用が発生しても、ログイン後は気付かれず操作が継続してしまう恐れがあります。セッション単位で評価することで、途中で異常を検知できる可能性が高まります。

“リソースへのアクセスは、動的ポリシーにより決定する”
— “Resource access is determined by dynamic policy.” アクセス許可の判断は、ユーザーの属性、デバイスの状態、アクセス元のネットワーク、時間帯、リスク評価など、複数の要素を組み合わせてリアルタイムに行います。たとえば、普段は国内からアクセスしているユーザーが深夜に海外からログイン要求を行った場合、動的ポリシーにより追加認証を求めたり、自動的に拒否したりできます。静的なアクセス制御では検知が難しい「不自然な挙動」への対策が強化されます。

“すべての資産の整合性とセキュリティ動作を監視し、測定する”
— “All assets’ integrity and security posture are monitored and measured.” デバイス、アプリケーション、ネットワーク機器などが企業ポリシーに準拠し、適切に運用されているかを継続的に監視します。OS更新の不足や設定の不備、セキュリティ対策ソフト未導入などの端末が混入していると、攻撃者に悪用される可能性があります。特にリモートワーク環境では、企業管理外の端末が利用されやすく、監視が十分でないとリスクが急激に上昇します。

“すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する”
— “Authentication and authorization are enforced before access.” アクセスを許可する前には、ユーザー本人であることが確実に確認できているかを見極め、あわせて利用中のデバイスが企業の基準を満たしているかを点検します。さらに、そのユーザーが要求している操作が、本来付与されている権限の範囲に収まっているかを慎重に判断します。このプロセスが不十分な場合、過剰権限の放置やアカウント悪用が発生しやすく、侵害後の被害が広がる原因となります。

“通信に関するあらゆる状況情報を収集し、セキュリティ体制の改善に利用する”
— “All available data is collected and analyzed to improve security posture.” 通信ログ、認証ログ、端末の状態など、利用可能なデータを幅広く収集し、分析によって異常を早期に検知します。情報が分散している環境では、侵害時の原因追跡が遅れ、被害が拡大する恐れがあります。データの一元化と分析は、ゼロトラスト運用における中核的なプロセスです。

これらの原則は、ゼロトラストの全体像を理解するための基礎となります。すべての原則を一度に満たす必要はありませんが、自社の環境に照らし合わせて不足している点を把握することで、取り組むべき優先順位が明確になります。

ゼロトラストセキュリティを実現するためには、主に7つの構成要素を段階的に整備していく必要があります。ここでは、ゼロトラストを構成する代表的な要素について整理します。

※以下では各構成要素ごとに技術例を挙げていますが、特定の要素だけに対応する技術を示しているわけではありません。実際には、1つの製品やサービスが複数の構成要素を横断的にカバーするケースも多くあります。

7つの構成要素は「役割の観点」で整理したもの（機能は重なります）

ここで紹介する7要素は、ゼロトラストを実現するために必要な取り組みを「どこを守るか／どう判断するか」という観点で整理したものです。 実際の製品やサービスは、たとえば「認証（ID）とログ分析（可視化）」のように複数領域を同時に支えることが多く、要素同士は重なり合います。 そのため、特定の用語に厳密に当てはめるよりも、「自社の課題に対して、どの要素が不足しているか」を見つけるための整理として活用してください。

デバイス（エンドポイント）

ゼロトラストセキュリティにおいて、デバイス（エンドポイント）の管理は重要な構成要素です。業務に利用されるすべての端末を保護対象とし、状態を把握・制御することが求められます。 この分野では、以下のような技術が活用されます。

• EPP（Endpoint Protection Platform）：
  PCやモバイル端末に対する基本的なセキュリティ対策を提供します。
• EDR（Endpoint Detection and Response）：
  端末上の不審な挙動を検知し、インシデント対応を支援します。
• MDM（Mobile Device Management）：
  モバイル端末の設定や利用状況を一元的に管理します。

ネットワーク

ゼロトラストでは、内部・外部を区別せず、ネットワーク上のすべての通信を保護する必要があります。ネットワークセキュリティを強化し、信頼性の高い通信環境を構築するため、以下のような技術が活用されます。

• SDP（Software-Defined Perimeter）：
  許可されたユーザーとアプリケーション間の通信のみを許可する、ソフトウェアによるネットワーク境界です。
• SWG（Secure Web Gateway）：
  Webアクセスを中継・検査し、URLフィルタリングやマルウェア対策などのポリシーを適用するゲートウェイです。クラウドサービスとして提供される形態も多く、拠点やリモート環境でも一貫した制御を適用しやすくなります。
• SD-WAN（Software-Defined Wide Area Network）：
  ソフトウェアによってWAN上に仮想ネットワークを構築し、通信を一元的に制御します。

データ

企業にとって重要な資産であるデータそのものを保護することも、ゼロトラストの重要な構成要素です。特にクラウドサービス上で管理・保管されるデータについては、厳重なセキュリティ対策が求められます。不正なデータ転送の監視や暗号化による保護などが代表的な取り組みです。 データ保護に関しては、以下のような技術が活用されます。

• DLP（Data Loss Prevention）：
  データを常時監視し、情報漏えいなどを防止します。
• IRM（Information Rights Management）：
  ファイル単位で暗号化し、ユーザーごとにアクセスや操作の権限を制御します。
• CASB（Cloud Access Security Broker）：
  クラウドサービスへのアクセスに対し、セキュリティポリシーに基づいた制御を行います。

アイデンティティ（ID）

ゼロトラストでは、アクセス制御の基盤としてアイデンティティ（ID）の管理が不可欠です。アクセスのたびにユーザーを認証・認可し、権限を必要最小限に抑えることで、リスクを低減します。 この領域では、以下のような技術が活用されます。

• IAM（Identity and Access Management）：
  ID情報とアクセスポリシーを管理し、認証・認可と最小権限を徹底します。
• PAM（Privileged Access Management）：
  特権アカウントの利用を監視・制御・監査します。
• 多要素認証（Multi-Factor Authentication）：
  複数の認証要素を組み合わせて、なりすましを防止します。

ワークロード

クラウド環境やサーバー環境におけるアプリケーション、データベース、仮想マシンなどのワークロードを保護することも重要です。設定ミスや脆弱性を放置すると、攻撃の起点となる可能性があります。 ワークロード保護では、以下のような技術が活用されます。

• CSPM（Cloud Security Posture Management）：
  PaaSやIaaSなどのクラウド環境における設定ミスを検出します。
• CWPP（Cloud Workload Protection Platform）：
  コンテナを含む複数のクラウド環境で、脆弱性やランタイム異常を監視・検知・保護します。

可視化と分析

セキュリティ状況の可視化と分析は、ゼロトラスト運用において欠かせません。インシデントを早期に検知し、迅速に対応するための基盤となります。 この分野では、以下のような技術が活用されます。

• SIEM（Security Information and Event Management）：
  各種ログを収集・一元化し、リアルタイムでインシデントを検知します。
• UEBA（User and Entity Behavior Analytics）：
  通常とは異なるユーザーやエンティティの行動を分析し、潜在的な脅威を早期に発見します。

自動化

ゼロトラストを現実的に運用するためには、セキュリティインシデントの検知や対応を自動化することが重要です。ポリシー設定やアクセス制御を自動化することで、ヒューマンエラーを減らし、運用負荷を軽減しながら一貫したセキュリティを維持できます。 自動化の領域では、以下のような技術が活用されます。

• SOAR（Security Orchestration, Automation, and Response）：
  インシデント対応に関わるセキュリティ運用業務を自動化します。

ゼロトラストを導入することで、従来型のセキュリティ対策と比べて、より強固で柔軟なセキュリティ環境を構築できます。ここでは、ゼロトラスト導入によって得られる代表的なメリットを整理します。

サイバー攻撃のリスク軽減

ゼロトラストは、境界防御を前提とした従来型のセキュリティモデルでは防ぎきれなかったサイバー攻撃のリスクを大幅に軽減します。データやシステムへのすべてのアクセスが認証・認可によって制御されるため、不正アクセスを早期に遮断できます。たとえば、攻撃者が従業員のアカウント情報を取得した場合でも、多要素認証を組み合わせることで、不正なログインを防止できます。
さらに、通信の暗号化によって盗聴や改ざんのリスクが低減され、アクセス制御とあわせて総合的な安全性が向上します。アプリケーションやシステム内で発生する異常な挙動はリアルタイムで検知されるため、管理外のデバイスや通常とは異なる環境からのアクセス試行に対しても迅速に対応できます。仮に内部ネットワークへの侵入を許した場合でも、ネットワークを分離していることで脅威の横展開を抑制できる点も特徴です。このように、ゼロトラストの多層的な防御によって、サイバー攻撃に伴うさまざまなリスクを低減できます。

リモートワーク環境の安全確保

ネットワークの内外を問わず、一貫したセキュリティポリシーで管理される環境は、リモートワークを含む多様な働き方においても安全性を確保します。通信の暗号化（例：TLS）の徹底により、自宅からの接続だけでなく、公共Wi-Fiを利用したクラウドサービスへのアクセスにおいても、盗聴や改ざんのリスク低減が期待できます。
また、デバイスの状態や接続元の情報がリアルタイムで検証され、不正なアクセスが検出された場合には即座に遮断されます。主要な操作やアクセスはログとして記録・可視化され、通常とは異なる挙動を検知した際に管理者へ通知できる体制を整えることで、初動対応を早めやすくなります。 これにより、場所に依存しない働き方を実現しながら、リモートワーク環境の安全性を維持できます。

内部不正リスクの管理

ゼロトラストは、外部からの攻撃だけでなく、内部不正のリスク低減にも有効です。リソースへのすべてのアクセスを可視化・監視することで、特権アカウントを含む異常な操作を検知しやすくなります。たとえば、業務上不要な機密データへのアクセスが発生した場合に追加認証を求めるなど、状況に応じた制御が可能です。
また、従業員の退職や異動にあわせて動的に権限を変更できるため、不要な権限が残り続けるリスクを防げます。こうした厳格なアカウント権限管理を徹底することで、内部不正の発生や被害拡大を抑止できます。

ゼロトラスト導入には多くのメリットがある一方で、導入や運用にあたって考慮すべき注意点も存在します。ここでは、ゼロトラストを検討・導入する際に押さえておきたい主なポイントを整理します。

注意点を踏まえたうえで、段階的に導入範囲を広げる

すべての領域を一度に刷新しようとすると、コストと運用負荷が急増し、既存業務への影響も大きくなります。まずは「アクセスの入口（ID・端末）」や「可視化（ログ）」など、効果が出やすく全体にも波及しやすい領域から着手し、段階的に制御範囲を広げていく進め方が現実的です。

例：入口 → 可視化 → 制御の順に整備すると進めやすい

たとえば、(1) 認証強化と端末の把握（ユーザー／デバイスの基盤整備）→ (2) 主要なログの集約と監視（異常を検知できる状態）→ (3) 動的ポリシーやネットワーク分離などの制御強化、という順に進めると、効果を確認しながら無理なく拡張できます。

導入に伴う高コスト

ゼロトラストの導入には、一定のコストが発生します。多要素認証をはじめ、ゼロトラストを構成する各要素を満たすための専用ツールの導入や、既存システムの改修、ITインフラ全体の見直しが必要になるためです。たとえば、長年利用しているネットワーク機器が最新のセキュリティ要件に対応していない場合、ルーターやスイッチなどの機器をリプレースする必要が生じることがあります。その際には、ハードウェアだけでなくソフトウェアの導入コストも発生します。
また、ゼロトラストに関する専門知識を持つ人材の確保や、従業員への教育にかかるコストも無視できません。導入後も安定した運用を続けるためには、継続的な運用・保守にかかるランニングコストを含めて検討する必要があります。

運用の複雑化と負担

ゼロトラスト環境の運用では、ポリシー設定やシステム監視など、高度な専門知識が求められるため、運用負担が増加する傾向があります。たとえば、アクセス状況に応じた動的ポリシーの調整や、異常検知への対応には、情報システム部門などの専門的な体制が必要となる場合があります。
さらに、インシデントに関するアラートが頻繁に発生すると、担当者の監視・対応負荷が高まり、インシデント対応に追われて通常業務の効率が低下する可能性もあります。専門部署を設けることが難しい小規模な企業では、必要な運用リソースを確保すること自体が課題となるケースも考えられます。

既存システムとの整合性確保の難しさ

ゼロトラストの導入にあたっては、既存システムとの整合性を確保することが不可欠です。オンプレミス環境によっては、ゼロトラストの考え方にそのまま適応できないケースもあります。その場合、ハードウェアやソフトウェアのアップグレード、あるいは新たなツールの導入が必要となります。
また、複数のクラウドサービスや業務システムを併用している環境では、データの一貫性や連携を保つための調整作業が発生する可能性があります。こうした課題の解決には時間とコストを要するため、全体像を見据えたうえで、段階的な導入計画を策定することが重要です。

ゼロトラストの考え方を理解するためには、関連する用語についても正しく把握しておくことが重要です。ここでは、ゼロトラストとあわせて理解しておきたい代表的な2つの用語を取り上げます。

• 多層防御
• ローカルブレイクアウト（LBO）

ゼロトラストの導入検討において、特にお問い合わせの多い内容を Q&A形式でまとめました。 定義の確認から導入時の考え方まで、要点を整理しています。