ラーニングセンターに戻る

ゼロトラストセキュリティとは何ですか?

ゼロトラストは、組織のネットワークにアクセスするすべてのユーザーの認証、認可、継続的な検証を強制することに重点を置いたセキュリティアプローチです。組織のネットワークに接続しようとするすべてのユーザーを信頼できないものとして扱います。

ゼロトラストは、最小限の確認でユーザーにリソースへのアクセスを許可していた従来のネットワークセキュリティモデルからの転換を意味します。検証プロセスのステップが増えることで、不便で時間がかかる場合もありますが、セキュリティ体制全体の大幅な強化につながります。

最終的に、ゼロトラスト・セキュリティ・フレームワークは、テクノロジー業界の単なる流行語にとどまらず、ファイアウォールの内外からの脅威に焦点を当てた、より効果的なセキュリティ対策を実現する手段となります。

ゼロトラストセキュリティはどのように機能するか

ゼロトラストは、アクセスしようとするユーザーやデバイスはすべて、認証・認可されるまでは脅威であるという前提に基づいて構築されています。そのため、ユーザーアクセス、データ転送、ユーザーデバイス、データ保管に関する厳格なセキュリティポリシーが必要になります。

ゼロトラストに活用されるテクノロジーには、アイデンティティアクセス管理 (IAM)、暗号化、多要素認証、ファイルシステム権限、オーケストレーション、スコアリングなどがあります。

ゼロトラストは、ユーザーが特定の割り当てられたタスクを達成するために必要なものだけにアクセスできるようにし、機密性の高いタスクには追加のチェックを行うことに依存しています。例えば、従業員が給与情報やクレジットカード番号などの機密データにアクセスしようとする場合、その情報にアクセスするためにパスワードを再入力する必要があるかもしれません。

ゼロトラストは、ユーザーの役割、デバイス、場所に基づいて攻撃対象領域をセグメント化することを推奨し、よりきめ細かなアクセス制御、監視、強制を可能にします。これがうまく機能すれば、セキュリティの死角を排除し、従業員にセキュリティのベストプラクティスの遵守を促すことができます。

ゼロトラストアプローチの主な目的は3つあります。

  • 被害範囲の限定:これにより、セキュリティ侵害が成功した場合に発生し得る被害を最小限に抑えることができます。

  • 継続的な検証の実施:これには、リソースへの各リクエストを処理前に検証することが含まれます。

  • コンテキストの収集と対応の自動化:これには、潜在的な攻撃対象領域を正確に把握することが含まれます。これにより、セキュリティ侵害が成功した場合の効果的な対応を調整することができます。

ゼロトラストアーキテクチャの構成要素

ゼロトラストアーキテクチャは、ユーザーとデバイスの行動、データ、コンテキストに基づいており、接続されているすべての環境で一貫したポリシー適用モデルを構築することを目的としています。

ゼロトラストフレームワークの主要コンポーネントには、ポリシーエンジン (PE)、ポリシー管理者 (PA)、ポリシー施行ポイント (PEP) の3つがあります。

  • ポリシーエンジン

PE は、誰にどのような権限を付与するかを判断する責任を負います。リクエストとアクセスポリシーを照合し、アクセスを許可するか拒否するかを判断します。

  • ポリシー管理者

PA は、リソースと主体の通信をいつ確立または終了するかを指示し、ポリシーエンジンの判断を伝達する役割を担います。

  • ポリシー施行ポイント

PEP は、リソースと主体の間の通信を有効化、監視、終了する役割を果たします。ポリシー施行ポイントを経由しなければ、主体のリクエストがエンタープライズリソースに到達することはありません。

ゼロトラスト・セキュリティ・フレームワークを実装する最も一般的な方法の1つは、アイデンティティアクセス管理 (IAM) を使用してデータやシステムへのアクセスを制御することです。これにより、ユーザーのアイデンティティに基づいてアクセスレベルを制御するポリシーを作成できます。

ゼロトラストアーキテクチャにおいて、このようなアクセスポリシーは PE によって解釈され、PA によって PEP に伝えられます。PEP は PA からの指示を受けて初めてユーザーとシステム間の接続を確立できます。

ゼロトラストアーキテクチャの重要な要素は、データやアプリケーションを分離する能力です。たとえば、ユーザーの権限では、タスク遂行に必要な最小限のデータへのアクセスのみが許可され、それ以上のアクセスは制限される必要があります。

ゼロトラストと従来のネットワークセキュリティの違い

従来のネットワークセキュリティはユーザー管理に重点が置かれており、どのユーザーがどのリソースにアクセスするか、そしてそのアクセス方法を管理者が把握している前提で成り立っています。しかし、このフレームワークで問題となるのは、ユーザーを継続的に検証していない点です。これにより、システムは有効なユーザーになりすまして偽のリクエストを送信するクロスサイトリクエストフォージェリ (CSRF) などの脅威にさらされることになります。

従来のシステムはこれまで多くの IT セキュリティチームにとって有効でしたが、今日の動的な業務環境では十分なセキュリティを提供できません。ゼロトラストは、認証済みのユーザーに対しても継続的にリクエストを検証することでこの問題を解決します。これは CSRF トークンやリファラーヘッダーを使用することで実現されます。

今日のユーザーは、単一のデスクトップに依存することが少なくなっています。彼らは、組織のシステムにオンサイトおよびリモートでアクセスできる複数のデバイスを持っています。これにより、攻撃対象領域が拡大し、悪意のあるハッカーにさらなる攻撃の次元を与えることになります。

このため、ゼロトラストでは、多要素認証、ファイルシステム権限、暗号化といったセキュリティ機能が使用されます。組織のデジタルプレゼンスのあらゆる側面を分離し、継続的にリスクを評価することで、誰もが潜在的な敵対者になる可能性に備えているのです。ゼロトラストアーキテクチャを活用して従来のネットワークセキュリティを強化すれば、ネットワークの内外からのリスクを軽減することができます。

ゼロトラストユースケース

ゼロトラストを採用する前に、攻撃が発生し得るさまざまな領域を理解することが重要です。これにより、ゼロトラストモデルをカスタマイズしてリソースを保護し、セキュリティ侵害が発生した際のダメージを限定できます。

このセクションでは、ゼロトラストから大きなメリットを得ることができるユースケースをいくつかご紹介します。

特権アクセス管理(PAM)

特権アクセス管理 (PAM) は、組織内の特権アカウントとそのアクティビティを管理します。ハッカーがシステム全体を支配し、システム管理者を締め出すことができるようなアカウントを排除することで、悪意のある内部者や外部の脅威による被害を軽減することができます。

この分野でコンプライアンスとセキュリティを維持するには、不必要なユーザー権限をすべて削除することが重要です。これにより、特権の濫用によるデータ侵害を防ぎ、セキュリティ侵害が成功した場合の被害を最小限に抑えることができます。

外部サプライヤーやサードパーティによるアクセス

サードパーティ開発者や請負業者など、外部パートナーとインフラストラクチャを共有する場合、従来のセキュリティ手段では対応できない課題が生じます。

パートナーがアクセス認証情報をどのように保護するかを管理するのは難しく、有効なサードパーティの認証情報がハッカーの手に渡れば、銀行口座情報など企業の機密データにも容易にアクセスされてしまいます。

ゼロトラストフレームワーク内では、信頼できるサプライヤーやサードパーティであっても、リクエストごとに多要素認証と個別の認可が必要となります。これは CSRF トークンやセッション Cookie などによって実現されます。これにより、サプライヤーやサードパーティに対して不正なユーザーや悪意のあるソフトウェアからリソースを保護する責任を負わせるとともに、組織を内外の脅威から保護することができます。

リモートアクセスの制御

今日の労働環境はハイブリッド (社内勤務とリモート勤務の併用) が主流です。リモートフレンドリーな勤務体系にはコスト削減などのメリットがありますが、リモートシステムアクセスに関する厳格なセキュリティポリシーの施行が不可欠です。ゼロトラストのような強力なポリシー強制手段があれば、従業員に十分なアクセスを許可しながら、組織のネットワークの安全性を確保できます。

たとえば、従業員が組織のネットワークにログインしたままデバイスを紛失した場合、機密データが漏洩する可能性があります。ゼロトラストポリシーを導入していれば、従業員は別のデバイスを使用して組織のシステムにアクセスし、紛失したデバイスからログアウトすることができます。また、最小特権の原則に基づくポリシーや継続的な検証により、侵害されたデバイスによる被害も抑えることができます。

重要なポイント

  • ゼロトラストは、システム全体への不正アクセスを防ぐことができます。

  • ゼロトラストセキュリティでは、認証・認可を強化して、システムアクセス制御をより適切に管理します。

  • ゼロトラスト・セキュリティ・フレームワークを実装する最も一般的な方法の1つは、アイデンティティアクセス管理 (IAM) ソフトウェアを使用することです。

  • 従来のセキュリティフレームワークは、デバイスやユーザーの信頼を疑うことなくアクセスを許可することに重点を置いています。

  • ゼロトラストモデルでは、単なる「制御」ではなく「信頼」に焦点を当てることで、セキュリティプラクティスを一歩進んだものにします。その中には、PAM、サードパーティやサプライヤーによるアクセス、リモートアクセスの制御などが含まれます。

Fastly のソリューションが役立つ理由

Fastly は、次世代 WAF、ボット対策、アイデンティティ認識型アクセス制御などのエッジ・クラウド・セキュリティ・ソリューションにより、企業によるゼロトラスト原則の導入を実現しています。また、Fastly は、エッジでトラフィックを保護し、厳格な認証・認可ポリシーを適用することで、パフォーマンスを損なうことなく、組織がリアルタイムで脅威を検知、防止、対応できるよう支援します。  

Fastly
© Fastly 2025