🔐 ITパスポート | テクノロジ系・セキュリティ
ゼロトラスト
とは?
「社内ネットワークだから安全」という考えを捨て、すべてのアクセスを常に疑って検証するセキュリティの考え方。
🎬 こんなシーンを想像
コロナ禍でテレワーク中心になった会社。社員は自宅・カフェ・出張先からVPNで社内に繋いで仕事をする。
ある日、VPNのIDとパスワードが盗まれ、攻撃者が「社内ネットワーク内」に侵入。「社内だから安全」と信頼していたため、侵入後の行動を誰も怪しまなかった。
→ 「社内なら信頼」は今や通用しない。ゼロトラストは「どこからでも・何者でも疑う」設計。
🔍 境界型セキュリティ vs ゼロトラスト
境界型セキュリティ
社内ネットワーク
門(FW)
外部
→ NG
社内
→ 自由
内部侵入後は
何でも信頼してしまう⚠️
ゼロトラスト
すべてのアクセスポイント
🔑
🔑
🔑
認証
認証
認証
毎回
毎回
毎回
侵入後も常に検証
→ 被害の拡大を防ぐ✅
境界型(旧モデル)
社内ネットワーク=安全
外から中に入れなければOK
VPN突破で内部自由に行動
テレワーク・クラウドに弱い
ゼロトラスト(新モデル)
どこからのアクセスも疑う
毎回認証・認可・検証
侵入後も横移動を阻止
テレワーク・クラウド対応
📋 ゼロトラストを支える主な仕組み
① 多要素認証(MFA)
パスワードだけでなく、スマホのワンタイムパスワード・生体認証など複数の要素で本人確認。「知ってる」だけでは入れない。
▼
② 最小権限アクセス(Least Privilege)
その業務に必要な最小限のアクセス権だけを付与。管理者権限を広く持たせない。侵入されても動ける範囲を最小化する。
▼
③ 継続的な監視とログ分析
一度認証が通っても、その後の行動を常に監視。通常と異なるアクセスパターン(大量ダウンロード・深夜アクセス)を自動検知。
▼
④ マイクロセグメンテーション
ネットワークを細かく分割し、各セグメント間でも認証を要求。一か所突破されても全体に広がらないよう封じ込める。
⚠️ ひっかけ注意ポイント
「ゼロトラスト=VPN不要」ではない(完全な誤りではないが誤解を招く)
ゼロトラストはVPNの概念(境界型)を超えるセキュリティモデル。VPNを廃止するかどうかは実装の話であり、ゼロトラスト=VPN廃止と一括りにはできない。
「ゼロトラスト=製品名・特定の技術」ではない
ゼロトラストは「考え方・セキュリティモデル」であり、特定の製品や技術の名前ではない。実現するためには複数の技術を組み合わせる。
「社内なら安全」という前提を持つ選択肢は誤り
ゼロトラストは「内部も外部も信頼しない」が根本。「社内ネットワーク内のアクセスは検証不要」という選択肢が出たら即アウト。
判断のコツ
「
内部も外部も信頼せず、すべてのアクセスを検証・認証する
」→ ゼロトラスト。
🧠 覚え方(無理やりゴロ)
「
ゼロ(0)信頼
」= 誰も・どこも・何も信頼しない
Zero Trust = ゼロの信頼 → 全部を毎回検証
「
社内の人も毎回「あなた誰?」
と聞かれる会社」
バカ丁寧に毎回確認する = ゼロトラストの本質
ITパスポート 詳細解説 / itp-zero-trust / HTML+SVG(文字はすべてテキスト)