近年、テレワークの定着やクラウドサービスの利用拡大により、企業の働く環境は大きく変化しました。それに伴い、従来の「社内は安全、社外は危険」とする境界型防御では、高度化するサイバー攻撃から情報資産を守り切ることが困難になりつつあります。
そこで不可欠となっているのが、すべての通信を信頼せずに検証するゼロトラストというセキュリティモデルへの移行です。しかし、その必要性は理解していても、「何から始めれば良いかわからない」「移行のハードルが高い」と悩む担当者の方も多いのではないでしょうか。本記事では、ゼロトラスト移行の必要性をはじめ、実現に必要な5つの領域や具体的な6つのステップ、起こりがちな課題と対処法までを網羅的に解説します。企業の成功事例も紹介しているので、自社のセキュリティ対策をアップデートするための参考にしてください。
ゼロトラスト移行が必要な理由
ゼロトラストへの移行が必要な主な理由は、現代のIT環境と働き方の劇的な変化により、従来の境界型防御が通用しなくなったためです。
従来は、「ネットワークの外側は危険だが境界内は安全」という前提でネットワークを運用するのが一般的でした。しかし、テレワークの普及により社外からのアクセスが急増し、さらにクラウドサービスの利用が当たり前となった現代では、守るべきデータやシステムが社内外に分散してます。加えて、サイバー攻撃が高度化し、マルウェア感染や認証情報の窃取などにより、一度内部への侵入を許すと被害が拡大しやすい状況にあります。
そのため、ネットワークの内と外を区別せず、「何も信頼しない(ゼロトラスト)」ことを前提に、すべてのアクセスに対して常に身元確認や端末の安全性を検証するセキュリティモデルへの移行が不可欠となっています。
ゼロトラスト移行の実施状況(「ゼロトラスト移行のすゝめ」参照)
独立行政法人情報処理推進機構(IPA)が公開している「ゼロトラスト移行のすゝめ」によると、Microsoft社が実施した調査において、回答者の96%がゼロトラスト移行の必要性を理解していることが報告されています。しかし、実際にゼロトラストを導入できている企業の数は多くありません。
株式会社インターネットイニシアティブが2024年に実施した「ゼロトラスト実態調査」では、ゼロトラストを実現するための7つの要素(認証システムの実装や全通信データの保護など)において、実際に対応できている企業は多くても約半数にとどまります。特に「動的なアクセス制御」や「アクセスのセッションごとの検証・認可」の項目では、未対応企業が55~56%にのぼるなど、対応が遅れている状況がうかがえます。
出典:【ゼロトラスト実態調査】5割がすでに一部対応済。認証強化の実施が最多、今後の課題はアクセス制御|エンタープライズIT[COLUMNS]
ゼロトラストの必要性を理解しているにもかかわらず、導入や移行が進まないのは、人材や予算の不足、あるいはソリューション選定の難しさといった課題が存在するためです。一方で、企業の持続的な成長やサイバーリスクの抑制といった観点を考慮すれば、あるべき姿に向けて一歩を踏み出していくことも重要だといえるでしょう。
ゼロトラスト移行を実現するために必要な5つの領域
ゼロトラストへの移行は、単一の製品を導入して完了するものではなく、組織のITシステム全体を網羅する包括的なアプローチが必要です。ここでは、移行を実現するために不可欠な5つの主要領域について解説します。
ネットワーク
ゼロトラストへの移行において、ネットワーク領域の変革は不可欠な第一歩です。従来の「社内ネットワークは安全である」という境界型防御の概念を捨て去り、すべての通信に対して「何も信頼しない」というアプローチへ転換する必要があります。
これを実現する中核的な手法がマイクロセグメンテーションです。ネットワークを細かく分割し、リソースごとに論理的な境界を設けることで、万が一脅威が内部に侵入した場合でも、被害の水平展開(ラテラルムーブメント)を最小限に食い止められます。
そのほか、認証されたユーザーとデバイスに対してのみ、必要なアプリケーションへの経路を動的にオンデマンドで確立する、SDP(Software Defined Perimeter)と呼ばれる方法も効果的です。これにより、ネットワーク上のリソースを隠蔽し、外部からの攻撃面を劇的に縮小させ、安全な通信経路を常に確保できます。
クラウドワークロード
ビジネスのクラウドシフトが加速するなか、保護すべき対象は従来のオンプレミスサーバーから、IaaSやPaaS、コンテナ、サーバーレスといった多様なクラウドワークロードへと広がっています。ゼロトラスト環境では、これらのワークロード自体が持つ脆弱性や設定ミスを突いた攻撃を防ぐための対策が急務です。
具体的には、CSPM(Cloud Security Posture Management)を導入し、クラウドインフラの設定不備やコンプライアンス違反を継続的に監視・可視化します。同時に、CWPP(Cloud Workload Protection Platform)を用いて、実行中のワークロードに対するマルウェア対策や脆弱性スキャン、異常なプロセスの検知を行います。
ここで重要なのは、開発段階からセキュリティを組み込むシフトレフトの考え方を定着させ、CI/CDパイプライン全体を通じてワークロードの安全性を継続的に担保し続ける動的な防御体制の構築です。
認証・認可
ゼロトラストの根幹をなすのが、厳格な認証・認可の仕組みです。「誰が・何を利用しようとしているのか」を、アクセス要求のたびに徹底的に検証します。単一のパスワードに依存するのではなく、多要素認証を標準化し、生体情報や所持情報などを組み合わせて本人確認の確度を高めることが基本となります。
さらに重要なのは、一度認証を通過したからといって永続的なアクセス権を与えないことです。ユーザーの属性やデバイスのセキュリティ状態、アクセス元の場所、時間帯などのコンテキスト情報をリアルタイムで評価し、最小権限の原則にもとづいて動的に認可レベルを決定します。万が一、セッション中にリスクスコアが上昇した場合は、即座に再認証を求めたり、アクセスを遮断したりする仕組み(継続的認証)を実装することで、なりすましやアカウント侵害による不正アクセスのリスクを極小化し、重要なデータを保護できます。
エンドポイント
テレワークの普及により、パソコンやスマートフォンなどのエンドポイントは社外ネットワークに常時接続されるようになり、サイバー攻撃の主要な標的となっています。ゼロトラストにおいては、「すべてのエンドポイントが侵害される可能性がある」という前提に立ち、強力な保護と継続的な監視を行うことが肝要です。
従来型のアンチウイルスだけでは高度な脅威を防ぎきれないため、EDR(Endpoint Detection and Response)の導入が欠かせません。EDRにより、端末上の不審な挙動やプロセスをリアルタイムで検知・可視化し、インシデント発生時の迅速な隔離や調査が可能になります。
そのほかにも、OSのパッチ適用状況やセキュリティソフトの稼働状態、暗号化の有無など、デバイスの健全性を常にチェックし、ポリシーを満たさない安全でないデバイスからのアクセスを未然にブロックする仕組みも不可欠です。
オペレーション
ネットワークやクラウドワークロード、認証・認可、エンドポイントの各領域でゼロトラスト対策を進めると、膨大な量のアラートやログが生成されます。これらを人手で処理することは極めて困難なことから、セキュリティオペレーションの高度化と自動化が求められます。
例えば、SIEM(Security Information and Event Management)を活用すれば、組織全体のあらゆる環境からログを1ヶ所に集約し、相関分析によって潜在的な脅威や高度な攻撃の兆候を早期に発見可能です。さらに、SOAR(Security Orchestration, Automation and Response)を組み合わせることで、脅威検知時の初期対応(端末のネットワーク遮断やアカウントの無効化など)をプレイブックに従って自動化できます。結果としてセキュリティ担当者の運用負荷を大幅に軽減し、インシデントへの対応時間の大幅な短縮につながります。
ゼロトラストに移行するための6つのステップ
ゼロトラストに移行するための手順は次の通りです。
- IT資産の棚卸し
- As-is分析による現状把握
- 保護すべき重要資産の特定と優先順位付け
- アクセス経路の可視化とアーキテクチャ設計
- セキュリティソリューションの段階的な導入
- 継続的なモニタリングと運用の最適化
何かと取り組むべき施策や手続きが多いゼロトラスト移行ですが、一つひとつ着実に前に進めていくことが重要です。手順ごとのポイントや具体的な進め方について詳しく解説します。
1. IT資産の棚卸し
ゼロトラストへの移行において、最初に取り組むべき極めて重要なステップは、組織内のすべてのIT資産を棚卸し・可視化することです。
ゼロトラストの基本理念である「誰も信用せず、すべてを検証する」を実現するためには、まず「何が・どこに存在し・誰がアクセスしているのか」を正確に把握しなければなりません。そこで、社内で利用されているパソコンやスマートフォンなどのデバイス、オンプレミス環境やクラウド環境にあるサーバー、利用中の各種アプリケーションやクラウドサービス、そしてユーザーのアカウント情報など、あらゆる要素を洗い出しましょう。
場合によっては、IT部門の管理から外れて独自に利用されているシャドーITの発見につながることもあります。棚卸しによって明らかになった情報をもとに、IT資産に関する正確なインベントリを作成することで、保護すべき対象の全体像が明確になり、その後のセキュリティ対策の強固な基盤にもなり得ます。
2. As-is分析による現状把握
IT資産の棚卸しと並行して不可欠なのが、「組織の現在の状態(As-is)」を正確に分析するステップです。既存のネットワーク構成やセキュリティ対策、運用ポリシー、ユーザーの業務プロセスなどが、現在の多様な働き方やクラウド利用に対してどのように機能しているかを客観的に評価します。
例えば、テレワーク普及によるVPNの帯域不足や遅延、社内ネットワークという境界内における過剰な信頼(暗黙の許可)、退職者や異動者のアカウント権限の放置といった具体的な課題や脆弱性を徹底的に洗い出します。このプロセスを通じて、単なる新しいツールの導入にとどまらない、組織固有の真の課題を浮き彫りにします。
ここで重要となるのが、グランドデザインやロードマップを描きつつ、「組織の現在の状態(As-is)」から「将来的に実現したい環境・構成(To-Be)」へとイメージを膨らませることです。理想のゼロトラスト環境とのギャップを明確に把握することが、無駄のない効果的で実現可能な移行計画を策定するためのヒントとなります。
3. 保護すべき重要資産の特定と優先順位付け
すべてのシステムやデータに対して一律に最高レベルのセキュリティを適用することは、コストや運用の面で現実的ではありません。そのため、顧客の個人情報や企業の財務データ、独自の知的財産、ビジネスの継続に不可欠な基幹システムなど、万が一情報漏えいやシステム停止が発生した場合に、組織へ甚大な影響を及ぼす資産を明確にする必要があります。
加えて、特定した重要資産に対して、アクセスの必要性や頻度、想定されるリスクの大きさを評価し、セキュリティ対策を講じる優先順位を決定しましょう。ビジネスへの影響度を軸にしたリスク評価が鍵となります。
このプロセスにより、限られたセキュリティ予算や人的リソースを最も効果的な領域へ集中的に投資できるようになり、段階的かつ効率的なゼロトラスト環境の構築へとつながります。
4. アクセス経路の可視化とアーキテクチャ設計
対象となる資産へのアクセス経路を可視化し、適切なゼロトラスト・アーキテクチャを設計します。「どのユーザーが・どのデバイスから・どのようなネットワーク経路を通って・どのアプリケーションやデータにアクセスしているのか」など、業務上の正規のトラフィックフローを詳細にマッピングしましょう。この情報をもとに、境界防御に依存しない新たなセキュリティの全体設計を行います。
設計段階では、ネットワークを細かく分割して被害の拡大を防ぐマイクロセグメンテーションの導入や、ユーザーの属性やデバイスのセキュリティ状態、アクセス元の場所といったさまざまな動的コンテキストを総合的に評価してアクセスを制御する仕組みを検討します。既存のシステム環境や将来のビジネス展開を十分に考慮しながら、柔軟かつ拡張性の高いアーキテクチャを描くことが、移行を成功させるための重要なポイントです。
5. セキュリティソリューションの段階的な導入
アーキテクチャの設計が固まれば、いよいよ具体的なセキュリティソリューションの導入を進めますが、システム全体を一斉に入れ替えるのではなく、段階的に導入するのがおすすめです。
最初は、ゼロトラストの要となるIAM(Identity and Access Management)の強化から着手すると良いでしょう。IDaaSなどを導入し、多要素認証やシングルサインオンを実装して不正アクセスのリスクを大幅に低減させます。
その後は、デバイスの健全性を確認するEDRやMDM、クラウドサービスの利用を安全に制御するCASB、そしてリモートアクセスの新たな基盤となるZTNAなどを、優先度の高い領域から順次展開していきます。
6. 継続的なモニタリングと運用の最適化
各種ソリューションの導入が完了しても、ゼロトラストへの移行が終わるわけではありません。最後のステップであり、その後も永続的に続くのが継続的なモニタリングと運用の最適化です。
ゼロトラスト環境では、常に脅威が存在することを前提としているため、ネットワークやシステム上のすべてのログやトラフィックを収集し、リアルタイムで監視することが欠かせません。そのためにも、SIEMをはじめとするツールを活用して膨大なログを相関分析し、不審な挙動やセキュリティ侵害の兆候をいち早く検知する体制を構築するのがおすすめです。
また、サイバー攻撃の手法は日々高度化・巧妙化しています。このような環境に対応するには、定期的にアクセス権限の棚卸しを行ったり、設定されたセキュリティポリシーを最新の脅威動向に合わせて見直したりと、継続的な改善サイクルを回すことも重要です。
ゼロトラスト移行で起こりがちな課題と対処法
ゼロトラストを移行する際は、レガシーシステムと連携する際の低互換性や管理業務の複雑化、利便性の低下など、さまざまな課題が発生しがちです。そのため、グランドデザインやロードマップを設計する段階で、発生し得る課題とその対処法を検証しておくことが大切です。よくある課題と対策について詳しく解説します。
レガシーシステムとの連携・統合の難しさ
ゼロトラストはクラウドネイティブな環境を前提とする製品が多く、オンプレミスの古いシステム(レガシーシステム)には、最新の統合認証基盤やアクセス制御を直接適用できないケースが多々あります。その結果、一部のシステムが従来型の境界型防御に取り残され、セキュリティの死角が生じたり、新旧両方の環境を維持・管理する二重の運用負荷が発生したりします。
この課題への対処法は、一足飛びに完全なゼロトラストを目指さず、段階的な移行計画を立てることです。まずは、導入しやすいクラウドサービスの認証統合やエンドポイント対策から着手することをおすすめします。
レガシーシステムに対しては、IAP(アイデンティティ認識型プロキシ)を導入して最新の認証基盤と連携させるか、中長期的なシステム刷新のタイミングに合わせてゼロトラスト対応を進めるのが現実的なアプローチとなるでしょう。
利便性低下による業務効率の悪化
ゼロトラスト環境では、「常に検証する」という原則にもとづき、システムにアクセスするたびに多要素認証が求められたり、詳細なデバイスチェックが行われたりします。これにより、ログインの手間が増える、あるいはネットワークの遅延が発生することで、従業員から「システムが使いにくくなった」「業務に支障が出る」といった不満や反発が起きるリスクがあります。
対処法として、利便性とセキュリティのバランスを取る仕組みの整備が不可欠です。例えば、シングルサインオンを導入すれば、一度の認証で複数のアプリケーションへ安全にアクセスできるようになり、従業員の負担を大幅に軽減できます。また、普段と異なる場所や時間帯からのアクセスなど、リスクが高いと判定された場合のみ追加の認証を求めるリスクベース認証を採用することで、日常業務における認証の煩わしさを最小限に抑えられます。
運用管理の複雑化とIT部門の負荷増大
ゼロトラストを実現するためには、IAMやEDR、CASB、CSPMなど、複数の異なるソリューションを組み合わせて導入する必要があります。しかし、それぞれの製品ごとに管理画面が異なり、生成される膨大なログを個別に監視・分析しなければならないため、運用管理が複雑化し、IT・セキュリティ部門の業務負荷が増大しかねません。
このような課題に対処するには、個別のツール管理から脱却し、運用を統合・自動化する仕組みを取り入れることが重要です。具体的には、SIEMやSOARを導入し、複数ツールから集まるログを単一のプラットフォームで相関分析し、インシデント対応の一部を自動化します。また、社内のリソース不足が深刻な場合は、専門家が24時間体制で監視・分析業務を代行するSOCサービスの活用も、担当者の疲弊を防ぐ有効な手段です。
初期費用や運用コストの肥大化
ゼロトラストアーキテクチャは単一の製品で完成するものではないため、複数の高機能なセキュリティソリューションを新たに調達・契約する必要があります。それに伴い、初期費用が想定を大きく上回るだけでなく、SaaS型のサブスクリプション契約による継続的な運用コストも高額になりがちです。結果として、経営層から投資対効果に関する詳細な説明を求められ、プロジェクトが停滞することも考えられるでしょう。
対処法としては、既存の資産を最大限に活用し、重複投資を避けるアセスメントが重要です。現在利用しているGoogle WorkspaceやMicrosoft 365などのライセンスに、すでにゼロトラストに活用できるセキュリティ機能が含まれていないか棚卸しを行いましょう。万が一サイバー攻撃の被害に遭った際の損害額と、ゼロトラスト化による被害防止効果を定量的に比較することで、経営層に説得力のある説明ができます。
運用ルールの形骸化や業務の停滞
ゼロトラストの核となるのは、「誰が・どの端末で・どのデータにアクセスできるか」を細かく定義するアクセスポリシーの策定です。しかし、組織内のすべての業務フローやデータの重要度を正確に把握することは難しく、最初から厳格すぎるルールを設定して業務が止まってしまう、反対に例外を認めすぎてポリシーが形骸化し、実質的に意味をなさない状態に陥るケースもあります。
ポリシー策定は、IT部門単独ではなく、各事業部門と密接に連携しながら進めることが重要です。最初は影響範囲の小さい部署や、機密性の低いシステムから限定的にスモールスタートで導入し、実際の業務への影響をモニタリングしながらルールを調整していくアプローチが求められます。さらに、組織変更や業務内容の変化に合わせてポリシーを見直す定期的な監査プロセスを事前に設計しておくことで、長期的にも実効性のあるゼロトラスト環境を維持できるでしょう。
ゼロトラスト移行を実現した企業の成功事例3選
ゼロトラストへの移行を実現するには、他社の成功事例から課題解決のヒントや糸口を見つけることが大きな鍵となります。以下で3社の成功事例を紹介しているので、ケーススタディの参考にしてください。
株式会社バンカーズ・ホールディング
ソーシャルレンディング事業を展開する株式会社バンカーズ・ホールディングは、事業継承や企業買収の影響で、株式会社バンカーズをはじめとするグループ会社3社分の顧客データが複数システムに分散し、全社横断的なデータ分析や監督庁への迅速なデータ提示が困難になるという課題を抱えていました。この課題を解決するため、同社は電算システムの支援を受け、Google Cloudを基盤とした顧客統合基盤を新たに構築しました。機密性の高い金融データを扱うため、Chrome Enterprise Premiumをあわせて導入し、ゼロトラストを前提とした厳格な権限管理とアクセス制御を実現しています。
導入の結果、各システムに個別ログインすることなく、全社横断での迅速なデータ抽出や分析が可能になりました。メルマガ配信や指標モニタリングなどの日常業務が大幅に効率化されたほか、現場の担当者が自らSQLを用いてデータ分析を行うようになるなど、自立的かつデータドリブンな組織への変革を遂げています。
NTTドコモソリューションズ株式会社
NTTドコモソリューションズ株式会社は、コロナ禍のテレワーク拡大により生じた従来型環境(DaaSや境界型防御)の限界や、IT統合遅延といった課題を解決するため、ゼットスケーラー社のソリューションを活用し、グループ50,000人規模のシステムをゼロトラスト環境へ移行しました。移行は段階的に進められ、まずVPN不要の安全なアクセス環境を整備した後、通信の制御と可視化を実現しました。さらに、Microsoftの認証基盤や独自開発のOA基盤と連携させることで、シームレスな移行を完了させています。
その結果、VPN接続の廃止により利便性とセキュリティを両立することに成功しました。また、場所を問わず同一端末が利用可能になったことで、調達コストと二酸化炭素排出量を削減したほか、物理的なネットワーク工事が不要になり、IT統合プロジェクトの期間を約6ヶ月短縮、工数も50%削減するといった大きな成果をあげています。
参考:NTTドコモグループ、ゼットスケーラーでゼロトラスト環境へ移行--5万人の働き方改革と経営効率化を推進|ZDNET Japan
ローム株式会社
ローム株式会社は、コロナ禍で全従業員がテレワークに移行した際、従来のVPNへのアクセス集中による通信遅延が課題となっていました。この課題解決のため、同社は従来の境界型防御から、ゼロトラストセキュリティにもとづくネットワーク構成へと見直しを図りました。
具体的には、コンテンツ無害化機能を持つゲートウェイサービス「Menlo Security」を採用しています。クラウド上のセキュアブラウザでWebアクセスを行い、手元には表示情報のみを送信したり、SWG(Secure Web Gateway)機能によるアクセス制御を導入したりと、さまざまな仕組みを導入しました。
2024年2月に国内外の全拠点で展開を完了させた後、現在はグループ会社を含む10,000人以上がこの環境を利用しています。この仕組みにより、添付ファイルの自動隔離やアップロード制限が可能になり、マルウェア「Emotet」などの感染被害をゼロに抑えるなど、強力なセキュリティ効果を発揮しています。
参考:半導体製造のロームが境界型防御からゼロトラストに移行、社外からセキュアWebゲートウェイ経由でアクセス|IT Leaders
ゼロトラストの考え方を採用したGoogle Workspace
Google Workspaceは、強固なセキュリティと利便性を両立する、ゼロトラストの考え方を採用したグループウェアです。
従来の境界型防御とは異なり、社内外を問わずすべてのアクセスを検証するゼロトラストの原則にもとづき、シングルサインオンや二段階認証、細やかなアクセス権限の管理といった多様なセキュリティ機能が標準で備わっています。これにより、場所を問わず安全に自社のデータへアクセスできる環境が実現します。
また、セキュリティ面だけでなく、GmailやGoogle Meet、Googleドライブといった豊富なコミュニケーションツールを用いて、テレワークをはじめ多様化する働き方に合わせた社内コミュニケーションを促進できる点も強みです。このような点からGoogle Workspaceは、安全な環境下でのシームレスな情報共有や共同作業を実現し、企業のセキュリティレベル向上と業務効率化を同時に達成する優れたソリューションだといえるでしょう。
ゼロトラストへの移行を実現してセキュアな環境を構築しよう
「何も信頼しない」ことを前提とするゼロトラストへの移行は、単一のツール導入で完了するものではありません。組織のIT資産を棚卸しし、現状を把握したうえで、優先順位を付けて段階的に進めていく包括的なアプローチが求められます。運用負荷やコスト面などの課題に直面することもありますが、企業の持続的な成長において、もはや避けては通れない重要な取り組みです。
これからゼロトラスト環境の構築を目指すなら、ゼロトラストの考え方を基盤とし、強固なセキュリティと利便性を両立したGoogle Workspaceの活用も有効な選択肢となります。自社の要件に合わせ、一歩ずつ着実に移行手続きを進めましょう。
電算システムでは、環境構築やコンサルティングなど、Googleサービスの導入支援サービスを提供しています。GmailやGoogleドライブといった個別のサービスはもちろん、Google Workspaceのサポートにも対応しています。専門領域に精通した数多くのエンジニアが在籍しているので、スピーディかつ質の高いサポートを行えるのが強みです。「Googleサービスを活用したいが具体的なイメージが湧かない」といったお悩みを抱える方は、ぜひ電算システムへと気軽にお問い合わせください。
