「社内ネットワークだから安全」「ファイアウォールの内側だから大丈夫」――こうした従来の境界型セキュリティの考え方が通用しなくなっています。テレワークの普及、クラウドサービスの利用拡大、IoTデバイスの増加により、ネットワークの「内側」と「外側」の境界が曖昧になったからです。本記事では、ゼロトラストセキュリティの概念と、個人レベルで実践できるゼロトラスト的な考え方を解説します。

ゼロトラストとは何か

ゼロトラスト（Zero Trust）とは、「何も信頼しない」を前提としたセキュリティモデルです。2010年にForrester Researchのジョン・キンダーバグ氏が提唱し、Googleの社内実装「BeyondCorp」によって広く知られるようになりました。

従来の境界型セキュリティとの違い

項目	境界型セキュリティ	ゼロトラスト
基本方針	内部は信頼、外部は遮断	すべてのアクセスを検証
認証	VPN接続後はフリーアクセス	毎回のアクセスで認証・認可
ネットワーク	フラットな内部ネットワーク	マイクロセグメンテーション
デバイス	社内ネットワーク上のデバイスを信頼	デバイスの健全性を常時検証
データ	ネットワーク境界で保護	データ自体を暗号化・アクセス制御

ゼロトラストの3原則

1. 明示的な検証（Verify Explicitly）：ユーザーID、デバイス状態、位置情報、アクセスパターンなど複数の要素で認証
2. 最小権限アクセス（Least Privilege）：業務に必要な最小限のアクセス権のみを付与
3. 侵害の前提（Assume Breach）：すでに侵害されていることを前提に、被害を最小化する設計

ゼロトラストの主要コンポーネント

企業でのゼロトラスト実装は、複数の技術要素を組み合わせて実現されます。

ID管理と多要素認証（MFA）

ゼロトラストの要は強力なID管理です。すべてのアクセスにおいてユーザーの身元を確認し、多要素認証によって「パスワードだけ知っている」攻撃者を排除します。シングルサインオン（SSO）と条件付きアクセスポリシーを組み合わせ、リスクベースの認証を実現します。

デバイストラスト

アクセスするデバイスが安全であることを検証します。OSのバージョン、セキュリティパッチの適用状況、暗号化の有効化、エンドポイント保護ソフトの稼働状況などを確認し、基準を満たさないデバイスからのアクセスを制限します。

マイクロセグメンテーション

ネットワークを細かく分割し、セグメント間の通信を制御します。あるセグメントが侵害されても、他のセグメントへの横展開（ラテラルムーブメント）を防止できます。

個人レベルで実践するゼロトラスト

ゼロトラストは企業向けの概念ですが、その考え方は個人のセキュリティ対策にも応用できます。

すべてのアカウントに多要素認証を設定

パスワードだけでは不十分です。Google、Microsoft、Amazon、Steam、PlayStation Networkなど、利用するすべてのサービスで二要素認証を有効にしましょう。SMS認証よりも認証アプリ（Google Authenticator、Authy）やハードウェアキー（YubiKey）が推奨されます。

アプリの権限を最小限に

スマートフォンのアプリに「常に位置情報を許可」「連絡先へのアクセス」などの広い権限を与えていませんか？ゼロトラストの「最小権限」の原則に従い、必要最小限の権限だけを付与しましょう。

Wi-Fiの信頼を前提としない

自宅のWi-Fiでも、カフェの公衆Wi-Fiでも、通信が傍受される可能性を常に想定します。VPNの利用、HTTPSの確認、DNS暗号化（DoH）の設定を習慣化しましょう。

バックアップで「侵害前提」に備える

ランサムウェアに感染してもデータを失わないよう、3-2-1ルール（3つのコピー、2種類のメディア、1つはオフサイト）でバックアップを維持しましょう。