ゼロトラストとは
ゼロトラストとは、「決して信頼せず、常に検証する(Never Trust, Always Verify)」を基本原則とするセキュリティモデルです。ネットワークの内部と外部を区別せず、すべてのユーザー、デバイス、アプリケーションからのアクセスを潜在的な脅威とみなし、厳格な認証と認可を都度行います。これにより、たとえネットワーク内部からのアクセスであっても、その正当性が確認されるまで信頼を与えないことで、多層的な防御を実現します。
なぜ重要なのか
従来のセキュリティモデルは、社内ネットワークの境界線を設けて内部を「安全」、外部を「危険」とみなす「境界型防御」が主流でした。しかし、クラウドサービスの普及、リモートワークの常態化、そして巧妙化するサイバー攻撃によって、この境界線は曖昧になり、一度内部に侵入されると容易に被害が拡大するリスクが高まりました。ゼロトラストは、この境界型防御の限界を克服し、どこからアクセスがあっても常にセキュリティチェックを行うことで、データ漏洩や不正アクセスといったリスクを大幅に低減します。ITRの調査によれば、国内のゼロトラスト導入率は2022年度で30%を超え、2025年度には50%に迫ると予測されており、企業規模を問わずその重要性が認識されています。
実際の導入事例
富士通株式会社
富士通は、グローバルでの事業展開とリモートワークの拡大に対応するため、ゼロトラストモデルへの移行を推進しています。同社は、約13万人の従業員が利用するシステムに対し、Microsoft Azure Active Directory(現Microsoft Entra ID)を中心としたID管理基盤を構築。これにより、ユーザーやデバイスの認証を強化し、アクセス状況を常時監視することで、場所やデバイスに依存しないセキュアな業務環境を実現しました。導入後、セキュリティインシデントの発生リスクが低減し、従業員の生産性向上にも寄与しています。
株式会社メルカリ
フリマアプリ「メルカリ」を運営するメルカリは、サービスの成長と従業員の多様な働き方を支えるため、ゼロトラストセキュリティ [blocked]を導入しました。同社では、Google CloudのBeyondCorp Enterpriseなどの技術を活用し、従業員が利用するデバイスの健全性を常にチェックし、アクセス元のIPアドレス [blocked]やユーザーの属性に基づいて、アプリケーションへのアクセス権限を動的に制御しています。この取り組みにより、社内外からの不正アクセスリスクを最小限に抑えつつ、開発スピードを損なわない柔軟なセキュリティ体制を確立しています。
株式会社日立製作所
日立製作所は、グローバルに展開する事業のセキュリティ強化とDX [blocked]推進のため、ゼロトラストの考え方に基づいたセキュリティ基盤を構築しています。具体的には、多要素認証(MFA) [blocked]の導入、デバイスのセキュリティ状態の常時監視、そしてアクセス権限の最小化を徹底しています。これにより、従業員の多様な働き方を支援しつつ、サプライチェーン全体でのセキュリティレベル向上を図っています。特に、海外拠点を含めた統一的なセキュリティポリシーの適用により、ガバナンス強化と運用コストの最適化を実現しています。
実務での活用ポイント
-
ID管理の徹底と多要素認証の導入 ゼロトラストの根幹は「誰が、何を、いつ、どこからアクセスしているか」を正確に把握することです。すべてのユーザーIDを一元管理し、パスワードだけでなく生体認証やワンタイムパスワードなどの多要素認証(MFA)を必須とすることで、不正ななりすましアクセスを強力に防ぐことができます。
-
デバイスの健全性評価とアクセス制御 アクセスを許可するデバイスが、常に最新のセキュリティパッチが適用されているか、マルウェア [blocked]に感染していないかなどを継続的に評価する仕組みを導入しましょう。デバイスの状態に応じてアクセス権限を動的に変更することで、リスクの高いデバイスからのアクセスを制限し、セキュリティリスクを低減します。
-
最小権限の原則の適用 ユーザーやシステムには、業務遂行に必要最低限のアクセス権限のみを付与する「最小権限の原則」を徹底してください。これにより、万が一アカウントが乗っ取られたとしても、被害範囲を限定することができます。定期的な権限の見直しと監査も重要です。