はじめに
ゼロトラストは、近年のセキュリティで広く語られる考え方です。背景には、従来の境界防御(社内ネットワークの内側は信頼し、外側は信頼しない)が、現在の環境では成り立ちにくくなったことがあります。クラウドサービスやテレワーク、SaaS の利用が広がり、利用者・データ・アプリがネットワークの内外に分散すると、「内側か外側か」で信頼を判断する前提が崩れます。
一方で、「ゼロトラスト」という言葉は独り歩きしやすく、製品名のように扱われることもあります。本記事では、標準的な拠り所である NIST SP 800-207 をもとに、ゼロトラストの基本の考え方、7 つの原則、論理コンポーネント、実装の進め方、そして SASE / ZTNA との関係までを整理します。
なお、ゼロトラストをクラウドからの提供形態に落とし込んだものが SASE / SSE です。その定義や構成要素は、関連記事『SASE とは|SSE や ZTNA との違いと構成要素のポイント』で扱っています。本記事は、その土台となる「ゼロトラストの原則」を整理する位置づけです。
- ゼロトラストの基本の考え方(決して信頼せず、常に検証する)と、なぜ必要か
- NIST SP 800-207 が示す 7 つの原則
- ゼロトラストアーキテクチャの論理コンポーネント(PE / PA / PEP)
- 実装の進め方と、NIST SP 1800-35・CISA のマチュリティモデル
- ゼロトラストと SASE / ZTNA の関係
ゼロトラストとは|基本の考え方
ゼロトラストは、ネットワーク上の「場所」を信頼の根拠とせず、利用者・資産・リソースに焦点を当てて、アクセスのたびに検証する考え方です。
「決して信頼せず、常に検証する」
ゼロトラストは、しばしば「決して信頼せず、常に検証する(never trust, always verify)」と表現されます。社内ネットワークにあるから信頼する、という暗黙の前提を置かず、アクセスごとに、アイデンティティ・デバイス・文脈を確認したうえで、必要最小限の権限を与えます。
NIST SP 800-207 は、ゼロトラストを次のように位置づけています。
参考: NIST — SP 800-207 Zero Trust Architecture
“move defenses from static, network-based perimeters to focus on users, assets, and resources”
(防御を、静的でネットワーク境界ベースのものから、ユーザー・資産・リソースに焦点を当てたものへ移す)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
ここで押さえておきたいのは、ゼロトラストは特定の製品ではなく、考え方(アーキテクチャ)だという点です。何か 1 つを導入すれば実現するものではなく、原則に沿って、認証・認可、デバイスの状態、ネットワーク分割、監視といった複数の要素を組み合わせて実現します。
なぜ必要か(境界防御の限界)
従来の境界防御は、ファイアウォールや VPN で社内と社外を分け、内側を信頼する前提に立っていました。この前提は、利用環境が社内に閉じている間は有効でした。
しかし、クラウドや SaaS の利用、テレワークの普及により、利用者・データ・アプリがネットワークの内外に分散すると、「内側=安全」という前提は維持しにくくなります。さらに、境界防御は一度内側へ侵入されると、ネットワーク内での横移動(ラテラルムーブメント)を許しやすく、被害が広がる原因になります。VPN も、接続した利用者に広いネットワークアクセスを与えがちで、最小権限の観点では課題があります。
境界の内外が曖昧になった現在、ネットワーク上の場所を信頼の根拠にできないことが、ゼロトラストが必要とされる理由です。場所ではなく、リソース単位で検証し、最小権限を与え、継続的に監視する——この発想の転換が、ゼロトラストの出発点になります。
NIST SP 800-207 の 7 つの原則
NIST SP 800-207 は、ゼロトラストアーキテクチャを設計・展開する際に従うべき、7 つの基本原則(tenets)を示しています(NIST SP 800-207、原文は英語: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf )。これらは、特定の製品ではなく、考え方の土台になります。
7 つの原則(基本理念)
NIST が示す 7 つの原則は、次のとおりです(要約)
サーバやデータベースだけでなく、端末・IoT 機器・SaaS なども対象に含めます。
社内ネットワークであっても、保護を前提とします。
あるリソースへの許可が、別リソースへの許可に自動的につながらないようにします。
利用者やアプリ・サービス、要求元の資産の状態に加え、振る舞いや環境の属性も考慮します。
デバイスのポスチャ(状態)を継続的に把握します。
一度許可すれば終わり、ではなく、継続的なサイクルとして扱います。
集めたテレメトリを、ポリシーの精度向上に役立てます。
7 つの原則の核心は、「ネットワークの場所で信頼せず、リソース単位で動的に検証し、継続的に監視・改善する」という点にあります。これらは、いずれか 1 つだけでなく、全体として満たすことが求められます。
ゼロトラストアーキテクチャの論理コンポーネント
NIST SP 800-207 は、これらの原則を実現する論理モデルとして、Policy Engine(PE)・Policy Administrator(PA)・Policy Enforcement Point(PEP)を定義しています。
PE / PA / PEP(PDP)と信頼アルゴリズム
各コンポーネントの役割は次のとおりです。
- PDP(Policy Decision Point)
-
アクセスの可否を判断する「頭脳」にあたり、制御プレーンに位置します。PE と PA の 2 つで構成されます。
- PE(Policy Engine)
-
信頼アルゴリズムに基づき、内部・外部のデータソース(アクセスポリシー、ID 管理、SIEM や CDM、脅威インテリジェンスなど)を使って、アクセスを許可・拒否・取り消すかを決定します。
- PA(Policy Administrator)
-
PE の決定を実行し、トークンや認証情報の発行、通信経路の確立・遮断を行います。
- PEP(Policy Enforcement Point)
-
PDP の決定を強制する「門番」にあたり、データプレーンでリソースの近くに位置します。アクセス要求を仲介し、PDP が許可するまでリソースへ通しません。
ここで PE が用いる信頼アルゴリズムは、アクセス要求を評価して認可の判断を導く計算プロセスです(参考: NIST SP 800-207)判断する役割(PDP = PE / PA)と、強制する役割(PEP)を分離し、PEP をリソースの近くに配置するのが、ゼロトラストアーキテクチャの論理モデルの要点です。
暗黙の信頼ゾーンの最小化と横移動の抑止
PEP は、リソースの近くに配置するほど、無条件に信頼される範囲(暗黙の信頼ゾーン)を小さくできます。このゾーンが小さいほど、万一侵害されたときに、ネットワーク内を動き回る横移動(ラテラルムーブメント)のリスクが減ります。
これを支えるのが、ネットワークを細かく区切るマイクロセグメンテーションや、アクセスごとに検証するセッション単位の制御です。暗黙の信頼ゾーンを最小化することが、侵害の影響範囲を抑えるうえでの重要な考え方になります。
実装の考え方とマチュリティ
ゼロトラストは、何か 1 つを導入して完成するものではなく、段階的に進める「移行(ジャーニー)」として捉えるのが現実的です。NIST は実装の実例を、CISA は成熟度の物差しを提供しています。
導入の進め方と NIST SP 1800-35
NIST SP 800-207 は、ゼロトラストへの移行のステップとして、まず資産・利用者・業務フローを棚卸しし、ポリシーを策定し、候補となる解を選定して段階的に導入し、監視しながら改善する、という流れを示しています。既存のリプレースではなく、既存資産(ID 基盤、エンドポイント対策、ネットワーク分割など)をゼロトラストの要素にマッピングして活かす考え方です。
実装の具体的な実例は、NIST SP 1800-35「Implementing a Zero Trust Architecture」にまとめられています。これは NCCoE が複数のベンダーと連携し、多数の実装例を構築して、ベストプラクティスや教訓を整理したガイドで、2025 年に最終版が公開されました。
参考: NIST — SP 1800-35 Implementing a Zero Trust Architecture
“implement ZTA consistent with the concepts and principles outlined in SP 800-207”
(SP 800-207 に示された概念と原則に沿って、ゼロトラストアーキテクチャを実装する)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-35.pdf
ゼロトラストは一括導入ではなく、棚卸し → ポリシー策定 → 段階的な導入 → 継続的な改善、という移行プロセスとして進めるのが基本です。NIST SP 1800-35 は、その際に参照できる実装例を提供します。
CISA の Zero Trust Maturity Model
成熟度を測る物差しとしては、CISA の Zero Trust Maturity Model(ZTMM、バージョン 2.0)が広く参照されます。ZTMM は、ゼロトラストを次の 5 つの柱で整理します。
- Identity(アイデンティティ)
- Devices(デバイス)
- Networks(ネットワーク)
- Applications & Workloads(アプリケーションとワークロード)
- Data(データ)
これら 5 つの柱すべてに、Visibility & Analytics(可視化と分析)、Automation & Orchestration(自動化とオーケストレーション)、Governance(ガバナンス)という 3 つの横断的な能力が関わります。各柱は、Traditional(従来型)→ Initial(初期)→ Advanced(高度)→ Optimal(最適)の 4 段階で評価します(参考: https://www.cisa.gov/zero-trust-maturity-model )。
ポイントは、柱ごとに成熟度を個別に評価し、特定の柱だけを一気に進めるのではなく、5 つの柱を横断して少しずつ前進させる点です。ある柱は初期段階、別の柱は高度段階、というように現在地を把握し、優先順位をつけて改善していく使い方になります。
ゼロトラストと SASE / ZTNA の関係
ゼロトラスト・ZTNA・SASE は混同されやすい用語ですが、層を分けて捉えると整理できます。
ZTNA は構成要素、SASE は提供形態
それぞれの位置づけは次のとおりです。
- ゼロトラスト
-
NIST SP 800-207 が示す原則・考え方そのものです。特定の技術ではありません。
- ZTNA(Zero Trust Network Access)
-
ゼロトラストの原則を、社内アプリへのアクセス制御として実装したものです。従来の VPN を置き換え、アプリ単位でアクセスを許可します。SASE / SSE の構成要素の 1 つにあたります。
- SASE / SSE
-
ネットワークとセキュリティ(SWG・CASB・ZTNA・FWaaS など)を、クラウドから統合して提供する形態です。ゼロトラストの考え方を、クラウド前提の提供形態に落とし込んだものと捉えられます。
ゼロトラストは「考え方」、ZTNA はそれを実装する「構成要素」、SASE はクラウドからの「提供形態」、と層を分けて捉えると混乱しません。SASE / SSE そのものの構成や違いは、関連記事『SASE とは|SSE や ZTNA との違いと構成要素のポイント』で詳しく扱っています。
まとめ
ゼロトラストは、ネットワークの場所を信頼の根拠とせず、リソース単位でアクセスごとに検証する考え方です。標準的な拠り所は NIST SP 800-207 で、7 つの原則と PE / PA / PEP の論理モデルで定義されます。特定の製品ではなく、段階的に移行するアーキテクチャとして捉えるのが基本です。
- 「決して信頼せず常に検証する」がゼロトラストの核心
- 背景は境界防御の限界とクラウド・テレワークによる境界の曖昧化
- NIST SP 800-207 が 7 つの原則を定義
- 論理モデルは判断(PDP=PE / PA)と強制(PEP)の分離
- 暗黙の信頼ゾーンの最小化で横移動を抑止
- 実装は棚卸し→ポリシー→段階導入→継続改善の移行プロセス
- ZTNA は構成要素、SASE はクラウドからの提供形態
以上、最後までお読みいただきありがとうございました。
