ゼロトラストを実現する構成要素を徹底解説!意外に役立つ機能とは?
index
2025/8/8
近年、業界・業種問わず注目を集めている新たなセキュリティモデル「ゼロトラスト」は、従来よりも強固なセキュリティ体制を実現するという点はご存じの方も多いと思います。しかし、ゼロトラストが一体どんな機能・システムで構成されているのかまでは意外と知られていないようです。
今回は「自社にゼロトラストを構築したいけど、その構成要素までは知らない」「各要素の詳しい意味や機能を導入・構築前に理解したい!」という企業のセキュリティ担当者の方に向けて、ゼロトラストを構成する様々な要素についてIIJ編集部が解説します。ゼロトラスト関連の用語集のような側面もありますので、これまでよりも深くゼロトラストを理解したい方に必見の内容です。
ゼロトラストを実現する構成要素とは?
ゼロトラストとは、従来のVPNよりも堅牢なセキュリティモデルの一つです。厳密にいえばゼロトラストは「あらゆるアクセスを“信頼”しない新たなセキュリティ概念」であり、ゼロトラストそのものには固有の具体的な機能はありません。
そのため、いくつかのセキュリティシステムを構成要素として組み合わせることで、はじめて「ゼロトラストセキュリティ」と呼ばれるようなセキュリティ体制を構築できるのです。
ゼロトラストとZTNAの違い
ゼロトラストとよく似た言葉として「ZTNA(Zero Trust Network Access)」というのがあります。ZTNAは「ゼロトラストを構築するための技術・ソリューション」で、いくつかのセキュリティ機能・システムで構成されます。
ゼロトラストとZTNAはほとんど同じ意味合いを持ちますが、前者が広い概念としての言葉である一方で、後者はやや具体的なソリューションを指すイメージです。
ゼロトラストを導入するために必須のセキュリティシステム
まずはゼロトラストを自社へ導入するために必須のセキュリティシステムについて、MFA・SSO・IAMを代表例に挙げながら解説します。どれもがゼロトラストを構築するために必須といえるシステムなので覚えておきましょう。
MFAはゼロトラストに必要な多要素認証のシステム
MFA(Multi-Factor Authentication)とは、多要素認証ともいわれるセキュリティシステムです。ゼロトラストを構成する重要な要素の一つで、市場に提供されているゼロトラスト関連のサービスの多くがMFAを備えています。
MFAで使われる3種類の認証情報
認証するための情報には下記のようなパターンがあり、それぞれが一定の機密性を保持しています。
| 知識情報 | パスワードやPINコード、秘密の質問など自分だけが知っている情報 |
|---|---|
| 所持情報 | ワンタイムパスワードやスマートフォンに送信されるSMSといった使い切り情報 |
| 生体情報 | 指紋や顔、声紋など身体情報を基にして本人確認を行うバイオメトリクス |
従来のセキュリティ認証は上記のような情報の一つを活用していましたが、MFAは2つ以上を組み合わせて認証することで高度なセキュリティ精度を担保します。
SSOはゼロトラストの運用負荷を軽減するシステム
SSO(Single Sign On)は一度のログインで複数のシステムやサービスにアクセスできる仕組みで、ログイン回数削減を実現し、ユーザの作業効率のアップが期待できます。一度のログインで中央管理によるアクセス制御も可能で、作業効率とセキュリティ精度を向上できるでしょう。
上述したMFAによる多要素認証で根本的なセキュリティ精度を高めつつ、SSOでログインにかかる利便性を向上させる事はゼロトラストの構築に大きく寄与します。MFAとSSOに関してはIIJ編集部が下記記事でより詳しく解説していますので、気になる方はご参照ください。
(参考)ゼロトラストとMFA(多要素認証)・SSO(シングル・サインオン)の関係
IAM(ID特権管理)はアクセス権限を制御してゼロトラストを実現する
IAM(ID特権管理)とは組織がユーザ・デバイスの身元を管理して、ユーザの役割に基づいて「誰が何にアクセスできるか制御する」仕組みです。主な機能は個人単位でのアクセス権限の付与や、ログ管理・監査、ユーザ管理などがあります。また、IAMユーザにMFAのような認証機能を設定する事もできます。IAMは「誰も・どこからのアクセスでも信頼しない」というゼロトラストセキュリティを実現するための重要な要素といえます。
ゼロトラストセキュリティを補完するセキュリティシステム
つづいてゼロトラストセキュリティの構築を補完するシステムについて解説します。これらは、IAMのようにゼロトラストセキュリティを実装するうえで必須とされる要件ではないものの、導入することで格段にセキュリティ精度が高くなります。
EDRはゼロトラストの多層防御を実現するセキュリティシステム
EDR(Endpoint Detection and Response)はPC・スマートフォン、サーバーなどのデバイスをはじめとした「エンドポイント」上で発生する不審な挙動や脅威を検知して、リアルタイムで対応・調査を支援する機能をもつセキュリティシステムです。エンドポイントに特化しているため、ゼロトラストセキュリティに組み込むことで多層防御のセキュリティシステムになります。
EDRの機能
主な機能はエンドポイントを襲う攻撃に対する「監視・検知・対応・調査」の4つです。リアルタイム且つ継続的にエンドポイントの挙動を「監視」し、何らかの異常を「検知」したら、ネットワークの切り離しなどを自動で「対応」します。さらには攻撃の経路や手口を「調査」し、再発防止に役立つ情報を提供するのもEDRの役割です。
EDRとEPP・NDR・XDRの違い
EDRには混同されがちなシステム・ソリューションがあります。それぞれがセキュリティ面で一定の役割を果たし、ゼロトラストセキュリティの構築に役立つ存在なので、下記表を参照しつつ実際に導入する前に概要を整理しておきましょう。
| EDR (Endpoint Detection and Response) |
エンドポイントを保護対象に、脅威の検知・対応をリアルタイムに実施 |
|---|---|
| EPP (Endpoint Protection Platform) |
エンドポイントを保護対象に、マルウェアなどの脅威に予防的防御を実施 |
| NDR (Network Detection and Response) |
ネットワークを保護対象に、異常検知やリアルタイム対応を実施 |
| XDR (Extended Detection and Response) |
エンドポイントとネットワークなどを横断的に保護する高度検知を実施 |
CASBはゼロトラストをクラウド環境に構築するために役立つ
CASB(Cloud Access Security Broker)は、クラウドサービスに特化したセキュリティ管理システムです。近年、業界・規模を問わずクラウドサービスを利用する企業が増えているため、クラウド環境に対してアクセス制御・セキュリティポリシーの適用ができるCASBは日々存在感を増しています。
監査ログやレポーティング機能を活用したコンプライアンス対応や、シャドーITの検出なども可能で、ゼロトラスト体制をクラウドにも構築するためには必要不可欠なシステムです。
RBIはゼロトラスト体制をより強固にできる技術
RBI(Remote Browser Isolation)は、ユーザのブラウザ操作をクラウドやセキュアなサーバー上で隔離し、デバイスには安全な画面のみを表示するという技術です。ゼロトラストはアクセスごとに社内ネットワークにおいて細かな制御を設けるのが基本姿勢のため、ネットワーク内での外部サイトへのリンクには対応していないことがあります。
このような場合、RBIをゼロトラストの一要素として組み込むことで、ネットワーク内からの外部アクセス時にも安全なセキュリティ体制を構築することができます。RBIはゼロトラストの基本の構成要素ではありませんが、IIJの「Safousシリーズ」などのRBI機能のあるゼロトラストセキュリティサービスを導入することで隙のないセキュリティ体制を構築できます。
ゼロトラストの概念を実現するためのシステム
ゼロトラストは概念ですが、最後にこのゼロトラストの概念を実現するための具体的な仕組み、ソリューションについて代表的な2つを紹介します。
ゼロトラストも実現できる広範なSASE
SASE(Secure Access Service Edge)は従来の拠点やデバイス中心のネットワークセキュリティから脱却して、クラウド環境やリモートのユーザも含めた高度なセキュリティを実現するアーキテクチャです。「ゼロトラストの考え方を、セキュリティ&ネットワークに応用した総合クラウドソリューション」のようなイメージで、ゼロトラストを具現化するための一つの“答え”といえます。SASEについて詳しくは下記記事をご確認ください。
(参考)SASEとは? ゼロトラストネットワークアクセス(ZTNA)とどう違い、どのような機能があるのか
ゼロトラストの原則を拡張しクラウド環境のセキュリティを強化するCWPP
CWPP(Cloud Workload Protection Platform)はクラウド上の仮想マシン・コンテナといったワークロードを保護するセキュリティプラットフォームです。ゼロトラストがユーザやデバイスを「信頼」せずにアクセス制御するため、CWPPはその姿勢をワークロードに拡張しているイメージになります。ゼロトラストの必須構成要素ではありませんが、組み合わせることで多層防御が実現できます。
IIJ Safousシリーズで手軽にゼロトラストを構築してみませんか?
今回はゼロトラストを構成する様々な要素についてまとめました。本記事内に各要素を詳細に解説したコンテンツのリンクも掲載していますので、ぜひそちらも併せてご確認ください。
IIJではゼロトラストセキュリティを実現するサービス「Safous シリーズ」を提供中です。ゼロトラストは多くのセキュリティ製品を連携することで実現していくため、運用工数が多く、複雑化しやすいという課題がありますが、Safousシリーズの導入はシンプルで、お客様の様々なネットワーク構成にも対応が可能です。また、RBIをはじめとした、ゼロトラストセキュリティを実装するために役立つ機能を搭載しています。自社システムにゼロトラストを構築してみたい方は、お気軽にご相談ください。
