ゼロトラストとは?徹底的にわかりやすく解説します!
ゼロトラストとは?
ゼロトラストとはトラスト(信頼)がゼロ。つまり、「何も信頼しない」ということを前提に対策を講じるセキュリティの考え方を言います。Forrester Research社が2010年に提唱した考え方です。
なぜ、ゼロトラストが注目されているのか?
1.テレワークの増加
ゼロトラストの考え方が注目されている背景には、昨今のテレワークに浸透があります。これまで、企業のセキュリティ対策というと境界をきっちりと防ぐ対策が中心でした。つまり、ウイルスや不正侵入を許さらないようにファイアーウォールを設置するといった対策です。
ところが、テレワークをすると、オフィスのファイアーウォールは関係なく、自宅のネットワークからアクセスをしますよね。また、最近はクラウドサービスの浸透が増え、社内のサーバーを介して仕事をするのではないスタイルが定着してきました。そうすると、会社にある境界型のセキュリティでは、意味がなさなくなってきてしまっているんです。
2.クラウドサービス利用が増加
自宅でも、会社でも、どこにいても、利用できるクラウドサービスが浸透してきています。このクラウドサービスは、当然ながら、社内のファイアウォールを介したデータのやり取りではありません。ユーザーのPCからいきなりクラウドサービスにアクセスして利用します。
3.内部の不正等
不正侵入だけでなく、不正な情報の持ち出しもでてきています。ゼロトラストは、社内のLAN内でも、すべて危険であるという発想のもとに、対策を施すことで、テレワークでも、クラウドサービスでも、安心して利用できるようにするという発想です。
4.改正個人情報保護法の施行が迫る
令和2年6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。
予定では、令和4年4月頃に施行予定となっています。この改正個人情報保護法によれば、以下のように罰則が強化されます。
法人の場合の法定刑の改正前後の比較
| 改正前 | 改正後 | |
| 個人情報保護法委員会からの命令への違反 | 30万円以下の罰金 | 1億円以下の罰金 |
| 個人情報データベースの不正提供等 | 50万円以下の罰金 | 1億円以下の罰金 |
| 個人情報保護法委員会への虚偽報告等 | 30万円以下の罰金 | 50万円以下の罰金 |
「個人情報の保護に関する法律等の一部を改正する法律」の概要等について
今まで一番主流だったセキュリティ対策商品がUTMでした。
ゼロトラストの6つの基本原則
1.ネットワーク:内外という基準でセキュリティの実現をしない
2.データ:どのデータ、どこからのアクセスであっても認証・暗号化を行う
3.ワークフォース:ユーザーが作成するデータや脅威にも対応する
4.ワークロード:クラウド、アプリ等仕事で必要とする領域も保護する
4.自動化:システムが自動的にゼロトラストの原則を適用・調整する
5.可視化と分析:すべてのデータのポイントを可視化し、不正なアクセスを排除する
ゼロトラストにおける有効なセキュリティ対策
ゼロトラストを実現するには、社内・社外に関わらず、全ての端末の通信を可視化し、ログを残す事。許認可も最低限にするなどといった対応が必要になります。
具体的にはユーザーごとにIDを管理し、誰がアクセスしているかを可視化。必要な情報にだけアクセス権限を付与します。また、各端末ごとにもセキュリティ監視ツールを導入し、どの端末がアクセスしているかをわかるようにします。
サービス事例
料金は不明です。
1サービスあたり150万円~となっています。
1ユーザー月額600円。かなり検討しやすい料金ですね!
ゼロトラストはなぜ必要になった?
従来のセキュリティは「社内ネットワークは安全、社外は危険」という前提で、境界(入口)にファイアウォール等を置いて守る考え方でした。しかしテレワークとクラウド利用が当たり前になり、この前提そのものが崩れています。背景を整理すると次のとおりです。
| ポイント |
|---|
| 社員が社外から直接クラウドへアクセスし、社内ネットを経由しない通信が増えた |
| 私物端末・在宅環境など、会社が管理しきれない接続元が常態化した |
| 一度社内に侵入されると内部は無防備という境界防御の弱点が突かれるようになった |
| クラウド上に重要データが置かれ、守るべき対象が社外に広がった |
こうした変化に対し、「社内だから信頼する」をやめ、社内外を問わずアクセスのたびに本人・端末・権限を検証するのがゼロトラストです。境界がなくなった以上、信頼を前提にせず都度検証するという発想の転換が、現代のセキュリティの出発点になります。
中小企業はゼロトラストをどう始める?
ゼロトラストは単一の製品を買えば実現するものではなく、考え方の段階的な実装です。専任担当のいない中小企業でも、効果の高い要素から着手すれば現実的に進められます。推奨する順序は次のとおりです。
| ポイント |
|---|
| 多要素認証(MFA)を全業務システムに適用する。最も低コストで効果が大きい第一歩 |
| 端末管理(MDM/EDR)で、アクセスしてくる端末の状態を把握・統制する |
| アクセス権限を「必要最小限」に見直し、退職者・不要権限を整理する |
| 重要システムへのアクセスログを取得し、異常を検知できる状態にする |
一度に完全なゼロトラストを目指す必要はありません。「誰が・どの端末で・何にアクセスしているか」を検証できる状態へ、優先度の高い順に近づけることが現実解です。当社は中小企業のゼロトラスト化を、現状診断から優先順位づけ・導入まで伴走支援しています。
ゼロトラスト導入チェック
ゼロトラストとは、社内・社外を問わず、すべてのアクセスを「何も信頼しない」前提で常に検証するセキュリティの考え方のことです。
社内ネットワークは安全とみなし境界で守る従来型に対し、テレワークやクラウド利用で社内外の境界が消えたことを背景に登場しました。
一度侵入されると内部が無防備になる境界防御の弱点を、アクセスのたびに本人・端末・権限を検証することで補います。
単一製品で実現するものではなく考え方の段階的な実装であり、中小企業では多要素認証の全社適用、端末管理(MDM/EDR)、権限の最小化、アクセスログ取得という効果の高い順に着手するのが現実的です。
完全な実現を急がず、誰がどの端末で何にアクセスしているかを検証できる状態へ近づけることが要点となります。
以下に、押さえるべき要点とその内容を整理します。
| 項目 | ポイント | 解説 |
|---|---|---|
| 前提 | 何も信頼しない | 社内外問わずアクセスを都度検証する |
| 背景 | 境界の消失 | テレワーク・クラウドで境界防御が限界 |
| 第一歩 | 多要素認証 | 全業務システムにMFAを適用する |
| 端末 | MDM/EDR | 接続端末の状態を把握・統制する |
| 権限 | 最小化 | 不要権限・退職者アカウントを整理 |
より詳しい一次情報は公式の解説もあわせてご確認ください。
この記事のよくある質問(FAQ)
本記事に関して、よく寄せられる質問をまとめました。
Q. ゼロトラストとは何ですか?
A. 社内外を問わず通信や利用者を信用せず、その都度検証して最小限のアクセスのみ許可する考え方です。境界防御に依存しない設計思想です。
Q. なぜ必要になったのですか?
A. クラウド・在宅で守る境界が曖昧になり、内部からの侵害も増えたためです。境界の内側を信用する前提が成り立たなくなっています。
Q. 製品を買えば実現できますか?
A. 単一製品で完結しません。ID認証・端末・アクセス制御・ログなどを組み合わせ、運用で継続検証する考え方として段階導入するものです。
Q. 中小企業でも始められますか?
A. 始められます。多要素認証、最小権限、端末管理、ログ確認など実施しやすい要素から段階的に進めれば、限られた体制でも近づけます。
関連情報・お問い合わせ
優先すべき対策をc-compe.comが解説。
まとめ
来年の改正個人情報保護法施行に向けて、今後セキュリティのニーズは高まっていくことは間違いないでしょう。テレワークやクラウドの浸透がそれに拍車をかけています。まずは、自社の取り組みを見直して、対策を行っていくべきですね。
■なお、クラウドPBXなら、テレワーク時、自宅で今の代表電話を受ける体制づくりが可能です。
仮想オフィスもおすすめ!
詳細は上記記事をご覧ください!
株式会社アーデントは、デジタル化・AI導入補助金の支援事業者を行っております!
アーデントからデジタル化・AI導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。
メリット①対象ツールを2年間、半額、もしくは1/4で利用可!
メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額!
メリット③補助期間終了後は、公式価格よりお値引き!
メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します!
【弊社取り扱いクラウドツール】
🔹オフィスソフト・グループウェア: Google Workspace※、Microsoft365、desk'nets NEO※
🔹ノーコード業務改善:kintone、Zoho※、楽楽販売、JUST.DB※、サスケworks
🔹コミュニケーション: サイボウズオフィス、Chatwork、LINE WORKS、zoom
🔹会計・経費管理: マネーフォワード、freee、楽楽精算、楽楽明細、楽楽請求、invox
🔹電子契約・文書管理: freeeサイン、クラウドサイン、GMOサイン、Adobe Acrobat
🔹セキュリティ対策: sophos、SentinelOne、ESET、ウイルスバスタークラウド
🔹バックアップ: syscloud、Avepoint
🔹RPA・自動化: RoboTANGO、DX-Suite、Yoom※、バクラクシリーズ
🔹勤怠・労務管理: 勤革時、楽楽勤怠、マネーフォワード
🔹物流・在庫管理: ロジザードZERO
🔹教育・マニュアル作成管理: iTutor、NotePM、leaf
🔹PBX・電話システム: INNOVERAPBX※、MOTTEL※
🔹端末管理:LANSCOPE、clomo
🔹リモートデスクトップ:RemoteOperator在宅
🔹受付ipad:ラクネコ※
🔹タスク管理、その他:Adobe creative cloud、Noota、JOSYS、backlog※
など
※こちらのツールは補助期間終了後の値引不可
また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。
デジタル化・AI導入補助金2026の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓
デジタル化・AI導入補助金お問合せ:03-5468-6097
以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください!
株式会社アーデント 代表取締役。2006年にオフィス専門不動産会社アーデントを創業。その後、オフィス賃貸仲介、ワークプレイス作りに10年以上携わり、合計500社以上のオフィス移転をサポート。2018年よりクラウドPBXを中心にネットワーク、通信分野を専門に400社以上の電話、ネット環境づくりをサポート。2022年より100以上のクラウドサービスの販売を開始。
IT導入補助金を使って、50社以上にクラウドツールを提供。IT活用による業務改善のDXコンサルを提供。ノーコードツールを使ったExcelやAccessからの基幹システム移行によるDX実績多数。
アマゾンで出版している書籍はこちら!
「AppSheetで作る中小企業の基幹システム」 ~Excel限界からの脱出。GoogleWorkspaceを使って、失敗しない業務アプリ導入を解説~
「Google Workspace完全活用マニュアル」 ~Google Workspaceをフル活用する方法を徹底解説!~
amzn.to/3w5zWfT
「中小法人向け サイバーセキュリティ完全ガイド」~サイバーセキュリティ対策で、特に中小企業が 守るべきポイントを網羅!~
amzn.to/3Y9Nm5n
ぜひチェックしてください!
