中小企業のためのゼロトラストセキュリティとは？意味やモデルをわかりやすく解説

テレワークの普及やクラウド利用の拡大により、中小企業を取り巻くセキュリティ環境は大きく変化しました。従来の「境界を守る」対策だけでは、巧妙化するサイバー攻撃を防げません。

この記事では、その解決策となる「ゼロトラストセキュリティ」の考え方と、中小企業が今日から始められる具体的な対策を3ステップで解説します。

そもそも情報漏洩はなぜ起こるのか？その原因を深く理解することが、効果的な対策の第一歩です。以下のリンクから対策マニュアルをダウンロードし、貴社のセキュリティ体制の強化にお役立てください。

ゼロトラストセキュリティとは？意味をわかりやすく解説

ゼロトラストセキュリティとは、「何も信頼しない（Never Trust, Always Verify）」という考え方を前提としたセキュリティモデルです。

ゼロトラストセキュリティは、従来のセキュリティ対策とは異なり、社内ネットワークからのアクセスであっても、すべての通信を検証し、安全性を確認した上でアクセスを許可します。

従来の境界型セキュリティモデルとの違い

従来のセキュリティ対策は「境界型セキュリティ」と呼ばれ、社内ネットワーク（内側）は安全、社外ネットワーク（外側）は危険という前提に立っています。

城壁のようにネットワークの境界にファイアウォールなどを設置し、外部からの不正な侵入を防ぐことに重点を置いていました。

一方、ゼロトラストセキュリティは、「内側も外側も信頼できない」という考えに基づきます。

	ゼロトラストセキュリティ	境界型セキュリティ
考え方	すべてのアクセスを信頼せず、常に検証する	社内は安全、社外は危険
防御の焦点	データやアプリケーションなど、個々の資産	ネットワークの境界
主な対策	多要素認証、アクセス制御、デバイス管理	ファイアウォール、VPN

参考）デジタル庁「ゼロトラストアーキテクチャ適用方針」

ゼロトラストセキュリティの基本的な考え方

ゼロトラストセキュリティは、以下の3つの基本原則に基づいています。

• すべてのアクセスを検証する
  ゼロトラストセキュリティは、社内外を問わず、すべてのアクセス要求を信頼しません。
  
  ユーザー認証、デバイスの健全性、場所など、利用可能なすべてのデータポイントに基づいて、アクセスのたびに厳格な検証をおこないます。
  
  
• 最小権限の原則を適用する
  ゼロトラストセキュリティでは、ユーザーやデバイスには、業務に必要な最小限のアクセス権限のみを付与します。これにより、万が一アカウントが乗っ取られたとしても、被害を最小限に抑えられます。
  
  
• 常に侵害を想定する
  ゼロトラストセキュリティでは、「すでに攻撃者に侵入されているかもしれない」という前提に立ち、対策を講じるのです。ネットワークを細かく分割し、内部での不正な活動が広がらないようにします。
  

また、すべての通信を監視・記録し、異常を即座に検知できる体制を整えます。

参考）IPA「ゼロトラスト導入指南書」

ゼロトラストセキュリティとVPNの違い

VPN (Virtual Private Network) は、社外から社内ネットワークへ安全に接続するための技術であり、境界型セキュリティの考え方に基づいています。

一度VPNで接続すると、ユーザーは社内ネットワークにいるのと同じように、比較的自由にさまざまなリソースにアクセスできます。

一方でゼロトラストセキュリティは、特定の技術ではなく、セキュリティ全体の考え方です。

比較項目	ゼロトラストセキュリティ	VPN (Virtual Private Network)
基本的な考え方	「何も信頼しない」ことを前提とする	社内ネットワーク内を信頼する
信頼の範囲	リソースへのアクセスごとに個別に認証・検証をおこない、決して信頼しない	一度接続が許可されると、ネットワーク全体へのアクセスをある程度信頼する
アクセスの対象	アプリケーションやデータなど、個々の特定リソースへのアクセスを許可	社内ネットワーク全体へのアクセスを提供
セキュリティ強度	一つのリソースへのアクセスが侵害されても、被害を限定的に抑えられる	VPNが突破されると、ネットワーク全体が危険にさらされる可能性

参考）東京都産業労働局「VPNとゼロトラスト」

なぜ今、中小企業にゼロトラストセキュリティ対策が必要なのか？

かつてセキュリティ対策は、豊富な資金と人材を持つ大企業が中心に取り組むものと考えられていました。

しかし現在では、事業規模に関わらず、すべての中小企業にとってゼロトラストセキュリティへの移行が急務となっています。その背景には、働き方、ビジネス環境、そして攻撃者の手口の大きな変化があります。

参考）IPA「ゼロトラスト導入指南書」

テレワークやクラウド利用の普及

新型コロナウイルス感染症の拡大を機に、多くの中小企業でテレワークが導入されクラウドサービスの利用が当たり前になりました。

• 「境界」の消失
  従来のように、社員がオフィスという「安全な城」の中にいて、その境界を守るという「境界型セキュリティ」が成り立たなくなりました。
  
  自宅のネットワークやカフェのWi-Fiなど、さまざまな場所から社内データやクラウドサービスにアクセスするのが日常となり、社内と社外の境界が曖昧になっています。
  
  
• VPNの限界
  テレワークのセキュリティ対策として広く使われているVPNは、一度接続を許可すると社内ネットワークへフリーアクセスに近くなるため、マルウェア感染のリスクを高める可能性があります。
  

ゼロトラストセキュリティは、社員がどこで働いていても、安全な業務環境を確保できます。

サプライチェーンを狙ったサイバー攻撃の増加

近年、サイバー攻撃者はセキュリティ対策が強固な大企業を直接狙うのではなく、その取引先である中小企業を足がかりにする「サプライチェーン攻撃」を急増させています。

• 狙われる「セキュリティの穴」
  取引先との受発注データや設計図の共有など、企業間の連携が深まる中で、セキュリティ対策の手薄な中小企業がサプライチェーン全体の弱点（穴）として狙われます。
  
  
• 甚大な被害
  自社がサイバー攻撃の被害に遭うだけでなく、取引先である大手企業にまで被害を拡大させてしまう可能性があります。これにより、多額の損害賠償や信用の失墜、取引停止といった、事業継続を揺るがす事態に発展しかねません。
  

ゼロトラストセキュリティは、万が一侵入されたとしても、被害を最小限に食い止めるという考え方に基づいています。

DX推進におけるセキュリティの重要性

多くの企業が競争力強化のために、デジタル技術を活用した業務改革、すなわちDXに取り組んでいます。中小企業においても、生産性向上や新たなビジネス創出のためにDXは不可欠です。

• セキュリティはDXの土台
  新たなクラウドサービスやIoT機器を導入するなど、DXを進めるとIT環境はより複雑になります。
  
  セキュリティ対策を後回しにすると、その脆弱性を突かれて情報漏えいなどのインシデントが発生し、DXの取り組みが頓挫してしまうかもしれません。
  
  
• 「守り」から「攻め」のセキュリティへ
  ゼロトラストセキュリティは、単なる防御策ではありません。厳格なアクセス管理によって安全性を確保することで、企業は安心して新しいデジタル技術を導入し、ビジネスを加速できます。安全なテレワーク環境の実現は、多様な働き方を可能にし、人材確保の面でも有利に働きます。
  

ゼロトラストセキュリティは一度にすべてを導入する必要はなく、クラウドサービスの認証強化や特定のリスクが高い業務からスモールスタートすることも可能です。

事業の成長と安全を両立させるために、ゼロトラストセキュリティの考え方を取り入れることが、今まさに求められています。

ゼロトラストセキュリティモデルの仕組み【7つの要件】

このゼロトラストセキュリティの考え方は、米国国立標準技術研究所（NIST）が発行したガイドライン「SP 800-207」の中で、以下の7つの基本原則として定義されています。

No.	基本的な7つの考え方
1	すべてのデータソースとコンピューティングサービスをリソースとみなす
2	ネットワークの場所に関係なく、すべての通信を保護する
3	企業リソースへのアクセスをセッション単位で付与する
4	リソースへのアクセスは、動的ポリシーにより決定する
5	すべての資産の整合性とセキュリティ動作を監視し、測定する
6	すべてのリソースの認証と認可を、アクセス前に厳格に実施する
7	収集した情報をもとに、セキュリティ体制を継続的に改善する

以下で詳しく解説します。

参考）IPA「ゼロトラスト導入指南書」

1. すべてを「リソース」とみなす

ゼロトラストセキュリティでは、従来のサーバーやPCだけでなく、クラウド上のアプリケーション（SaaS）、IoT機器、さらには社員個人のスマートフォン（BYOD）など、データにアクセスする可能性のあるすべてのものを守るべき「リソース」として扱います。

2. ネットワークの場所で判断しない

ゼロトラストセキュリティでは、「社内ネットワークは安全、社外は危険」という考え方を撤廃します。オフィスのデスクからでも、自宅やカフェからでも、すべての通信を同等に危険なものとみなし、同じセキュリティレベルで保護・検証します。

3. アクセスは「セッション単位」で許可する

一度ログインすれば、その後は自由にアクセスできるわけではありません。ゼロトラストセキュリティでは、あるシステムへのアクセスが許可されても、別のシステムにアクセスする際には、再度検証が行われます。

4. アクセス可否は「動的ポリシー」で決定する

ゼロトラストセキュリティでは、誰が、何を使って、どこから、いつ、何にアクセスしようとしているのか、といった複数の要素をリアルタイムで評価し、アクセスを許可するかどうかを動的に判断します。

5. すべてのデバイスの状態を監視する

ゼロトラストセキュリティでは、ネットワークに接続されるPCやスマートフォンが、ウイルスに感染していないか、セキュリティパッチは最新か、といったデバイスの健全性を常に監視・測定します。

6. 認証と認可を厳格に実施する

ゼロトラストセキュリティでは、リソースへのアクセスを許可する前に、「あなたは本当に本人ですか？（認証）」と「あなたにその操作をおこなう権限はありますか？（認可）」という確認を厳格におこないます。

7. 情報を収集し、セキュリティを改善し続ける

ゼロトラストセキュリティでは、ネットワークの通信ログやアクセスリクエスト、デバイスの状態といった情報を可能な限り多く収集・分析し、その結果をセキュリティポリシーの改善に活用します。

中小企業向け！ゼロトラストセキュリティ対策の具体例

ゼロトラストセキュリティは、大企業だけの話ではありません。限られた予算や人材でも、段階的に導入できる現実的な対策は数多く存在します。ここでは、多くの中小企業が取り組むべきゼロトラストセキュリティ対策を、具体的な3ステップに分けて解説します。

STEP1：ID管理と認証の強化から

ゼロトラストセキュリティの第一歩は、アクセスしてくるユーザーが「本当に本人であるか」を厳格に確認することです。まず、すべてのITサービスの入り口となるIDとパスワードの管理体制を見直します。

• 多要素認証（MFA）の必須化
• シングルサインオン（SSO）の導入
• パスワードポリシーの強化

全社で利用している主要なクラウドサービスからMFAを有効にすることから始めるのが現実的です。その上で、利用サービスが増えてきたらSSOツールの導入を検討します。

STEP2：デバイス（端末）のセキュリティ対策

社内データやクラウドにアクセスするPCやスマートフォンが、ウイルスに感染したり乗っ取られたりしていないか、安全な状態であることを確認します。

• EDR（Endpoint Detection and Response）の導入
• MDM/UEMによる端末の一元管理
• ハードディスクの暗号化

EDRは、近年巧妙化するサイバー攻撃対策として非常に重要です。多くのウイルス対策ソフトメーカーが、EDR機能付きのプランを提供しているため、現在の契約内容を見直すことから始めます。

STEP3：ネットワークとクラウド利用の可視化・制御

社内システムやクラウドサービスへのアクセス経路を安全にし、不適切な利用や情報漏えいを防ぎます。これは従来のVPNに代わる、ゼロトラストセキュリティ時代の新しいネットワークセキュリティです。

• 従業員がインターネットを閲覧する際の通信をすべて経由させるSWG（Secure Web Gateway）の導入
• 「誰が」「どのクラウドサービスを」「どのように使っているか」を可視化・制御するCASB（Cloud Access Security Broker）の利用
• ユーザーごとに許可された特定のアプリケーションやサーバーにしかアクセスできないZTNA（Zero Trust Network Access）の活用

すべてを一度に導入する必要はありません。自社の課題にあわせて優先順位をつけて検討することが成功の鍵です。

参考記事：情報セキュリティの3要素とは？中小企業が気を付けるべきことも解説

まとめ

ゼロトラストセキュリティとは、特定の製品を指すのではなく、「何も信頼せず、常にすべてを検証する」というセキュリティの基本方針です。

この記事で紹介したように、ゼロトラストセキュリティは、ID管理と認証の強化、デバイス対策、ネットワーク制御というステップを踏むことで、限られたリソースの中小企業でも段階的に導入することが可能です。

働き方やビジネス環境が変化し続ける現代において、ゼロトラストセキュリティへの移行は、事業を安全に成長させるための不可欠な経営投資と言えます。