なぜ今の企業には「ゼロトラスト」が必要なのか 基本から徹底解説：最新の脅威とゼロトラストの全貌【第1回】

巧妙化、複雑化するサイバー攻撃に対抗するため、「ゼロトラスト」という考え方が注目を集めています。本連載ではゼロトラストの基本からセキュリティおよびビジネスへのメリットなどを紹介します。

[大野智史, 大久保敦史, 佐山明人，NTTPCコミュニケーションズ]

　近年、セキュリティ対策において「ゼロトラスト」という言葉をよく耳にするようになりました。ゼロトラストは何も信用しないことを前提としたセキュリティ対策の考え方やポリシーです。2018年に米国国立標準技術研究所（NIST）がガイドライン「NIST SP 800-207　Zero Trust Architecture」を発表したことで、ゼロトラストの標準化が進みました。日本でもデジタル庁やIPA（情報処理推進機構）などがゼロトラスト導入を推進するようになり、企業の間でも導入が進んでいます。ゼロトラストの概念や構成要素から、企業における導入が進む背景までを解説します。

ゼロトラストのセキュリティ対策とは何か

併せて読みたいお薦め記事

ゼロトラスト移行のヒント

• 「VPN」をやめて「SDP」や「SASE」に移行すべき4つの条件
• “パスワードのいらない世界”実現に「ゼロトラスト」「行動生体認証」が役立つ理由

　ゼロトラストの概念は「決して信用せず、常に検証せよ」（Never Trust, Always Verify）を原則とします。ゼロトラストは概念であり、ゼロトラストの考え方によるセキュリティ対策はゼロトラストモデル、もしくはゼロトラストセキュリティモデルと呼ばれます。

　近年、国内企業におけるゼロトラスト導入が一気に進み始めています。自動車業界や医療業界などの業界団体のセキュリティガイドラインでもゼロトラストが採用されています。

　ゼロトラストに対し、従来のセキュリティ対策は境界型防御モデルと呼ばれます。境界型防御モデルは、社内ネットワークとその外部環境を境界で分離し、社内ネットワークを信頼領域とする考え方です。

　社内ネットワークを安全に保つために外部からの脅威を境界で防ぎます。一方、ゼロトラストは境界をなくす考え方です。PCやモバイルデバイスといったエンドポイントやサーバなど、デバイス単位やユーザー単位でセキュリティを確保するわけです。

　ゼロトラストでは、社内ネットワークの内部も信頼できないものと考え、全てのアクセスを検証します。リソースへのアクセスがあった際にはアクセス元となるユーザーだけでなく、ソフトウェアやデバイス、ネットワークも含めて検証し、アクセスを許可する際には最小の権限を付与します（図1）。

図1　従来の境界型セキュリティとゼロトラストセキュリティ《クリックで拡大》

　ゼロトラストの概念に基づき、NIST SP 800-207などのガイドラインに基づいて設計された製品やサービスは「ゼロトラストソリューション」と呼ばれます。ゼロトラストソリューションには一般的に、最小権限のアクセスなどゼロトラストの原則を実装するための機能が備わっています。そのため、ゼロトラストを実現するためにはこうしたソリューションを組み合わせることが近道となるでしょう。

従来の境界型セキュリティとゼロトラストセキュリティ

　ゼロトラストと親和性の高いネットワークとセキュリティのフレームワークが、2019年に調査会社Gartnerが定義した「SASE」（Secure Access Service Edge）です。SASEはネットワーク機能とセキュリティ機能を提供するフレームワークであり、その全ての機能がクラウドサービスで提供されます。なお、SASEのセキュリティ部分は「SSE」（Security Service Edge）と呼ばれます。

　SASEの主なネットワークの構成要素は次の通りです。

• SD-WAN（ソフトウェア定義WAN）
  • ソフトウェアによってWANを動的に制御します。
• ゼロトラストネットワークアクセス（ZTNA）
  • アプリケーション単位でのアクセス制御や可視化を実現します。

　セキュリティ機能は次の通りです。

• 「CASB」（クラウドアクセスセキュリティブローカー）
  • エンドユーザーのクラウドサービス利用時のアクセスを制御したり可視化したりします。
• アンチマルウェアを含むセキュアWebゲートウェイ（SWG）
• DNS（ドメインネームシステム）セキュリティ
  • DNSシステムは、数字や文字の集合であるIPアドレスを人間に分かりやすいドメイン名に変換します。
  • DNSシステムを保護したり、有害なWebサイトへのアクセスを検知してブロックしたりする仕組みです。

複雑化するセキュリティリスク

コロナ禍をきっかけに進んだ働く環境の変化

　ゼロトラストの考え方によるセキュリティ対策が求められている背景にある要素として、企業ネットワークの変化とサイバー攻撃の巧妙化、複雑化が挙げられます。以前はほぼ全てのデバイスが社内ネットワークの中にあり、境界型防御モデルで守られていました。それが新型コロナウイルス感染症（COVID-19）のパンデミック（世界的流行）を機に変化しました。

　緊急事態宣言や感染拡大防止のための外出自粛などにより、かつてない規模でのテレワークが実施されるようになりました。この働く環境の変化がサイバー脅威にも変化をもたらしました。コロナ禍が終わり、現在はオフィス回帰の動きが強くなっていますが、働き方の多様化は進み、テレワークとオフィスワークを併用するハイブリッドワークが当たり前になっています。

　全社レベルでのテレワーク時には、全社員が同時にリモートアクセスする際に通信回線が逼迫（ひっぱく）するなどの問題が発生し、VPN（仮想プライベートネットワーク）装置の脆弱（ぜいじゃく）性対策が後回しになってしまうケースも散見されました。サイバー攻撃者たちはそこに目をつけ、VPN装置などの脆弱性を悪用して企業に不正アクセスする攻撃が増加することとなりました。

ランサムウェアの脅威

　ランサムウェア（身代金要求型マルウェア）によるサイバー攻撃は2024年に日本企業に深刻な被害を与えた脅威です。

　かなりの件数の被害事例が発生しており、多くの企業が深刻な被害に遭っています。IPAの「セキュリティ10大脅威」においても10年連続でランクインしており、2021年から2025年の間は連続で1位に位置しています。

　最近では、データを暗号化して身代金を要求するだけでなく、窃取情報を利用してさまざまな脅迫が行われています。業務停止だけでなく、顧客からの信頼低下を脅迫のネタに利用する「多重脅迫」の手口も常とう手段となっています。実際に身代金を支払っても、データを復元できなかった企業も珍しくありません（図2）。

図2　ランサムウェアによる被害状況（出典：警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」よりNTTPCコミュニケーションズ作成）《クリックで拡大》

　ランサムウェアの使われ方も変化しています。以前は一般的なマルウェアと同様に、メールの添付ファイルやメール本文のリンクのクリックで感染させていましたが、現在は他の攻撃と組み合わせるケースが増えています。例えば、脆弱性を悪用して企業ネットワークに不正侵入し、重要なデータを盗み出した後にランサムウェアを配置するケースが増加傾向にあります。

　現在のサイバー攻撃は主に金銭目的であるため、企業が持つ重要情報や個人情報が標的となります。サイバー攻撃者はメールや脆弱性をきっかけに企業内に侵入し、外部からマルウェアに指示を送り重要な情報を盗み出します。その際には、Microsoftの「Active Directory」（AD）といったID・アクセス管理システムのドメインコントローラー（認証サーバ）にアクセスし、自身の権限を昇格させます。従来はAPT（高度標的型攻撃）で使われていた手法であり、それが一般化しているのです。

フィッシング

　最近、深刻な脅威となっているのがフィッシング攻撃です。フィッシング攻撃は主にメールを使うもので、正規のサービスや企業を装ってメールの本文に記載されたリンクからログインを促します。しかしリンク先はフィッシングサイトであり、そこに入力したIDとパスワードを盗まれてしまいます。サイバー攻撃者はそのログイン情報を使って本人になりすましてログインします。

　フィッシング攻撃はEC（電子商取引）サイトや証券会社、銀行、クレジットカード会社、決済サービスなどを利用する一般ユーザーを標的としていますが、オフィススイートの「Microsoft 365」や「Google Workspace」などを利用する企業ユーザーを標的としたフィッシング攻撃も珍しくありません。これらのログイン情報を盗まれてしまうと、企業で使用しているメールはもちろん、業務用のファイルや連絡先、タスク、ミーティングなどにもアクセスされてしまい、深刻な被害につながる可能性があります。

　最近のフィッシング攻撃は、サイバー攻撃者が生成AI（人工知能）によって違和感のない自然な日本語の文章を書けるようになっています。これまではサイバー攻撃者にとって日本語が障壁となっていましたが、生成AIによってその障壁が取り除かれた形となり、2024年から日本へのフィッシング攻撃が急増しています。

　数年前に流行し、政府機関などから注意喚起が発表されたマルウェア「Emotet」も、フィッシングの手法を使用していました。メールの件名や本文は他の攻撃で入手したものを流用し、添付ファイルや本文のリンクからダウンロードされる「Microsoft Office」ファイルのマクロ（アプリケーション自動操作機能）にマルウェアを仕込んでいました。実際にやり取りされたメールを使うため違和感がなく、だまされやすい点では現在のフィッシングメールと共通します。

　サイバー攻撃者は積極的に日本を標的に攻撃しており、その手法は複雑化、巧妙化しています。特に狙われているのはシステムの脆弱性と人の脆弱性であり、検知が難しい攻撃であることが特徴となっています。このように高度化する脅威に対処するため、従来の境界型セキュリティから脱却したゼロトラストへの移行が望まれています。

---

　次回は、従来のセキュリティ対策の限界と、それを克服する上でのゼロトラストの有用性について解説します。

執筆者紹介

大野智史　NTTPCコミュニケーションズ

約20年間VPNサービスの企画に従事し、IPoEを活用した先進的なベストエフォートVPNや他社に先駆けたクラウド型セキュリティ、国産SD-WANの立ち上げを推進。NTTPCの運用ノウハウをAI化し、ユーザーの運用をサポートする新規事業の立ち上げにまい進中。

大久保 敦史　NTTPCコミュニケーションズ

フロントSEとして、ネットワーク、サーバを含んだ大規模システム開発プロジェクトを経験。その後、サービス企画担当として、新ブランドの立ち上げに加え、クラウド、セキュリティ分野での新サービス立ち上げに取り組み、新規事業拡大を実現させた。

佐山明人　NTTPCコミュニケーションズ

法人向けモバイル、インターネットサービスのプロダクト企画を経て、ゼロトラストサービスのプロダクトマーケティングを担当。デファクトになりつつあるが、導入ハードルが高いと思われがちなゼロトラストを、分かりやすく企業への現実的な導入ステップを広めていくことに奮闘している。