ページの作成
親となるページを選択してください。
親ページに紐づくページを子ページといいます。
例: 親=スポーツ, 子1=サッカー, 子2=野球
子ページを親ページとして更に子ページを作成することも可能です。
例: 親=サッカー, 子=サッカーのルール
親ページはいつでも変更することが可能なのでとりあえず作ってみましょう!
| この記事の要点 |
|
概要
ゼロトラスト(Zero Trust)は、「何も信用しない(Never Trust, Always Verify)」を出発点とするセキュリティの設計思想です。従来の防御は、ファイアウォールで社内ネットワークの「境界」を守り、「境界の内側(社内 LAN)は安全、外側は危険」という前提に立っていました(境界防御モデル)。しかしクラウド利用やリモートワークが当たり前になり、攻撃者が一度内部に侵入すれば自由に動き回れるこのモデルの限界が明らかになりました。ゼロトラストは「社内・社外」という区別をやめ、すべてのアクセスを信用せず、その都度検証するという発想に転換します。
仕組み
境界防御の問題点は明快です。VPN や ファイアウォールで「中に入れた人」を信用してしまうと、認証情報を盗まれて侵入された場合や、内部の端末がマルウェアに感染した場合に、攻撃者が内部を横方向に動き回る(ラテラルムーブメント)のを止められません。城壁(境界)さえ越えられれば、城内は無防備だったのです。
ゼロトラストはこれを次の原則で克服します。
- 常時検証:ネットワークの位置(社内/社外)を信用の根拠にしない。アクセスのたびに、ユーザー・端末・コンテキストを認証・認可する
- 最小権限:各ユーザー・サービスには、必要なリソースへの最小限のアクセスのみ与える
- 侵害前提(Assume Breach):「すでに侵入されているかもしれない」と考え、被害の封じ込めを重視する
これを技術的に支えるのがマイクロセグメンテーションです。従来の大きなネットワークセグメントを、リソースやワークロード単位で細かく区切り、それぞれの間の通信を個別に制御します。これにより、仮に 1 つのセグメントが侵害されても、被害がそこに封じ込められ、横展開を防げます。個々の通信は TLS や mTLS で暗号化・相互認証されます。
実践例として有名なのが Google の BeyondCorp です。社内ネットワークという特別な信頼領域をなくし、すべてのアクセスをインターネット経由の業務アプリと同等に扱い、端末の状態とユーザー認証だけを根拠にアクセスを許可します。これにより「VPN を張る」という概念そのものを置き換えました。このアプローチは ZTNA(Zero Trust Network Access) として製品化されています。
近年は SASE(Secure Access Service Edge) という枠組みも登場しました。ネットワーク機能(SD-WAN 等)とセキュリティ機能(ZTNA・クラウド型ファイアウォール・Web フィルタ)をクラウド上で統合提供し、どこからアクセスしても一貫したゼロトラストのポリシーを適用できるようにするものです。
設定・実用例
ゼロトラストは製品・思想であり 1 コマンドでは実現しませんが、考え方を反映した設定の例を示します。たとえば Kubernetes の NetworkPolicy で「デフォルト全拒否」とし、必要な通信だけを明示的に許可するのはマイクロセグメンテーションの実践です。
# すべての Pod 間通信をデフォルトで拒否する NetworkPolicy
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector: {} # 全 Pod が対象
policyTypes:
- Ingress
- Egress
# この上に「frontend から backend の 8080 だけ許可」など
# 個別の許可ルールを最小権限で追加していくこのように「まず全拒否、必要なものだけ許可」を各リソースの粒度で徹底することが、ゼロトラスト的なネットワーク設計の出発点になります。
主な用途
- リモートワーク基盤:VPN に依存せず、どこからでも安全に業務アプリへアクセス
- クラウド/マルチクラウド:境界が曖昧な環境でのアクセス制御
- 内部不正・横展開対策:マイクロセグメンテーションで被害を局所化
- M&A・委託先連携:信頼できないネットワークとの安全な接続
比較テーブル
| 観点 | 境界防御モデル | ゼロトラスト |
|---|---|---|
| 信頼の前提 | 社内は信用、社外は危険 | 社内外を問わず信用しない |
| 認証のタイミング | 入口で 1 回 | アクセスのたび(常時検証) |
| 侵入後の挙動 | 横展開しやすい | セグメントに封じ込め |
| 権限 | 広めに付与しがち | 最小権限 |
| 代表例 | 従来 VPN・FW | BeyondCorp・ZTNA・SASE |
注意点
- 一夜にして移行できない。既存の境界防御を残しつつ段階的に導入するのが現実的
- 認証・認可の基盤(IDaaS・端末管理)が前提。これらが弱いとゼロトラストは成立しない
- 「製品を買えばゼロトラスト」ではない。あくまで設計思想であり、運用設計が肝心
- 常時検証はユーザー体験を損ねうる。リスクに応じた認証強度(リスクベース認証)で調整する
関連リンク
ページの作成
親となるページを選択してください。
親ページに紐づくページを子ページといいます。
例: 親=スポーツ, 子1=サッカー, 子2=野球
子ページを親ページとして更に子ページを作成することも可能です。
例: 親=サッカー, 子=サッカーのルール
親ページはいつでも変更することが可能なのでとりあえず作ってみましょう!
子ページはありません
- TLS/SSLの仕組み
- 証明書と認証局(CA)
- ファイアウォール
- iptables/nftables
- VPN
- IPsec
- WireGuard
- ゼロトラストネットワーク
人気ページ
- 1 Eclipseで「サーバーに追加または除去できるリソースがありません。」の原因と対処法
- 2 tomcat の起動 / 停止ログと catalina.log・catalina.out の違い
- 3 JavaScript base URL 取得方法|window.location.origin と SSR/Node.js 対応
- 4 YouTube Data API v3 エラー一覧|403/400/404 の主要原因と切り分け
- 5 Spring Frameworkのアノテーション一覧
- 6 Laravel エラー一覧|500/Blade/DB 接続/ルーティングの代表エラー
- 7 3Dグラフィックスとは|モデリング/レンダリング/主要ソフトウェア (Blender / Maya)
- 8 【Spring】@Valueアノテーションとは
- 9 CATALINA_HOME の確認方法 (Linux / Mac)
- 10 【Spring】@Autowiredアノテーションとは
最近更新/作成されたページ
- IPv6とは|128bitアドレス・コロン16進表記/::省略・リンクローカル・SLAAC・デュアルスタック NEW 2026-06-22 12:34:44
- MAC アドレスフィルタリングの仕組みと限界 | ネットワーク入門 NEW 2026-06-22 12:19:10
- VPNとは|暗号トンネル・サイト間/リモートアクセス・IPsec/SSL-VPN/WireGuardを解説 NEW 2026-06-22 12:19:10
- Web通信プロトコル入門 HTTP/2・HTTP/3・WebSocket・gRPC・WebRTC | ネットワーク入門 NEW 2026-06-22 12:17:25
- WebRTC とは ブラウザ間 P2P の音声・映像・データ通信 | ネットワーク入門 NEW 2026-06-22 12:17:25
- HTTP/2 とは 多重化・HPACK・バイナリフレーム | ネットワーク入門 NEW 2026-06-22 12:17:25
- HTTP/3 (QUIC) とは UDP ベースの低遅延 Web 通信 | ネットワーク入門 NEW 2026-06-22 12:17:25
- WebSocket とは 全二重リアルタイム通信 ws/wss | ネットワーク入門 NEW 2026-06-22 12:17:25
- gRPC とは HTTP/2 + Protocol Buffers の高速 RPC | ネットワーク入門 NEW 2026-06-22 12:17:25
- ファイアウォールとは|パケットフィルタ・ステートフル・DMZ・次世代FW(L4/L7)を解説 NEW 2026-06-22 12:17:24
- TLS/SSLの仕組み|ハンドシェイク・暗号スイート・前方秘匿性・証明書検証をわかりやすく解説 NEW 2026-06-22 12:17:24
- CDN とは エッジキャッシュ・TTL・Cloudflare/CloudFront | ネットワーク入門 NEW 2026-06-22 12:17:24
- iptables/nftablesとは|テーブル・チェーン・ルール例・永続化をLinux視点で解説 NEW 2026-06-22 12:17:24
- HAProxy とは frontend/backend と設定例 | ネットワーク入門 NEW 2026-06-22 12:17:24
- 証明書と認証局(CA)とは|X.509・信頼チェーン・DV/OV/EV・失効(CRL/OCSP)を解説 NEW 2026-06-22 12:17:24
コメントを削除してもよろしいでしょうか?