2024年、企業へのサイバー攻撃が深刻化しています。東京商工リサーチの調査によると、上場企業とその子会社で公表された個人情報の漏洩・紛失事故は189件と過去最多を記録しました（参考：東京商工リサーチ）。また、日本ネットワークセキュリティ協会（JNSA）の調査では、中小企業でも数千万円単位の損失を抱える可能性があることが明らかになっています（参考：JNSA インシデント損害額調査レポート）。

 

「社内ネットワークなら安全」という従来の考え方が、リモートワークとクラウド時代には通用しません。多くの企業が「セキュリティ対策はちゃんとやっている」と思っていても、被害は止まらないのが現実です。

 

そこで注目されているのが「ゼロトラストセキュリティ」。2010年にForrester Research社のJohn Kindervag氏が提唱したセキュリティ思想ですが、Google、Microsoft、Amazonが実装し、2021年には米国政府が政府機関への導入を義務化したことで、急速に普及が進んでいます。

 

この考え方の本質と、なぜ今必要なのかを分かりやすく解説します。

第1章：ゼロトラストセキュリティとは何か

1-1. 基本概念：「何も信頼しない」の真意

ゼロトラストセキュリティは、「Never Trust, Always Verify（信頼せず、常に検証する）」を基本原則とするセキュリティの考え方です。

身近な例で考えてみましょう。銀行ATMを利用する際、私たちは以下の手順を踏みます：

 

• カード（持っているもの）を挿入
• 暗証番号（知っているもの）を入力
• 取引限度額で権限を制限
• 監視カメラで行動を記録

これらの複数要素で安全性を確保しているのが、ゼロトラストの基本的な考え方です。単一の要素（カードだけ、暗証番号だけ）では取引できません。

1-2. 従来の境界防御との決定的な違い

境界防御（従来の方式）

従来のセキュリティ対策は、ネットワークの境界で内側と外側を明確に分け、外部からの脅威を防ぐことに重点を置いていました。基本思想は「内側は安全、外側は危険」で、以下の特徴があります：

• ファイアウォールで境界を作り、内部を保護
• IPアドレスで「どこから」アクセスしているかを判断
• 境界を越えれば内部では比較的自由に行動可能
• 「社内ネットワーク = 信頼できる」という前提

 

私たちオプスインでも、従来の境界防御を強化したセキュリティ対策を実施しています：

 

✓ ホワイトリストによるアクセス制御（許可されたもの以外は全て拒否） 

✓ 信頼できるネットワークからのアクセスを必須 

✓ サーバ認証時・認証失敗時のアラート機能（プロジェクトによる） 

✓ WAF・IDSの導入による不正アクセス対策

ゼロトラスト

ゼロトラストでは、ネットワークの場所に関係なく、すべてのアクセスを疑い、毎回検証します：

• 内部・外部を問わず、すべてのアクセスを検証
• 複数条件をすべて満たす必要がある（AND条件）
• 最小権限の原則で必要最小限のアクセスのみ許可
• 継続的な監視と動的な権限制御

私たちオプスインでも、以下のようなゼロトラスト的な取り組みを実施しています：

 

✓ AWS環境でのIAM + MFA（多要素認証）

 ✓ データの暗号化 

✓ 継続的なモニタリング

 

弊社は以前から上記の取り組みを行っており、最近になってゼロトラストという言葉で注目されるようになりました。

 

1-3. 具体的な制御の仕組み

ゼロトラストの最も重要な特徴は、複数の条件をすべて満たさないとアクセスできないことです。

 

従来のIPアドレス制御（単一条件）

 

社内IP（192.168.x.x）→ アクセス許可

外部IP → アクセス拒否

ゼロトラストの複数条件制御

正しいユーザー ✓ AND

正しい端末 ✓ AND  

正しい時間 ✓ AND

正しい場所 ✓ AND

正しい権限 ✓ AND

正常な行動パターン ✓

→ 初めてアクセス許可

 

営業担当者が顧客データにアクセスする場面を例に見てみましょう。

従来方式（境界防御）

社内LAN → 顧客データベースへ全アクセス可能

外部 → アクセス拒否

ゼロトラスト方式

営業部田中さん + 登録端末 + 平日9-17時 + 営業部エリア + 担当顧客のみ

→ 該当顧客データの閲覧のみ許可

 

同じ営業部田中さんでも：

– 未登録端末からのアクセス → 拒否

– 担当外顧客データへのアクセス → 拒否

– 深夜時間帯のアクセス → 制限付き許可

– 異常な大量データダウンロード → 一時停止

このように、条件が一つでも欠けるとアクセスが拒否されるのがゼロトラストの特徴です。

1-4. ゼロトラストの歴史的背景

ゼロトラストは実は新しい概念ではありません：

 

2009年：GoogleがBeyondCorpとして先行実装

2010年：Forrester Research社のJohn Kindervag氏が「Zero Trust」として概念を提唱

2021年：米国バイデン大統領令で政府機関への導入義務化

2024年：企業での本格普及期

つまり、15年かけて「理想」から「現実的な選択肢」に変化してきたのがゼロトラストです。

 

第2章：なぜ「社内なら安全」が通用しなくなったのか

2-1. 岡山県精神科医療センター事例の詳細分析

2024年5月、岡山県精神科医療センターがランサムウェア攻撃を受け、患者情報約4万人分が流出する事案が発生しました。この事案の詳細な調査報告書（参考：岡山県精神科医療センターによる調査報告書）を分析すると、基本的な対策不備の実態が明らかになります。

技術的な問題

• VPN装置を2018年設置以降、一度もアップデートせず（脆弱性放置）
• オフラインバックアップが機能せず
• ログ設定が初期設定のまま、証拠が残らない状態

運用・ガバナンスの欠如

• 全システムで「administrator/P@ssw0rd」というパスワードを使い回し
• 全ユーザーに管理者権限を付与
• VPN接続に世界中からアクセス可能（IPアドレス制限なし）
• 「閉域網だから安全」という過信
• ベンダー任せで病院側の管理体制が不十分
• セキュリティ規程や管理台帳の未整備
• 定期的なセキュリティ教育の未実施

2-2. 岡山事例から学ぶ教訓

岡山県精神科医療センターの事案は、多くの企業が陥りがちな問題を浮き彫りにしています。

「基本的な対策の軽視」が最大のリスク

同病院では、高度な攻撃手法ではなく、基本的なセキュリティ対策の不備が原因で被害が発生しました：

• 推測容易なパスワードの使い回し
• 6年間放置されたシステムの脆弱性
• 全員に管理者権限を付与する危険な運用

これらは「やり方がわからない」問題ではなく、「やる仕組みがない」ことが原因でした。

 

「閉域網過信」の危険性

「院内LANだから安全」という思い込みが、セキュリティ対策の先送りを招きました。しかし実際には：

• VPN経由で外部からアクセス可能な状態
• 一度侵入されると内部では無制限にアクセス可能
• バックアップやログ管理などの基本対策も不十分

この「境界内部は安全」という前提が、現代では通用しないことが明確に示されています。

 

組織的対応の重要性

 

技術的な問題以上に、組織としての対応に課題がありました：

 

• セキュリティ責任者や体制の不在
• ベンダー任せで自社の管理責任が曖昧
• 過去の類似事例からの学習不足
• 定期的な見直しや評価の仕組みがない
• 私たちへの教訓

 

ホワイトリスト制御や認証監視、WAF・IDS導入などの対策を実施している企業でも、以下の点を継続的に見直す必要があります：

 

• パスワード管理やアクセス権限の定期的な見直し
• システムアップデートの確実な実施
• 全社的なセキュリティガバナンスの強化
• インシデント対応体制の整備

 

岡山の事例は、「どんな企業でも起こりうる」現実的な脅威を示しており、技術的対策だけでなく、組織全体でのセキュリティ意識改革の必要性を教えてくれています。

第3章：ゼロトラストの実装方法

3-1. 具体的な実装例

営業部門での顧客データアクセス制御

従来方式：

社内LAN → 顧客データベース全アクセス可能

外部 → VPN経由でアクセス

 

ゼロトラスト方式：

営業部田中さん + 登録端末 + 勤務時間 + 担当顧客のみ

→ 該当顧客データの閲覧権限のみ付与

 

アクセス条件：

✓ 正しいユーザー認証（MFA必須）

✓ 登録済み端末からのアクセス

✓ 業務時間内（平日9-18時）

✓ 担当エリアの顧客データのみ

✓ 通常の操作パターン（大量ダウンロード等は制限）

リモートワーク環境でのシステムアクセス

在宅勤務の佐藤さんがシステムにアクセス：

 

第1段階：身元確認

– ユーザーID + パスワード + MFA

 

第2段階：端末確認  

– 会社支給端末 + 最新セキュリティパッチ適用済み

 

第3段階：ネットワーク確認

– 自宅WiFi（事前登録済み）+ VPN接続

 

第4段階：アクセス権限確認

– 経理部門 + 月次処理権限 + 特定ファイルのみ

 

第5段階：継続監視

– 操作ログ記録 + 異常パターン検知

3-2. AWS環境での実装

私たちオプスインでも実施しているAWS環境では、ゼロトラスト的な制御が比較的実装しやすくなっています：

IAM（Identity and Access Management）活用

✓ ユーザーごとの細かなアクセス権限設定
✓ リソース単位での権限制御
✓ 一時的なアクセス権限付与（AssumeRole）
✓ アクセスキーのローテーション

MFA（多要素認証）の強制

✓ 管理コンソールアクセス時のMFA必須

✓ 重要な操作時の追加認証

✓ デバイス登録による端末制限

監視・ログ機能

✓ CloudTrailによるAPI操作の全記録
✓ CloudWatch による異常検知
✓ Config による設定変更の追跡
✓ GuardDuty による脅威検知

3-3. 業務効率との両立

ゼロトラストの実装で重要なのは、セキュリティ強化と業務効率のバランスです。

利便性を保つ設計原則

✓ シングルサインオン（SSO）の活用
✓ 定期的なアクセスは自動承認
✓ 段階的な権限付与
✓ 緊急時のバイパス機能

ユーザー体験の改善

✓ 透明性のあるセキュリティ（ユーザーが意識しない制御）
✓ 明確なエラーメッセージとガイダンス
✓ 継続的なユーザー教育
✓ フィードバック収集と改善

3-4. 現実的な移行計画

3年間での段階的移行例

1年目：基盤整備
– 現状のセキュリティ評価
– 重要システムの特定
– 基本的な認証強化

2年目：部分実装
– 重要システムへのゼロトラスト適用
– 監視体制の構築
– スタッフ教育の実施

3年目：全面展開
– 残りシステムへの拡大
– 運用の最適化
– 継続的改善体制の確立

 

まとめ

ゼロトラストセキュリティは、従来の「社内なら安全」という境界防御から、「毎回きちんと確認する」複数条件制御への転換が本質です。IPアドレスという単一条件ではなく、ユーザー・端末・時間・場所・権限・行動パターンなど、複数の要素を組み合わせてアクセスを制御します。

ゼロトラストは一度に全てを実装する必要はありません。現状評価から始まり、重要システムへの部分実装、段階的拡大という現実的なアプローチが効果的です。完璧を目指すより、継続的な改善を重視することが、デジタル時代における企業のセキュリティ戦略として重要となります。