ゼロトラスト・ネットワーク・アクセスをめぐる神話・誤解・思い込みは尽きません。その落とし穴を回避する方法をご紹介します。
ゼロトラストは生まれて15年が経ちます。多くのティーンエイジャーと同様、誤解され、正当に評価されていないと感じることがあります。
ゼロトラストの概念は、当時フォレスターのアナリストだったジョン・キンダーヴァグ氏によって初めて定義されました。時代遅れとなったペリメーター型セキュリティモデルを、「決して信頼せず、常に検証する」というアプローチに置き換える戦略として提唱されたものです。しかし、原則を実践に移すのは容易ではありません。
アクセンチュアの報告によれば、組織の88%がゼロトラストの導入において重大な課題に直面しています。ガートナーが最近実施した調査では、ゼロトラスト施策への取り組みを試みた、あるいは部分的に試みたと回答した人の35%が、組織に悪影響を及ぼす失敗を経験しています。「ガートナーは、戦略的かつ測定可能な計画を持たないエンドユーザーの間で、ゼロトラスト施策が失敗に終わるケースを数多く目にしてきた」と同レポートは述べています。
昨年のDefCon 33カンファレンスでは、英国のセキュリティ研究者グループAmberWolfが、3つのベンダーのゼロトラスト・ネットワーク・アクセス(ZTNA)製品に潜在的な脆弱性を発見し、ゼロトラストの欠点を浮き彫りにしました。「ZTNAに魔法の豆などない。新しいテクノロジースタック向けに焼き直された、従来と同じバグのクラスが存在するだけだ」とAmberWolfの研究者リチャード・ウォーレン氏は語っています。「ゼロトラストというより、私たちはデータを安全に処理することをベンダーに全面的に委ねているのが実情だ。」
BeyondTrustの著者・チーフセキュリティアドバイザーであるモーリー・ハーバー氏は、2026年におけるゼロトラストの現状をこう総括しています。「皆が同意していること:ゼロトラストは必要だ。しかし、実装が難しい。」ハーバー氏は、ゼロトラストが失敗しているのか単に誤解されているのかをテーマにした『Today in Tech』のエピソードの中で、意図と実行のギャップを「非常に大きい」と表現しています。「何を読もうと、どのフレームワークに従おうと関係ない」とハーバー氏はポッドキャストで語っています。「根本的な問題は、原則や信条を持つ概念はあるものの、実装方法に関する十分なガイダンスが存在しないことだ。」
以下では、ゼロトラストにまつわる神話や誤解を整理し、落とし穴を回避してゼロトラストを成功裏に導入するためのヒントをご紹介します。
神話:ゼロトラストは製品である
15年が経過した今もなお、ゼロトラストとは何かについての混乱は根強く残っています。戦略、哲学、概念、マインドセット、アーキテクチャなど、多様な定義で語られているのが現状です。
自らをDrZeroTrustと称するチェイス・カニンガム氏はこう述べています。「セキュリティは製品ではなく、戦略・プロセス・実行の組み合わせだ。ゼロトラストは単なるアーキテクチャではなく、マインドセットだ。ゼロトラスト製品などというものは存在しない。断言する。」
ハーバー氏も同意見です。「『ゼロトラスト』製品を販売していると主張するベンダーがいますが、それは誤解を招く表現です。ゼロトラスト製品というものは存在しません。製品はセキュリティ制御を実装しますが、ゼロトラストの原則を体現するものではありません。」
同氏はこう警告します。「ベンダーが『このリモートアクセスソリューションはゼロトラストの原則を実現する』と言うのはけっこうですが、必要な制御の10〜15%以上を実現している製品はまだ見たことがありません。」
ガートナーはこう付け加えています。「ゼロトラストの概念は、ネットワーク、アプリケーション、および関連データに関するアクセスリスクを軽減するために組織が採用するセキュリティアプローチです。これはしばしばベンダーのマーケティングによって霞んでしまいます。ベンダーは高い期待を掲げる傾向がありますが、結果は最適とは言えないことが多いのです。」
神話:ゼロトラストはテクノロジーである
ジョージ・フィニー氏は、テキサス大学のCISOでゼロトラストに関する2冊の書籍の著者です。同氏は『Network World』の取材に対し、ゼロトラストはテクノロジーではないと語っています。つまり、攻撃者のラテラルムーブメントを阻止するためのマイクロセグメンテーションでも、企業リソースへのアクセスを管理するポリシーベースのアイデンティティ管理でもないということです。これらはゼロトラストの実装を支援するツールや戦術にすぎません。
フィニー氏によれば、ゼロトラストの本質はリスクに対する思考様式であり、セキュリティチーム、ネットワーキンググループ、ビジネスユニット、コンプライアンス、リスク管理機能の間にある縦割りの壁を壊すことが求められます。
キンダーヴァグ氏が定義するゼロトラストの第一の柱は、組織内で最も優先度の高い「保護サーフェス」を特定することです。キンダーヴァグ氏は、組織が「最重要資産(クラウンジュエル)」を明確に把握していなければ、ゼロトラストプロジェクトは成功しえないと述べています。また、IT部門は必ずしもそれらの高価値な保護サーフェスを把握していないが、ビジネスリーダーは把握しているとも指摘しており、ゼロトラストの取り組みはそこから始めるべきだとしています。
ゼロトラストの第二の柱は、これらのミッションクリティカルな保護サーフェスに関連するトランザクションフローをマッピングすることです。これもまた、主要な企業アプリケーションを運用するチームとの調整と連携が必要です。特定のビジネスプロセスがオンプレミス、エッジ、クラウド、コンテナ、マイクロサービスなどにまたがる可能性がある今日のマルチクラウド環境では、これが特に重要です。
「突き詰めれば、難しくしているのはテクノロジーの問題ではありません」とフィニー氏は言います。人の問題、文化の問題、そして政治の問題なのです。同氏は、エンドポイント、リモートユーザー、IoTデバイス、LLM、AIエージェントなど、あらゆる攻撃サーフェスにわたって機密データを保護することを、組織が総合的に考えることを推奨しています。
ガートナーはこう付け加えています。「製品やテクノロジーに焦点を当てた取り組みではなく、組織全体の目標と優先事項によって導かれる方法論です。」
神話:ゼロトラストは高コスト
フィニー氏は、ゼロトラストは必ずしも多大なコストを要するものではないと述べています。「多くの人がコストがかかりすぎると考えていますが、そんなことはない」と同氏は付け加えます。以下は、何も購入せずに実現できるゼロトラストへの道における重要なステップです。
高価値な保護サーフェスの特定。攻撃者の思考で考え、攻撃者が価値あると判断する可能性が最も高い資産を特定することが必要です。フィニー氏は「特定の保護サーフェスにおいて、信頼関係を排除するためにすべて連携して機能しなければならない複数の制御が存在する場合がある」と付け加えています。
ゼロトラストチームの結成。フィニー氏によれば、ほとんどの組織にはすでにガバナンス、リスク管理、コンプライアンスのチームがあり、セキュリティグループやネットワーキンググループを含む包括的なゼロトラストタスクフォースに参加させることができます。ガートナーは「ゼロトラスト戦略は経営レベルで立ち上げられ、すべての部門・チームに統合されなければならない」と付け加えています。
教育。教育は非常に重要だとフィニー氏は言います。「大局を見渡す視点を持ってもらうことであり、縦割りから抜け出してもらうことです。」フィニー氏はまた、主要な課題は政治的なものであり、セキュリティを自分たちの評価指標と見なさない多くのステークホルダーを持つ分断された組織に対処しなければならないと指摘しています。たとえば、ソフトウェアのリリースに追われるアプリケーション開発者は、必ずしもプロセスにセキュリティを組み込む動機付けがされているわけではありません。
戦略の策定。「取締役会と話すと、ビジネスのあらゆる側面で成功するためには戦略が必要だということを理解しています。それはトップから共鳴するものです」とフィニー氏は述べています。
ゼロトラスト施策が失敗する理由の分析の中でガートナーは、「ビジネスと整合した戦略計画の欠如が、非効果的なガバナンス、コミュニケーション不足、不十分なリスク管理、最小限の予算配分、組織のセキュリティ目標の不十分な実行、限られたリソースの非効率な使用につながっている」と述べています。
アーキテクチャの定義:組織はそれぞれ異なるため、どこにでも適用できるテンプレート的なアーキテクチャは存在しません。組織は、ビジネスニーズ、リスク許容度、特定の業種、独自のテクノロジーインフラに合わせた固有のアーキテクチャを策定する必要があります。
ポリシーの設定と適用。アクセス制御やアイデンティティ管理のポリシーを策定することにも、費用は発生しません。
既存ツールの活用。誰もゼロから始めるわけではないという点を認識することが重要です。
ほとんどの組織には、すでに多要素認証やシングルサインオン、アイデンティティ管理、ネットワーク管理、Webアプリケーションファイアウォールなどが導入されています。重要なのは、既存のテクノロジーを統合・連携させ、新たなツールが必要な箇所のギャップを特定することです。
攻撃者は常にベンダーソフトウェアのバグを見つけられるというAmberWolfの指摘に対し、ゼロトラストの支持者たちはゼロトラストが多層防御を意味すると反論しています。つまり、攻撃者がエンドユーザーの認証情報を入手してネットワークにアクセスできるような欠陥があったとしても、インシデント検知、マイクロセグメンテーション、エンドユーザーセッションの監視、機密データへのアクセスや外部流出を防ぐ制御など、複数のセキュリティ制御が機能しているということです。
神話:ゼロトラストは導入が困難
NISTや多数の書籍、ウェビナー、ポッドキャスト、専門家、コンサルタントなどが提供する広く普及したガイダンスに従えば、ゼロトラストの導入は必ずしも困難ではありません。
フィニー氏は、小さく始めて早期に成果を示すことを勧めています。ゼロトラストは大規模な組織全体に一度に導入することはできず、的を絞った体系的な戦略が必要です。
推奨されるアプローチは、高価値な保護サーフェスから着手し、全体的なアーキテクチャをサポートするツールを、調整された・一貫した・管理された・監視された形で適用することです。
「全体戦略はさまざまな戦術を展開できます」とフィニー氏は言います。「今日、自分の組織に最も大きな影響をもたらすものは何かを考える必要があります。」同氏は、組織はログ、メトリクス、その他のデータに基づいたデータドリブンな意思決定を行う必要があり、攻撃者の行動と組織の防御における特定の脆弱性や弱点の分析を組み合わせることが重要だと述べています。
ガートナーは次のように述べています。「ゼロトラストプログラム内の施策やプロジェクトの範囲を絞ることは、現実的かつ合理的な期間内にゼロトラストの態勢を確立するために不可欠です。組織は、初期フェーズに過多なシステム、アプリケーション、ユースケース、データセットを盛り込んだり、過度に複雑・詳細なポリシーセットを提案したりすることで、将来の目標状態を拡大し過ぎてしまいます。その結果、スケーラビリティとコストの課題に直面し、プロジェクトのタイムラインが延びることになります。」
神話:AIはZTNAを破壊する
企業は生成AIの導入と半自律型AIエージェントの活用を競い合っています。ブラックボックスの大規模言語モデル(LLM)と非人間アイデンティティ(NHI)という新たな世界は、ゼロトラストが時代遅れの戦略であり、この課題に対応できないのではないかという懸念を生んでいます。
しかし、ゼロトラストの主要な提唱者たちは反論し、コアとなる原則は今も有効だと主張しています。「AIの時代において、ゼロトラストはかつてないほど重要です」とフィニー氏は言います。「ゼロトラストは戦略であり、AIが登場したからといって戦略を変えるものではありません。AIはその戦略がいかに重要かを証明しているのです。」
「AIは魔法ではありません」と同氏は続けます。「他のすべてを保護するのと同じ方法で保護します。テクノロジースタックに統合し、監視するのです。」
現在Illumioのチーフエバンジェリストであるキンダーヴァグ氏も同意見です。「AIはゼロトラストの基本原則を変えません。むしろ強化します。ゼロトラストこそが、AIを安全に取り込むための戦略です。厳格なセグメンテーション、ポリシーの適用、データフローの制御なしには、AIは悪用を待つ別の柔らかい標的になってしまいます。」そして「AIのために新しいセキュリティ戦略は必要ありません。正しい戦略を適用するだけです。それがゼロトラストです」と付け加えています。
神話:成功を測定する方法がない
取締役会や経営幹部の支持を求めるプロジェクトは、何らかの指標によって正当性を示せる必要があります。ゼロトラストも例外ではありませんが、「ハッキングされないこと」をどう測定すればよいのでしょうか?
ガートナーは、ゼロトラスト施策をビジネス目標に直結させる成果ドリブンの指標を使用すべきだと述べています。「スケジュール遵守、コスト規律、コントロールの有効性に焦点を当てることが重要です」とガートナーは言います。「セキュリティ侵害インシデントの減少、コンプライアンス遵守率の向上、運用効率の改善などの成果に注目してください。さらに、ラテラルムーブメント、データ侵害、アカウント乗っ取り、内部脅威など、価値を生み出すために不可欠な特定のリスクを特定することで、組織は投資をより適切に正当化し、継続的改善を推進できます。」
神話:ゼロトラストプロジェクトには完了期日がある
「ゼロトラストは目的地よりも旅路そのものに重きを置くものです」とフィニー氏は言います。組織は常に成長・変化し続けており、同時に攻撃者も進化していると同氏は指摘しています。「ゼロトラストは戦略です。戦略に終わりはありません」と同氏は付け加えます。
キンダーヴァグ氏が定義するゼロトラストの最後の柱は、「監視と維持」です。つまり、アクセス制御ポリシーが遵守されているかどうかを確認するために、組織は積極的に監視を行う必要があります。そして、ゼロトラストの実装は変化するビジネスニーズに遅れずに対応する必要があります。
ゼロトラストは組織に最も価値の高い保護サーフェスを最初に重視することを求めるため、ゼロトラストの傘の下に追加できる保護サーフェスは常に存在します。
フィニー氏が過去15年間の変遷を振り返ると、ツールが劇的に改善されたという事実に勇気づけられます。チームは今や、異常検知やインシデントの検知・対応といった機能にAIや機械学習を適用できます。また、ネットワーク監視やポリシー適用などのタスクを自動化する方法も生まれています。
「総じて言えば、慎重ながらも楽観的な見方をしています」とフィニー氏は語ります。「しかし、仕事はまだ終わっていません。前進し続ける必要があります。」
