ゼロトラストとは?
「誰も、何も、最初から信用しない」 というセキュリティの考え方です。
従来のセキュリティは「社内ネットワークにいる人は安全」という前提でしたが、リモートワークやクラウド利用が増えた現代では、その前提が崩れています。ゼロトラストは「社内にいても、毎回きちんと確認する」という仕組みです。
例えば:
- 会社のビルに入るたびに、IDカードを提示する(一度入ったら自由に動けない)
- コンビニのレジで「この商品を買えますか?」と毎回確認する
- 金庫を開けるたびに暗証番号を入力し直す
つまり、 ゼロトラストとは、アクセスのたびに「本人確認・安全確認」を繰り返す継続的なプロセスであり、1回設定して終わりではありません。
実装の全体像
ゼロトラストの実装は以下の 6つのフェーズ で進めます。
| フェーズ | 内容 | 主なツール |
|---|---|---|
| ① 現状評価 | 今のセキュリティの状態を把握する | Microsoft Secure Score / Purview コンプライアンス マネージャー |
| ② ID 保護 | 「誰が」アクセスするかを管理する | Microsoft Entra ID(条件付きアクセス等) |
| ③ エンドポイント管理 | 「どの端末から」アクセスするかを管理する | Microsoft Intune |
| ④ データ保護 | 「何のデータ」かを識別・保護する | Microsoft Purview |
| ⑤ 脅威監視 | 異常をリアルタイムで検知・対応する | Defender / Microsoft Sentinel |
| ⑥ ユーザー教育 | 人的ミスを減らすトレーニングを行う | セキュリティ訓練(Defender for Office 365) / Microsoft Viva Learning |
フェーズ①:現在のセキュリティ体制を評価する
まず「今、自社のセキュリティはどの程度か」を把握します。
主なツール
| ツール | 役割 | 例え |
|---|---|---|
| Microsoft Secure Score | セキュリティの強さを点数化 | 健康診断の「総合スコア」 |
| Purview コンプライアンス マネージャー | 法規制への対応状況を確認 | 法令チェックリスト |
例えば:
- Secure Scoreが「100点中45点」→ MFA(二段階認証)が有効でない、機密データが保護されていないなどが判明
- コンプライアンス マネージャーで「HIPAA(医療情報保護法)の要件を満たしているか」を確認し、対応すべき項目を特定
まず「現状の弱点」を見える化し、優先すべき対策を決めることがこのフェーズの目的です。
フェーズ②:ID保護を有効にする
「IDの保護」はゼロトラストの最初の、最も重要な柱です。誰がアクセスするかを毎回しっかり確認します。
主なツール・機能
| ツール / 機能 | 提供製品 | 内容 | 身近な例え |
|---|---|---|---|
| 条件付きアクセス ポリシー | Microsoft Entra ID | ユーザー・端末・場所・リスクに応じてアクセスを制御 | 「社外からの入館は事前申請必須」という会社のルール |
| リスクベース認証 | Microsoft Entra ID Protection | AIが異常なログインを自動検知 | クレジットカードの「不正利用検知」 |
| ID ガバナンス | Microsoft Entra ID Governance | 必要な権限だけを、必要な期間だけ付与 | プロジェクト期間中だけ発行される「臨時入館証」 |
例えば:
- 社外から SharePoint にアクセスしようとすると、MFA(追加認証)が求められる
- 東京と大阪から同時にログインがあった場合、リスク高と判定しアクセスをブロック
- 期間限定プロジェクトメンバーのアクセスは、プロジェクト終了時に自動失効
「正しい人が、正しい条件で」アクセスしているかを常時チェックするのがこのフェーズの役割です。
フェーズ③:エンドポイントコンプライアンスを適用する
「端末(エンドポイント)」が安全かどうかも確認します。たとえ本人であっても、ウイルスに感染したPCからのアクセスは危険です。
「エンドポイント」とは? → 社員が使うPC・スマートフォン・タブレットなどの端末
主なツール・機能
| ツール / 機能 | 提供製品 | 内容 | 身近な例え |
|---|---|---|---|
| エンドポイント コンプライアンス ポリシー | Microsoft Intune | 端末が安全な状態かをチェックし、違反端末はブロック | 車検に通っていない車は公道を走れない |
| アプリ保護ポリシー | Microsoft Intune | アプリレベルでデータを暗号化・制限(個人端末にも対応) | 個人のスマホでも「会社メール」は会社ルールで管理 |
| Endpoint Analytics | Microsoft Intune | 端末のパフォーマンスや問題を分析し、リスクを特定 | 工場の設備点検レポート |
例えば:
- BitLocker(暗号化)が有効でないPCは、OneDriveへのアクセスを自動拒否
- 個人のiPhoneのOutlookアプリでも、会社メールはコピー禁止・PIN必須に設定
- 起動が遅いPCを分析し、古いドライバーを特定・更新
「安全な端末からだけ」アクセスできるようにすることで、端末を起点とした被害を防ぎます。
フェーズ④:データを分類して保護する
攻撃者が最終的に狙っているのはデータです。データを「どれが機密か」によって分類し、適切に保護します。
主なツール・機能
| ツール / 機能 | 提供製品 | 内容 | 身近な例え |
|---|---|---|---|
| 秘密度ラベル | Microsoft Purview Information Protection | データの重要度に応じてラベルを貼り、暗号化・共有制限を設定 | 書類に「社外秘」「極秘」のスタンプを押す |
| データ損失防止(DLP)ポリシー | Microsoft Purview | 機密情報の外部への漏洩を自動で防ぐ | 宅急便で危険物が送れないように、システムが止める |
| ポリシーのチューニング | Microsoft Purview | 誤検知を減らし、ポリシーを継続的に改善 | セキュリティゲートの感度を適切に調整する |
例えば:
- クレジットカード番号を含む文書は自動的に「社外秘」ラベルが付き、外部共有がブロック
- 社会保障番号入りのファイルをメール送信しようとすると警告が表示される
- 「機密性の高い」ラベルのメールは社内限定で送信され、MFA確認が必要
「大切なデータを識別し、自動的に守る」仕組みを作ることで、情報漏洩のリスクを大幅に下げます。
フェーズ⑤:脅威を監視して対応する
ゼロトラストは「侵入を防ぐ」だけでなく、「侵入されたとしても素早く検知・対応する」ことも重要です。
主なツール
| ツール | 提供製品 | 役割 | 身近な例え |
|---|---|---|---|
| Microsoft Defender for Endpoint | Microsoft Defender | 端末上の不審な動きを検知し、自動で隔離 | 体温計で熱を検知したら即座に隔離室へ |
| Microsoft Sentinel | Microsoft Sentinel(SIEM) | 複数のログを集約し、攻撃の全体像を把握 | 監視カメラ映像を一か所でまとめて確認するシステム |
| Microsoft Defender for Identity | Microsoft Defender | オンプレミスの Active Directory(社内認証サーバー)への攻撃を検知 | 社員証のICカードシステムへの不正アクセスを監視 |
例えば:
- PCが怪しいサーバーに通信していることを検知 → 自動的にネットワークから切り離す
- フィッシングメール・不正ログイン・悪意あるファイルを横断的に関連付けて攻撃全体を把握
- 社内サーバーへの「横移動(侵害が広がること)」をリアルタイムで検知
「異常をすばやく発見し、被害が広がる前に食い止める」体制がゼロトラストを実効性あるものにします。
フェーズ⑥:ユーザーを教育する
どんなに優れたセキュリティシステムも、人的ミス(フィッシング詐欺に引っかかるなど) によって突破されることがあります。
「フィッシング詐欺」とは? → 本物そっくりの偽メールや偽サイトで、パスワードを盗む攻撃
主なツール・取り組み
| 取り組み | 提供製品 | 内容 | 身近な例え |
|---|---|---|---|
| セキュリティ訓練(※) | Defender for Office 365 | 実際に偽フィッシングメールを送り、引っかかった人を教育 | 避難訓練(実際に近い状況でトレーニング) |
| セキュリティ認識キャンペーン | Microsoft Viva Learning / Teams / メール | Teams・メールで定期的にセキュリティのポイントを周知 | 社内掲示板の注意喚起ポスター |
| ロール固有のトレーニング | Microsoft Viva Learning | 職種・部署・リスクレベルに応じた内容で教育 | 財務担当は「請求書詐欺対策」、開発者は「安全なコーディング」 |
※ セキュリティ訓練とは? 本物そっくりの偽フィッシングメールを社員に実際に送り、「引っかかってしまった人」に即座にトレーニングを受けてもらう仕組みです。本番の攻撃が来る前に、安全な環境で「気づく力」を鍛える避難訓練のようなものです。
例えば:
- 偽フィッシングメールを社員に送信 → リンクをクリックした人には即座に教育コンテンツを表示
- 毎月のニュースレターで最新の脅威とMFA設定方法を案内
- 役員にはコンプライアンス・戦略リスク、一般社員にはフィッシング対策を重点教育
セキュリティは「システム」だけでなく「人」も守る必要があります。全員が最初の防衛線です。
まとめ:6つのフェーズ全体像
| フェーズ | 目的 | 主なツール | 守るもの |
|---|---|---|---|
| ① 現状評価 | 弱点の把握 | Secure Score / コンプライアンス マネージャー | 全体 |
| ② ID 保護 | 本人確認の強化 | Microsoft Entra ID(条件付きアクセス / リスクベース認証 / ID ガバナンス) | アカウント |
| ③ エンドポイント管理 | 端末の安全確認 | Microsoft Intune(コンプライアンス / アプリ保護 / Analytics) | 端末 |
| ④ データ保護 | 機密情報の保護 | Microsoft Purview(秘密度ラベル / DLP) | データ |
| ⑤ 脅威監視 | 異常の早期検知 | Defender for Endpoint / Sentinel / Defender for Identity | 環境全体 |
| ⑥ ユーザー教育 | 人的ミスの防止 | セキュリティ訓練(Defender for Office 365) / Microsoft Viva Learning | 人 |
ゼロトラストは「一度設定して完了」ではなく、継続的に評価・改善し続けるプロセスです。チーム横断での取り組みと、定期的な見直しが成功の鍵となります。