🔐
「本当にゼロトラストでいいのか? 〜ゼロトラストのよくある誤解とセキュリティの現場〜」イベントレポート
公開
2025-04-03
更新
2025-04-09
文章量
約3278字
Yard 編集部
Yardの編集部が、テック業界の最新トレンドや知見について発信します。
近年のクラウド活用やリモートワークの普及に伴い、セキュリティ対策として「ゼロトラスト」が頻繁に語られるようになっています。しかし一方で、ゼロトラストの概念や定義が単独で先行し、実際の導入・運用時には「何から始めればいいのか」「本当に全てを置き換えられるのか」という疑問や課題が絶えません。 そこで2025年3月27日、ファインディ主催で「本当にゼロトラストでいいのか? 〜ゼロトラストのよくある誤解とセキュリティの現場〜」と題したオンラインイベントが開催されました。登壇者には以下の3名が集結し、それぞれの立場からゼロトラストの実情や悩み、そして組織やサービスで生じている課題を共有してくださりました。
齊藤 愼仁(@sudachikawaii) 株式会社クラウドネイティブ 代表取締役社長/文部科学省 最高情報セキュリティアドバイザー 近年は行政機関における次期ITインフラ刷新やセキュリティ支援を手がける。ゼロトラストの定義に対する誤解や、多層防御・サイバー背任(サイバーハイジーン)の重要性などを解説。
大多和 亮(ろとにゃん / @rotomx) 株式会社一休 コーポレート本部 社内情報システム部/CISO室 組織全体のコーポレートITや情報セキュリティ領域を担当。オンプレミスからクラウドへの移行を進めながら、ゼロトラスト導入を検討したが、最終的に導入を見送るに至った経緯と、その背景を語る。
喜屋武 慶大 コインチェック株式会社 セキュリティ部 部長 SOCアナリストの経験を経て2018年にコインチェックへ参画。アクセスポリシー管理やデバイス状態の検証を軸に、ゼロトラスト的アプローチを進めるものの、理想と現実のギャップに直面している事例を紹介。
以下では、それぞれの発表内容を振り返りながら、本イベントで浮かび上がったポイントをまとめます。
齊藤 愼仁さん:ゼロトラスト概論
クラウドネイティブの代表として行政や民間企業のセキュリティ刷新を支援し、「ゼロトラスト警察」を自称する齊藤さんは、まず「ゼロトラストは製品ではなく、あくまで戦略・思想である」と強調しました。多くのセキュリティベンダーが「ゼロトラストを買えばすぐ実現できる」といった誤解を招く宣伝をしているが、それは根本的に間違いだと指摘します。
さらに、境界防御モデルが「外=不信、内=信頼」という前提で機能してきた時代から、クラウドやリモートワークの普及によって「境界」が崩れた状況を解説。実際には、境界自体が分散・微細化し、デバイス・ユーザー・データなど個々の単位で継続的に検証すべき段階に来ているといいます。
しかし「ゼロトラスト=教会防御の全否定」ではなく、教会防御が有用なケースもあれば、複合的に取り入れるケースもあり得るのが現実とのこと。また、サイバー攻撃への対策だけでなく、管理すべき資産がどう期待された状態にあるのかを常に把握し、コンフィグレーションミスや端末状態などを継続的に評価するサイバーハイジーン(Cyber Hygiene)の考え方も鍵だと語りました。
大多和 亮(ろとにゃん)さん:一休の社内インフラ変遷、ゼロトラスト実現に向けて
一休では、創業からの歴史が長く、オンプレミス中心だった社内インフラを少しずつクラウドへ移行し、VPNやファイルサーバーなどを廃止していった経緯が語られました。 最後の一手として「SASEなどのサービスを導入し、ゼロトラストを実現しよう」とPOCを行ったところ、営業部門などクラウドサースを多用する部署では利便性やセキュリティが向上し、とても高評価。しかし、エンジニア部門では開発に必要な通信が不安定になったり、RDS接続で突発的にセッションが切れるなど致命的な障害が多数発生。最終的に「現時点では導入は難しい」という判断を下すことになったといいます。
また一休では「ゼロトラストの実現にはネットワークや製品の導入だけでなく、要件への適合性を検証しながら全社を巻き込む必要がある」という学びを得たものの、VPN固有の課題や運用コストも抱えているため、別のアプローチでセキュリティを強化していくとしました。つまり、ゼロトラストの思想自体は目指す方向であるが、いわゆるSASE製品を即導入すれば解決できるとは限らない、という現実を示す事例です。
喜屋武 慶大さん:ゼロトラストアーキテクチャの理想と現実 ~ Lite版 ~
コインチェックでは、すでにアイデンティティプロバイダーや端末状態チェックなどを導入し「ユーザー×デバイス×データの組み合わせでアクセスを判断する」仕組みを構築しています。理想的には「すべてのトラフィック」に対しリアルタイムに検証を行いたいところですが、多くのIDプロバイダーやクラウドサービスの実装上「認証フェーズで一度ポリシーを満たせば、その後の通信がずっと有効になる」ケースが多いといいます。
結果として、途中で端末がマルウェアに感染しても、そのセッションが生きている間はアクセスが継続されてしまうなどのリスクが残るそうです。また、「そもそもSSO連携に対応していないサースもある」「OSパッチやアプリのバージョンまですべて細かくチェックするとユーザビリティが大きく落ちる」といった矛盾にも直面。ゼロトラストの理想に100%到達するための道は遠く、運用上の落としどころを模索しているとのことです。
全体を踏まえた感想:「適切なポリシーを育てる」ゼロトラスト
3名の事例から見えるのは「ゼロトラストを標榜しながら、製品導入がゴールになってしまう」誤解がいかに多いかということでした。本来のゼロトラストとは「すべてのアクセス要求を対象データ・デバイス状態・ユーザー権限に基づいてポリシーで検証する」という考え方であり、ツールやネットワーク構成の話だけではないのがポイントです。
一方で、現実的には「SaaS連携やSSO非対応サービスが残る」「エンジニア向け開発環境の特殊要件を満たせない」「途中で端末状態が変わっても検証が反映されない」など、多くの課題がありました。結局、ビジネスや組織が利用するデータが多岐にわたる以上、理想のゼロトラストはそう簡単には実現しないというのが各社の率直な印象のようです。
それでも、各発表者が口をそろえて言及したのは「ポリシーを育てる」という姿勢です。
組織で扱うデータやシステムを洗い出し、それぞれのリスクに応じたアクセスルールを検討する
端末状態やユーザー権限を連動させ、過度になりすぎないルールを試行錯誤する
現場の開発・営業・管理部門など、用途別で不可を見ながら導入範囲を決めていく
この積み重ねこそがゼロトラストの本質だというメッセージが強く伝わってきました。ネットワーク境界を否定するだけでもなければ、製品を一つ導入するだけでもない。あくまで「ポリシーに基づく継続的な検証を実運用のレベルで回し続ける」ことが大切なのです。
最後に
「ゼロトラスト」という言葉だけが大きく広がる一方、導入企業の実状は千差万別です。ファイアウォールやVPNを廃止できない背景もあれば、クラウド特有の動的環境で妥協が必要なケースも多々あります。今回の登壇者が示したように、ゼロトラストを本気で目指すならデータ分類・ポリシー策定・端末管理・ID管理など各要素を段階的に育てる視点が欠かせません。
イベントを通じて参加者の多くが「ゼロトラスト=単なる製品導入ではなく、チームや組織として『ポリシーが守られる環境』をどこまで作るかという挑戦」だと再認識できたのではないでしょうか。境界防御の残る要素と新たなエンドポイント重視の考え方をどう両立させるか。セキュリティと利便性のバランスはどう図るか。これからも複数の手段を柔軟に組み合わせながら、ゼロトラストをアップデートしていく動きが続いていくはずです。 本イベントが、その第一歩となる手がかりになれば幸いです。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
