ゼロトラストとは
ゼロトラストは「社内であろうと社外であろうと、すべてのアクセスを信頼せず、常に検証する」セキュリティモデルです。従来の「社内ネットワークは安全、社外は危険」という境界防御モデルに代わる考え方で、テレワーク・クラウド時代に適したセキュリティアーキテクチャです。
従来の境界防御モデルとの違い
| 項目 | 境界防御モデル | ゼロトラストモデル |
|---|---|---|
| 前提 | 社内は安全、社外は危険 | すべてを信頼しない |
| 防御の対象 | ネットワークの境界(ファイアウォール) | すべてのアクセス要求 |
| 認証 | 社内ネットワークに接続すればOK | 毎回のアクセスで認証・認可 |
| テレワーク | VPNが必要 | VPN不要(ID認証+デバイス認証) |
| 侵入された場合 | 社内で自由に横移動可能 | アクセスが最小権限に制限されている |
3つの原則
- ① 常に検証する(Verify Explicitly):ユーザーID、デバイスの状態、場所、リスクレベル等の複数のシグナルに基づいて毎回アクセスを検証する
- ② 最小権限アクセス(Least Privilege):ユーザーには業務に必要な最小限の権限のみ付与。Just-In-TimeおよびJust-Enough-Accessの原則
- ③ 侵害を前提とする(Assume Breach):「既に侵害されている」という前提で設計し、被害を最小化するためにセグメント化、暗号化、監視を徹底
Microsoft 365でのゼロトラスト実装
| ゼロトラスト要素 | M365の機能 |
|---|---|
| ID認証 | Entra ID MFA、条件付きアクセス、Entra ID Protection |
| デバイス認証 | Intune コンプライアンスポリシー、Entra Join |
| エンドポイント保護 | Defender for Business(EDR) |
| データ保護 | 感度ラベル、DLP、暗号化 |
| 監視・検知 | 統合監査ログ、Defenderアラート、サインインログ |
Business PremiumにはMFA、条件付きアクセス、Intune、Defenderがすべて含まれ、追加コストなしでゼロトラストの基盤を構築できます。
導入ステップ
- Step 1:MFAの全ユーザー適用+レガシー認証のブロック
- Step 2:条件付きアクセスポリシーの設定(場所・デバイス制御)
- Step 3:Intune登録+コンプライアンスポリシーによるデバイス認証
- Step 4:Defender for Businessによるエンドポイント保護
- Step 5:監査ログの有効化と継続的な監視体制の構築
まとめ
ゼロトラストは「すべてのアクセスを信頼せず常に検証する」セキュリティモデルです。M365 Business Premiumを活用すれば、追加コストなしでゼロトラストの基盤を構築できます。