ゼロトラストアーキテクチャとは?NISTの構成要素と設計ステップを解説
事業適合性:【直接】|接続サービス:Webシステム開発(セキュリティ設計・アクセス制御設計・脆弱性診断)|CV導線:/service/system/(設計章で相談導線を1本)
ゼロトラストアーキテクチャは、社内ネットワークの内側を無条件に信頼する前提を捨て、アクセスのたびに検証し直す設計を、具体的な構成要素と処理の流れとして描いた設計図です。基準になっているのは、米国のNIST(国立標準技術研究所)が2020年8月に公開した文書「SP 800-207」で、判断を下すエンジンと、それを施行する点を分けて定義しています。この記事では、アーキテクチャを構成するPE・PA・PEPの役割、拡張ID管理・マイクロセグメンテーション・SDPという3つの実現アプローチ、デジタル庁が示した適用方針、そして自社がどこから設計に着手すべきかまでを、外注でシステムを検討する立場から整理します。概念の暗記ではなく、設計判断に使える形で持ち帰ってください。
目次
まとめ|ゼロトラストアーキテクチャの構成要素と設計の起点
要点を一つに絞ります。ゼロトラストアーキテクチャは買ってくる製品ではなく、「誰が何にアクセスしてよいか」を判断する頭脳と、その判断を通信経路で施行する点を分離した論理モデルです。NIST SP 800-207はこの判断側と施行側を、PE・PA・PEPという構成要素として定義しました。守る対象がクラウドと社外端末へ広がった以上、社内LANという壁だけでは守り切れません。だから検証の場所を、境界ではなく個々のリソースの手前へ移します。
設計は一斉更改ではなく順序で決まります。ID基盤と多要素認証を土台に据え、拡張ID管理から入って、必要に応じてマイクロセグメンテーションやSDPを足すのが現実的な道筋です。全体を貫く思想と導入可否の判断はゼロトラストの定義と導入判断を整理した解説に譲り、本記事は設計図の側から補完します。以下では構成要素、3アプローチの選び分け、適用方針、そして「自社はどこから設計すべきか」を条件付きで示します。
ゼロトラストアーキテクチャとは何か|製品ではない設計思想の全体像
ゼロトラストアーキテクチャを設計に落とすには、まず「これは製品ではない」という前提から入ります。ベンダーが「ゼロトラスト対応」と称する製品は数多く並びますが、どれか一つを導入すればアーキテクチャが完成するわけではありません。設計思想を、構成要素と処理の流れへ翻訳したものがアーキテクチャです。
NIST SP 800-207が示すアーキテクチャの定義と製品ではない前提
NIST SP 800-207は、ゼロトラストを「静的でネットワーク境界に依存した防御から、利用者・資産・リソースへ焦点を移す一連の考え方」と定義しています。正式版の公開は2020年8月です。ここで文書が繰り返し示すのは、ゼロトラストが単一の製品や技術ではなく、原則の集合とそれを実現するアーキテクチャだという点になります。守る単位は、ネットワークの区画ではなく個々のリソースへ移ります。この定義を外すと、「ゼロトラスト製品を1つ買えば完了」という誤解に陥り、機能が重複したり守れない領域が残ったりしがちです。設計の出発点は、製品選定ではなく「何を守る単位にするか」の定義に置きます。原則そのものの逐条的な読み解きはNISTの7つの基本原則を条文単位で深掘りした解説にまとめています。
境界型防御モデルとゼロトラストの違いを制御の単位から捉え直す
従来の境界型防御は、ファイアウォールの内側を安全地帯とみなす方式でした。中に入れれば、横方向の移動は比較的自由になります。この前提が崩れたのは、クラウドとSaaSで守るデータが社外へ出て、在宅勤務と持ち込み端末で接続元が社内に限られなくなり、正規の認証情報を盗む攻撃が増えたためです。ゼロトラストアーキテクチャは、この状況に「制御の単位を面から点へ細かくする」で答えます。境界という面で一度に許可するのではなく、リソースという点ごとに、アクセスのたびに認可を挟む設計へ切り替えます。壁を厚くするのではなく、検証の回数と精度を上げる方向に舵を切る、と捉えると分かりやすいでしょう。この単位の違いが、後段の構成要素と設計順序をすべて左右します。
NISTが定義する論理構成要素と制御・データ両プレーンの分離
アーキテクチャの核心は、「判断する箇所」と「施行する箇所」を分けたことにあります。この分離を理解すると、製品カタログの機能名に振り回されず、自社に足りない部品を見分けられます。NISTは中核をPE・PA・PEPの三要素として描きました。
PE・PA・PEPの三要素が担う判断と施行の分離という設計思想
三要素の関係は、役割で見ると入り組んでいません。中心にあるのがPE(ポリシーエンジン)で、収集した情報とポリシーを突き合わせ、アクセスの可否を最終判断します。PA(ポリシー管理者)は、その判断を受けて通信経路の接続を実際に確立、あるいは遮断する司令塔です。PEとPAは判断を下す側として一体に働き、制御プレーンを構成します。実際にアクセスを通す・止める作業を、利用者とリソースの間で担うのがPEP(施行ポイント)で、こちらはデータプレーンに位置します。
| 構成要素 | 主な役割 |
|---|---|
| PE(ポリシーエンジン) | アクセス可否を最終判断する |
| PA(ポリシー管理者) | 判断に基づき接続を確立・遮断 |
| PEP(施行ポイント) | 通信経路上でアクセスを制御 |
設計で効くのは、判断と施行を分けた点です。施行点であるPEPを利用者や端末の近くへ複数置きつつ、可否の判断はPEへ集約できます。この構造があるから、社内・クラウド・社外のどこにリソースがあっても、同じポリシーで一貫した認可をかけられるわけです。製品を見るときは「これはPE・PA・PEPのどこを担うのか」を当てはめると、構成の穴が見えます。個々の製品領域の対応づけはゼロトラストの構成技術と導入手順を実装視点でまとめた解説で整理しています。
トラストアルゴリズムが端末の状態を見て可否を決める判断の流れ
PEが可否をどう決めるのか、その判断ロジックをNISTはトラストアルゴリズムと呼びます。判断材料は一つではありません。利用者のIDと権限、要求してきた端末の状態(OSの更新状況やマルウェア対策の有無)、アクセス元の場所や時刻、対象リソースの機微度、過去の振る舞いといった複数の入力を突き合わせ、そのセッションで許すか拒むかを動的に決めます。同じ利用者でも、会社支給の管理端末からなら通し、私物端末で深夜なら追加認証を求める、という条件分岐が成り立つのはこの仕組みによるものです。固定の許可リストで一度決めたら終わりにせず、状態が変われば判断も変わる。これがトラストアルゴリズムの肝であり、境界型との決定的な差になります。設計段階では「認可の入力に端末の状態まで織り込めるか」を、製品選定の中心軸に据えてください。
ゼロトラストアーキテクチャを実現する3つのアプローチと選び分け
抽象的なモデルを実際の構成へ落とすとき、NIST SP 800-207は主要な3つのアプローチを挙げます。どれか一つだけを選ぶというより、自社の資産と体制に合わせて主軸を決め、組み合わせる考え方です。ここを整理せずに製品を並べると、狙いのぼやけた構成になりがちです。
拡張ID管理・マイクロセグメンテーション・SDPの適性の比較
3つは、アーキテクチャの重心をどこに置くかで分かれます。拡張ID管理(Enhanced Identity Governance)は、利用者と端末のIDを認可の中心に据える形で、IDaaSと多要素認証を土台にするため中小規模でも着手しやすい入口です。マイクロセグメンテーションは、ネットワークを細かい区画に割り、侵入されても横移動できる範囲を狭める方式で、守るサーバーやデータが社内に集中する構成に向きます。SDP(ソフトウェア定義境界)は、認可されるまでリソースの存在自体を隠し、通信経路をソフトウェアで動的に張る方式です。
| アプローチ | 中心に据える要素 | 向く状況 |
|---|---|---|
| 拡張ID管理 | IDと認証の強化 | 中小規模の着手 |
| マイクロセグメンテーション | 内部の区画化 | 横移動の抑止 |
| SDP | 通信経路の遮蔽 | 社外接続の集約 |
選び分けの目安は、いま最も綻んでいる箇所です。アカウントの棚卸しが追いつかず権限が野放しなら拡張ID管理から、社内に重要サーバーが集中し横移動の被害が怖いならマイクロセグメンテーションから入ります。3つは排他ではありません。実務では拡張ID管理を土台に置き、守る資産の性質に応じて他を重ねる構成が扱いやすいところです。
SASEやVPNはゼロトラストアーキテクチャ上のどこに収まるのか
設計の相談で必ず混ざるのがSASEとVPNの位置づけです。アーキテクチャの図で見ると、両者はPEP(施行ポイント)に近い層を担います。VPNは利用者を社内網へ通す施行点ですが、入った後の到達範囲を絞れないため、ゼロトラストの「都度・対象ごとに認可する」考え方とは相性が悪い方式です。ZTNA(ゼロトラストネットワークアクセス)は、このVPNを認可したアプリ単位の接続へ置き換える施行点にあたります。SASEは、ZTNAを含む複数の施行機能をクラウド側でまとめて提供する枠組みです。つまりSASEもVPNもアーキテクチャ全体ではなく、その一部を担う構成要素だと理解すると、製品比較の土俵がずれません。VPNとの接続モデルの違いや、ZTNA製品のエージェント型とサービス型の選び分けはZTNAとVPNの違いと製品選定を整理した解説で深掘りしています。
デジタル庁のゼロトラスト適用方針に学ぶ段階的な設計と成熟度の考え方
ゼロトラストアーキテクチャは民間だけの話ではありません。日本の行政でも設計方針が明文化されており、その進め方は一般企業の設計判断にも読み替えられます。公的文書は無償で読めるため、社内説明の裏付けにも使えます。
デジタル庁の適用方針が示す成熟度を段階的に高める設計の進め方
デジタル庁は2022年6月30日に「ゼロトラストアーキテクチャ適用方針」(標準ガイドライン群ID DS-210)を策定し、政府情報システムが参照すべき設計の基本方針を示しました。文書が強調するのは、ゼロトラストが単一製品の導入で完了する一過性のプロジェクトではなく、サイクルを回して成熟度を上げ続ける取り組みだという点です。境界型防御をいきなり捨てるのではなく、端末やアクセスの状態を確かめる層を足して組み合わせる、という現実的な姿勢も明記されています。自社の設計に引き寄せると、示唆は二つに絞れます。第一に、完成形を一度に作らず、守る資産の優先度が高い業務から段階的に対象を広げること。第二に、導入後もポリシーと監視を運用の中で見直し続ける前提で計画を組むことです。行政が公開した方針を参照点にすると、社内の合意形成を進めやすくなります。
自社のゼロトラストアーキテクチャをどこから設計すべきかの判断
ここが本記事の核心です。ゼロトラストアーキテクチャは「作るか作らないか」ではなく「どの資産から、どのアプローチで組むか」を決める問題になります。参照モデルの全体像を一度に作ろうとするから過大に見えるのであって、優先度を切れば中小規模でも設計に入れるのが実情です。条件を切り分けて言い切ります。
設計を優先すべき企業と、参照モデルの全面適用が過剰になる場面
次のいずれかに当てはまるなら、アーキテクチャの設計を優先する価値があります。社外からの接続が常態化している。顧客の個人情報や設計データなど、横移動で到達されると損害が大きい資産を抱える。退職者や協力会社を含めアカウントの出入りが多く、権限の棚卸しが追いついていない。これらは境界型の前提が最も裏目に出る状況です。一方で、全面適用が過剰になる場面もはっきりしています。社内利用者が数名で、扱う情報も公開前提の資料が中心、接続もほぼ社内に閉じる。こうした組織が、いきなりSDPやマイクロセグメンテーションまで含む包括的なアーキテクチャを組むのは、費用対効果が合いません。ここでまず効くのは、クラウド各サービスへの多要素認証と退職時のアカウント即時停止という基本動作です。高価な統合製品より先に、拡張ID管理の土台を固めるほうが、同じ予算で守れる範囲は広くなります。「参照モデルにある要素を全部そろえる」を目的化しないことが、無駄な出費を避ける分かれ目です。
ID基盤の整備を出発点にした設計の手順と外注時に示すべき要件
設計の着手順は、規模を問わず共通です。まず社内で使うクラウドサービスと業務システムを棚卸しし、守る資産に優先度を付けます。次に認証をID基盤へ寄せ、全アカウントに多要素認証をかけて拡張ID管理の土台を作ります。そのうえで、損害の大きい業務からアクセス制御を絞り、必要に応じてマイクロセグメンテーションやSDPを重ねる。この順で進めれば、途中で止めても一定の効果が残ります。
- 守る資産の棚卸しと優先度付け
- ID基盤への認証集約と多要素認証の全面適用
- 損害の大きい業務からアクセス制御を段階適用
- 監視とポリシー見直しを運用へ組み込み
ここまでを内製だけで進めるのが難しい場合、設計段階からアクセス制御と脆弱性診断を組み込む形で外部に相談するのが近道になります。当社の脆弱性診断を含むWebシステム開発では、権限管理・認証連携・監視をアーキテクチャの設計時点で織り込む形です。外注する際は「認可の判断(PE)をどのID基盤へ集約するか」「施行点(PEP)をアプリ単位に置くか網単位に置くか」「稼働後の脆弱性診断とポリシー見直しを誰がどの頻度で回すか」を要件として書面化しておくと、後戻りを避けられます。
よくある質問
ゼロトラストアーキテクチャの設計でよく挙がる疑問を、判断に直結する順にまとめました。
ゼロトラストアーキテクチャとは何ですか?
アクセスのたびに利用者・端末・状況を検証する設計を、具体的な構成要素と処理の流れとして描いた設計図です。基準はNIST SP 800-207で、可否を判断するPE、判断を施行するPA、実際に制御するPEPという論理要素で定義されます。特定の製品名ではなく設計モデルを指す点が、押さえどころになります。守る単位をネットワークの区画から個々のリソースへ移し、境界ではなくリソースの手前で認可をかける構造です。
ゼロトラストモデルとゼロトラストアーキテクチャの違いは何ですか?
ほぼ同義で使われる場面も多いものの、粒度で分けると理解しやすくなります。ゼロトラストモデルは「信頼せず都度検証する」というセキュリティの考え方そのものを指します。ゼロトラストアーキテクチャは、そのモデルを実現するための構成要素(PE・PA・PEP)や処理の流れまで具体化した設計図です。思想がモデル、それを部品と配置に落とした設計図がアーキテクチャ、という関係で捉えると混乱しません。
ネットワークセグメンテーションはゼロトラストにどう役立ちますか?
ネットワークを細かい区画に割るマイクロセグメンテーションは、侵入された後の横移動を狭める役割を担います。境界を一枚破られても、区画ごとに認可を挟むため、攻撃者が別のサーバーへ移りにくくなります。ゼロトラストの「侵害を前提に被害範囲を最小化する」という考え方を、ネットワーク側で具体化した手段です。守るサーバーやデータが社内に集中する構成では、拡張ID管理と組み合わせる主軸の一つになります。
ゼロトラストアーキテクチャの設計は何から始めればよいですか?
着手点は、守る資産の棚卸しとID基盤の整備です。まず使っているクラウドサービスと業務システムを洗い出し、認証をID基盤へ集約して全アカウントに多要素認証をかけます。この拡張ID管理を土台にしてから、損害の大きい業務へアクセス制御を絞り込みます。SDPやマイクロセグメンテーションといった上位の構成は、この基礎を固めた後で足す順序が現実的です。
ゼロトラストアーキテクチャを提供するベンダーはありますか?
アーキテクチャ全体を一社の製品だけで完結させる形は、NISTの定義とは相容れません。IDaaS、EDR、ZTNA、SIEMなど各領域に有力な製品はありますが、いずれもPE・PA・PEPのどこかを担う部品です。ベンダーを選ぶときは「自社の設計図のどの構成要素を埋めるのか」を先に決め、既存のID基盤や端末管理と素直につながるかで見比べると、機能の重複や抜けを避けられます。
関連記事
- ゼロトラストとは?境界型防御との違い・NIST7原則と導入判断を解説:アーキテクチャの土台となる思想・定義・導入可否の全体像をまとめた親記事です。
- ゼロトラストセキュリティとは?構成技術と導入手順・費用を実装視点で解説:PE・PA・PEPを埋める構成技術(ID管理・端末防御・監視)と導入手順・費用を整理した実装ハブです。
- ゼロトラストネットワーク(ZTNA)とは?VPNとの違いと製品選定・導入判断を解説:施行点にあたるZTNAについて、VPNとの違いと製品選定を深掘りした解説です。
- NISTが提唱するゼロトラストの7つの基本原則を深掘り解説:アーキテクチャの前提となる7原則(テネット)を、条文単位で読み解いた詳細版です。
- 情報セキュリティとは?3要素・脅威・ISMSの基本と外注時の要件を解説:ゼロトラストを情報セキュリティ全体(機密性・完全性・可用性とISMS)の中に位置づける土台記事です。