情報処理試験を勉強していると、「ゼロトラストってよく聞くけど、結局どういう仕組み?境界型防御と何が違うの?」と引っかかりやすいポイントです。
この記事では、ゼロトラストの考え方を日常の例えで噛み砕き、試験で問われるポイントまで整理しています。
対象試験と出題頻度
ゼロトラストは、基本情報技術者・応用情報技術者で出題されるテーマです。
「社内外すべてを信頼しないセキュリティの考え方」として押さえておきましょう。令和6年度の応用情報技術者 午後試験でも出題実績があり、今後ますます問われる可能性が高いテーマです。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
ゼロトラスト(Zero Trust)とは、一言で言うと
「社内外を問わず、すべてのアクセスを信頼せず、常に検証するセキュリティの考え方」
のことです。
イメージとしては、「社員証を持っていても、部屋に入るたびに毎回本人確認される会社」のようなものです。
従来のセキュリティは「会社の建物に入ったら、あとは自由に動ける」という考え方でした。玄関で一度IDカードをかざせば、社内のどの部屋にも出入りできるイメージです。これが「境界型防御」と呼ばれるモデルです。
一方ゼロトラストは、建物の中にいようが外にいようが関係なく、「会議室に入るとき」「書類棚を開けるとき」「サーバールームに入るとき」、その都度「あなたは本当に権限がありますか?」と確認されます。
面倒に感じるかもしれませんが、万が一不正な人物が社内に紛れ込んでも、被害が広がりにくいのが大きなメリットです。
「ゼロトラストって、具体的にどんな製品を入れるの?」と気になる方もいるでしょう。ただ、試験で問われるのは「すべてを信頼しない前提で、毎回検証する」という考え方そのものです。
具体的な製品名や構築手順までは出ないので、概念の理解に集中すればOKです。
📊 ゼロトラストの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | ゼロトラスト / ゼロトラストアーキテクチャ(Zero Trust Architecture) |
| 意味 | 社内外すべてのアクセスを信頼せず、常に検証するセキュリティモデル |
| 対義語 | 境界型防御(社内ネットワークを信頼し、外部との境界で防御するモデル) |
| 提唱の背景 | クラウド利用・リモートワークの普及で「社内=安全」が成り立たなくなった |
| 代表的な文献 | NIST SP 800-207(米国標準技術研究所が公開したゼロトラストアーキテクチャの指針) |
解説
ゼロトラストは、2010年に米国の調査会社Forrester Research社のアナリストが提唱したセキュリティモデルです。「Verify and never trust(検証せよ、決して信頼するな)」を基本方針としています。
その後、2020年にNIST(米国標準技術研究所)がSP 800-207としてゼロトラストアーキテクチャの指針を公開し、世界的に導入が進みました。日本でもIPA(情報処理推進機構)が「ゼロトラスト導入指南書」を公開しており、国内企業でも導入検討が広がっています。
なぜ「境界型防御」だけでは不十分なのか
従来の境界型防御は、ファイアウォールなどで社内ネットワークと外部ネットワークの「境界」を守るモデルです。社内は安全、社外は危険――このシンプルな前提で長年運用されてきました。
ところが、ここ数年で状況は大きく変わりました。
⚠️ 境界型防御が通用しにくくなった理由
・クラウドサービスの普及:業務データが社外のクラウド上にあるため、「社内=安全」の前提が崩れた
・リモートワークの拡大:社員が自宅やカフェから社内システムに接続するケースが常態化
・内部不正・標的型攻撃:攻撃者が一度社内に侵入すると、境界の内側では自由に動けてしまう
・VPN装置の脆弱性:VPN機器を狙った攻撃が増加し、境界そのものが突破されるケースが多発
つまり「社内にいるから安全」という前提自体が、もう成り立たなくなったわけです。この課題を根本から解決するために生まれたのがゼロトラストの考え方です。
ゼロトラストと境界型防御の違い
試験対策として最も重要なのは、この2つの違いを明確に区別できることです。
📊 境界型防御 vs ゼロトラストの比較
| 比較項目 | 境界型防御 | ゼロトラスト |
|---|---|---|
| 基本方針 | 社内は信頼する、社外は信頼しない | 社内外すべてを信頼しない |
| 防御の対象 | ネットワークの境界(入り口) | すべてのアクセス・通信 |
| 認証のタイミング | 境界通過時に1回 | リソースへのアクセスごとに毎回 |
| 侵入後の被害 | 内部で横方向に自由に移動されやすい | アクセスが都度制限されるため被害が局所化 |
| クラウド・リモート対応 | VPN等で対応するが限界がある | 場所を問わず同じポリシーを適用できる |
試験ではここまで押さえておけば十分です。
「境界型防御=社内を信頼」「ゼロトラスト=何も信頼しない」、この対比がそのまま解答のヒントになります。
ゼロトラストを支える主な技術要素
ゼロトラストは単一の製品や技術ではなく、複数の技術を組み合わせて実現する「考え方=アーキテクチャ」です。代表的な構成技術を整理しておきます。
📊 ゼロトラストを構成する主な技術要素
| 技術要素 | 役割 |
|---|---|
| IDaaS / IAM | ユーザーの認証・認可を一元管理する |
| 多要素認証(MFA) | パスワードだけでなく複数の要素で本人確認を行う |
| EDR | 端末(エンドポイント)の挙動を監視し、脅威を検知・対応する |
| SWG / CASB | クラウドやWebへのアクセスを検査・制御する |
| マイクロセグメンテーション | ネットワークを細かく分割し、侵入後の横移動を防ぐ |
「覚えることが多い…」と感じるかもしれませんが、基本情報・応用情報レベルでは個々の製品名まで暗記する必要はありません。
「ゼロトラストは単一の製品ではなく、複数の技術を組み合わせて実現するもの」という点を理解しておけば大丈夫です。
💡 ゼロトラストの核心を3行で
・「社内だから安全」とは考えない。すべてのアクセスを疑い、毎回検証する
・境界型防御の弱点(内部侵入後の横移動)を克服するモデル
・特定の製品名ではなくセキュリティの「考え方・設計方針」である
📌 試験対策のポイント
試験では、ゼロトラストの具体的な実装手順や製品構成は問われません。
「社内外を区別せず、すべてのアクセスを信頼しないで毎回検証する」という基本概念と、境界型防御との違いを押さえておけば得点できます。
試験ではこう出る!
ゼロトラストは、ネットワークセキュリティの考え方に関する問題で登場します。
令和6年度 応用情報技術者の午後試験でも出題されており、今後さらに頻度が上がる可能性があります。
以下のポイントを整理しておきましょう。
【頻出キーワード】
- すべてのアクセスを信頼しない(Never Trust, Always Verify)
- 社内ネットワークも信頼しない
- アクセスごとに認証・認可を行う
- 境界型防御との対比
- クラウド利用・リモートワーク普及が背景
試験問題で「ネットワークの内部外部を区別せず、すべてのアクセスを検証するセキュリティモデル」や
「社内ネットワークに接続しているだけでは信頼せず、リソースごとに認証を行う考え方」
といった記述があれば、それは「ゼロトラスト」に関する記述です。
📝 IPA試験での出題パターン
ゼロトラストの問題は、「ゼロトラストの説明として適切なものを選べ」「従来のセキュリティモデルと異なる考え方を選べ」といった形式で出題されます。
ひっかけ選択肢として「ファイアウォールで境界を守る」「社内ネットワークは信頼する」といった境界型防御の説明が混ざることが多いので、両者の違いを明確にしておくのがコツです。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ゼロトラストに関する説明として、最も適切なものはどれでしょうか?
- A. ファイアウォールを用いて社内ネットワークと外部ネットワークの境界を防御し、社内に入った通信は信頼するセキュリティモデル
- B. 社内外を問わずすべてのアクセスを信頼せず、リソースへのアクセスごとに認証・認可を行うセキュリティの考え方
- C. システムの企画・設計段階からセキュリティ対策を組み込み、後付けではなく最初から安全性を確保する開発手法
正解と解説を見る
正解:B
解説:
ゼロトラスト(Zero Trust)は、社内ネットワークであっても外部ネットワークであっても、すべてのアクセスを信頼せず、リソースへのアクセスごとに認証・認可を行うセキュリティの考え方です。クラウド利用やリモートワークの拡大により、「社内=安全」という前提が崩れたことを背景に普及しました。
選択肢Aは「境界型防御」の説明です。従来型のモデルであり、ゼロトラストとは対になる考え方です。選択肢Cは「セキュリティバイデザイン(Security by Design)」の説明であり、開発プロセスにおけるセキュリティの組み込み方に関する概念です。
