「ゼロトラスト」とは何か
従来のネットワークセキュリティは、一度だけ通行証を提示して銀行に入れば、その後は金庫や窓口、VIP ルームまで自由に出入りできるような仕組みに例えられます。
ゼロトラストアーキテクチャはまったく異なり、あらゆるユーザーとデバイスがなりすましの可能性を持つと仮定します。
すべての金庫の扉、すべての出金操作で再度の確認が行われ、身分証の照合だけでなく、その場での信用状態や取引パターン、さらには利用している ATM 自体が安全かどうかまでチェックされるイメージです。
ゼロトラストのコアプラクティス
継続的な検証
Continuous Verification
ネットワークが社内か社外かを問わず、すべてのアクセスごとにユーザーのアイデンティティ、デバイスの健全性、リスクスコアを再評価します。
動的アクセス制御
Adaptive Access Control
各アクセス要求に対してリアルタイムのリスクに応じて権限を動的に付与し、許可するか追加認証を要求するかを判断します。
マイクロセグメンテーション
Micro Segmentation
銀行の金庫を多数の小部屋に分割するように、仮に一部に侵入されても攻撃者が横方向に広く拡散できないようにします。
政府におけるゼロトラストアーキテクチャ
2020 年、米国国立標準技術研究所(NIST)は「SP 800-207」を公表し、ゼロトラストの産業発展に向けた基盤を提示しました。
2024 年にはデジタル發展部配下の資通安全研究院が「政府零信任架構」を告示し、政府機関がゼロトラストを導入する際の仕様を定め、公的機関と民間が参照できる標準を整備しました。
TrustONE ZTA ゼロトラストアーキテクチャは、この資安研究院の標準に完全準拠し、ポリシー決定エンジンを中核に据え、TrustGate アクセスゲートウェイを通じてリアルタイム検証付きの暗号化通信トンネルを提供します。
TrustONE ZTA は組織内向け・外部向けオンラインサービスの双方に対応し、コアホストや重要インフラにも適用可能で、境界に依存せず単一ポイント・オブ・フェイルに頼らないセキュリティを実現します。
ゼロトラストの三つの柱
アイデンティティ認証
ユーザーの身元を検証・管理します。
TrustONE ZTA は MFA(メールまたは OTP)や FIDO による生体認証に対応しています。
デバイス認証
接続元となる端末の真正性を検証します。
TrustONE ZTA はハードウェア TPM とソフトウェア TPM の情報を取得し、各接続端末に固有の「フィンガープリント」を付与して検証します。
トラスト推論
リスクスコアに基づき、接続を許可するかブロックするかを判断します。
接続時間帯や地理的な位置、端末環境を評価軸とし、さらに EDR/XDR から得たリスク評価情報も取り込んで総合的に判定します。
TrustONE ZTA の動作アーキテクチャ
FIDO によるパスワードレス認証
従来のパスワード認証は、多数の複雑なパスワードを記憶する負担をユーザーに強いるだけでなく、暴力的な総当たり攻撃やフィッシング、漏えいリストの悪用などにより、安全性が十分でないことが繰り返し示されています。
TrustONE は FIDO 標準のパスワードレス認証に対応し、認証レベルを AAL3 相当へ全面的に引き上げます。
利用者は物理トークンや PIN コード、あらかじめ紐づけたスマートフォンによる指紋・顔認証などを利用してログインできます。
パスワードレス認証により、パスワードの記憶や頻繁な変更といった負担から解放されると同時に、認証情報の漏えいが引き金となるインシデントを根本から防止します。
トークン/スマートカード
紐づけられた USB トークンや非接触カード、IC カードを認証用の秘密鍵として用い、この鍵は複製も偽造もできません。
各認証時には必ずデバイスを接続する必要があり、TrustONE ZTA は指紋センサー一体型トークンとの連携にも対応します。
Windows Hello
Windows Hello を利用して、利用者の顔認証・指紋認証・ローカル PIN コードによる本人確認を行います。
モバイル FIDO
アプリインストール不要で、Android または iOS デバイスを本人の認証器として事前登録します。
認証のたびに同じ端末で指紋または顔認証を通過することで、TrustONE 上の本人認証が即座に完了します。
TPM ベースのデバイス認証
従来のセキュリティ運用では、「特定の端末だけに接続を許可する」制御を確実に実現することが、管理者にとって長年の課題でした。
TrustONE ZTA は Trusted Platform Module(TPM)を基盤としたデバイス認証機構を提供し、接続端末ごとに一意の「フィンガープリント」を取得することで、接続元が偽装されていないことを保証します。
TrustONE ZTA によるトラスト推論
TrustONE ZTA は接続元 IP、接続時間帯と位置情報、端末の健全性ステータスに基づいてトラストスコアを算出し、接続を許可/拒否する判断根拠とします。
これにより高リスクな接続をリアルタイムで遮断できます。
管理者が手動で許可時間帯を指定することも、TrustONE ZTA がユーザーの通常行動パターンを学習して異常な接続だけを自動検知することも可能です。
さらに、クライアント側の OS バージョンや更新状況、アンチウイルスの状態、GCB/GPO 適用状況をチェックし、これらを総合してトラストスコアを動的に計算します。
これにより高リスク接続を即座にブロックするだけでなく、管理者にとって有用なリスク評価データも提供します。
接続元 IP/地理的位置
OS 更新状況
接続時間帯
GCB/GPO の適用状況
アンチウイルスの稼働状態
EDR/XDR から取得した情報
SAML2/OIDC フルサポート
TrustONE ZTA は SAML 2.0 と OIDC をフルサポートし、IdP(アイデンティティプロバイダー)として既存サービスに外部認証を提供することも、SP(サービスプロバイダー)として既存 IdP から認証結果を受け取ることもできます。
つまり TrustONE ZTA を導入するだけで、高度な接続保護を得られると同時に、SAML2/OIDC 対応アプリケーションへシングルサインオン(SSO)を素早く展開できます。
すでに組織内で SSO を利用している場合でも、TrustONE は既存 SSO 基盤から認証情報を連携できるため、ユーザーに新たな操作を強いず、セキュリティと業務継続の両面でスムーズな移行が可能です。