月別アーカイブ: 2026年4月

小規模組織のリモートアクセスをどう守るか

コメントをどうぞ

2026年4月25日
諸角 昌宏

本ブログは、CSAジャパンとしての正式な見解ではなく、あくまで筆者の個人的な意見としてまとめたものである。しかしながら、この問題はクラウドセキュリティに関わる人に幅広く関係することとして、このCSAジャパン・ブログに掲載させていただく。皆さんの屈託のない意見をいただければ幸いである。

CSAジャパン・ブログでは、「VPNは本当に危ないのか」というテーマで2回の投稿を行った。最初のブログでは、VPNをめぐるリスクの構造を三層に分けて整理し、国内の統計データの正確な読み方、よくある意見への答え、そして対策の方向性について考察した。続編では、VPNの設計思想の問題に対してZTNAが提供している「ダークIP」について掘り下げてみた。なお、これらについては、本ブログの最後に記述する参考資料から参照していただきたい。

これらの2回のブログで十分整理できたと考えていたが、先日の「SaaSセキュリティリーグ」において小規模組織の観点がカバーできていないと指摘された。確かに、「VPNは危ない、ZTNAに移行すべきだ」という議論において、多くの場合それは大規模組織を念頭に置いた話である。専任のセキュリティチームがあり、IdPが整備され、ある程度の予算がある組織を前提にしている。では、IT担当者が一人または兼任で、予算も限られた小規模組織はどうすればいいのか。

本ブログでは、小規模組織に合わせた現実的な選択肢を整理してみたい。なお、本ブログの作成にあたって、「SaaSセキュリティリーグ」の皆様に管理的・技術的な観点でのご教授をいただいた。この場を借りて感謝いたします。

小規模組織でも「リスクの構造」は同じ

まず認識しておくべきことは、VPNのリスク構造は組織の規模に関係なく同じであるということである。VPNのリスクの構造を三層に整理した以下の内容である。

  • 第1層:製品脆弱性(CVE): パッチを当てていなければ規模に関係なく標的になる
  • 第2層:認証情報管理: 漏洩パスワード・MFA未設定・ゾンビアカウントは小規模組織ほど放置されやすい
  • 第3層:設計思想の欠陥: 公開ポートによるアタックサーフェスとラテラルムーブメントの許容は構造的な問題であり規模は関係しない

パッチ適用の遅れ、退職者アカウントの放置、外部ベンダーへのVPN発行後の管理不足等は、大企業より小規模組織で起きやすい。Colonial Pipeline事件も「IT担当者が見落としていた休眠アカウント」が発端であった。したがって、「うちは小さいから狙われない」は誤解であり、ランサムウェア攻撃の多くは組織の規模を問わず自動スキャンで脆弱な機器を探し出している。小規模組織は「狙いやすい標的」になりうる。

大規模組織と小規模組織の違い

以下にこの違いについて表でまとめてみる。完全な内容ではなくあくまで特徴的な点をまとめたものである。

観点大規模組織小規模組織
IT専任担当いる(チームで対応)いない・兼任が多い
IdP整備状況Entra ID等すでにあるMicrosoft 365、Google Workspace導入済みなら実質整備済み。オンプレADのみの場合はクラウドIdPが未整備
ポリシー設計・維持専任チームが担える誰がやるか問題になる
予算ある程度確保できる限られることが多い
外部ベンダー管理数十社。管理が複雑数社。関係は密だが管理が属人化しやすい
リスクの特徴攻撃対象になりやすいパッチ対応、アカウント管理が遅れやすい

大規模組織向けのZTNA移行論では「まずIdPを整備し、ポリシー設計チームを組んで…」という前提が当たり前のように語られる。しかし小規模組織にとってこれらは高いハードルになりうる。IdPについては、Microsoft 365やGoogle Workspaceをすでに導入している組織であれば実質的に整備済みであり、このハードルは低い。一方、オンプレADのみの組織では、クラウドIdPの整備が先行課題になる。いずれにせよ、VPNを使い続けることのリスクは規模に関係なく存在する。

したがって、「大規模組織と同じアーキテクチャを目指しながら、小規模組織の制約(人員、予算、IT成熟度)に合った現実的な進め方はないか」ということを考えてみたい。以下にその選択肢を示す。

小規模組織向けの現実的な選択肢

選択肢A:クラウドZTNA(SaaS型)の直接導入

小規模組織にとって最も現実的なアプローチは、SaaS型のZTNAを直接導入することであると考える。近年、以下に示すように中小向けの価格設定、シンプルな管理画面を持つ製品が増えているので、これを利用することを考えたい。

製品・サービス特徴小規模向けの適合性
Cloudflare Zero Trust無料枠あり(50ユーザーまで)。セットアップが比較的容易。◎ 無料枠で試せる点が強み
TailscaleWireGuardベースのL4型。
UIがシンプル・設定が少ない・無料プランあり		◎ IT担当が少ない組織に向く
Twingateエージェントレス対応あり。SaaSライクな管理画面・中小向けプランあり○ 外部ベンダー管理に有効
Microsoft Entra ID + アプリプロキシMicrosoft 365ユーザーなら追加コスト低い。IdP兼用できる○ M365導入済みなら検討しやすい

これらの製品の共通点は「IdPとしてGoogle WorkspaceやMicrosoft 365を使える」という点である。Microsoft 365やGoogle Workspaceを導入済みの組織であれば、ZTNAに必要なIdP機能はすでに手元にある。オンプレADのみの組織と異なり、IdP整備のためだけに新たな製品、費用が発生しない点でZTNA移行のハードルが低い。ただしライセンスプランによっては条件付きアクセスやデバイスポスチャ評価に必要な機能が含まれない場合があるため、事前に確認が必要だ。

【技術的な補足】三層への対応と残存リスク

第1層(CVE): VPNアプライアンスを廃止するためダークIPが実現し、CVEを突く直接攻撃の入口がなくなる。ただしIdP自体は外部公開されており、そこへの攻撃は別途対策が必要になる。
第2層(認証情報): IdP連携でMFAを必須化しやすく、アカウントの即時失効も容易になる。残存リスクはMFA疲労攻撃・AiTMフィッシングのようなセッション乗っ取りなどがある。
第3層(設計思想): 「公開ポートをなくす」と「認証後のネットワーク全体アクセスを制限する」の両方が実現できる。残存リスクはポリシー設計が粗い場合の形骸化と、移行期にVPNとZTNAが並存することによるハイブリッドリスクが考えられる。

【補足】ADドメイン非参加の独立ネットワーク(子会社・グループ会社等)への適用

子会社やグループ会社が、親会社のADドメインに参加しておらず、IdPやZTNA基盤を含めて独立した環境を運用していることがある。このような場合でも、エージェント型ZTNAは各組織単位で独立して導入・運用できる。ZTNAの実装は必ずしも親会社とのIdP統合やディレクトリ統合を前提とするものではなく、各組織が自らのIdPとポリシー基盤を用いてアクセス制御を完結させる構成も技術的に成立する。
一方で、IdPとZTNA基盤が組織ごとに分離された構成では、アクセス制御ポリシーと認証・認可の判断が各組織内で完結するため、組織横断的なポリシーの一元適用や統合的なアクセス制御は実現されない。親会社と子会社の間でユーザー属性やデバイス状態に基づく統一したコントロール(条件付きアクセスやリスクベース認証など)を実現したい場合は、IdPの統合またはSAML・OIDCによるフェデレーションが前提条件になる。
整理すると、エージェント型ZTNAはIdP統合の有無にかかわらず導入できる。ただし「各組織が独立して運用する構成」と「組織横断的に統合して運用する構成」では実現できることが異なる。そこで、まず子会社単体でZTNAを導入し、その後グループ全体でのIdP統合・フェデレーションを段階的に進めるアプローチが現実的と思われる。
なお、グループ共通のIDaaS基盤が整備されていればスムーズだが、現実にはアカウント構成が組織ごとに異なるケースが多い。製品によって対応は様々だが、以下のようなパターンで環境に合わせた接続設計を検討することが考えられる。

  • IDaaSとのSSO連携: 子会社が独自のIdPを持つ場合、SAML・OIDCによるフェデレーションでZTNA製品と連携させる(上記内容)
  • インストーラへのユーザー情報埋め込み: エージェントのインストーラにユーザー情報をあらかじめ組み込み、端末単位で設定を完結させる
  • メール認証の利用: IDaaS統合が難しい環境では、メールアドレスベースの認証で接続を許可する構成も選択肢になる

いずれのパターンも、組織単位、場合によっては端末単位での個別設計が必要になる。「まず動かせる構成で導入し、IdP統合は並行して進める」というような段階的なアプローチが現実的と考える。

選択肢B:外部ベンダーアクセスだけをZTNA化する

全社員のリモートアクセスをZTNAに切り替えるのが難しくても、「外部ベンダー・委託先のアクセスだけをZTNAに変える」という部分的なアプローチは小規模組織でも現実的である。
外部ベンダーへのVPN発行は、小規模組織でも特にリスクが高い部分である。保守ベンダーが退職しても誰も気づかずアカウントが残る、複数のベンダーが同じVPN認証情報を共有しているなど、こういった問題は小規模組織では起きやすい。
ZTNAで外部ベンダーのアクセスを管理することで、以下のような効果が得られる。

  • アクセスを「必要なサーバー、ポートのみ」に限定できる(保守対象サーバーへのSSHのみ等)
  • 契約終了時にアクセス権を即時削除できる(ゾンビアカウントの防止)
  • アクセスログを記録し、不審な操作を把握できる

【技術的な補足】三層への対応と残存リスク

第1層(CVE): 外部ベンダー向けのVPNアプライアンスをなくすことができるが、社員向けVPNが残る場合は第1層のリスクが継続する。
第2層(認証情報): 外部ベンダーのゾンビアカウント、アクセス過剰という最も典型的な第2層のリスクを効果的に抑制できる。SDPアーキテクチャを採用することで、ベンダーデバイスにエージェントなしで制御を適用できる。
第3層(設計思想): 外部ベンダーの部分ではラテラルムーブメントを抑制できるが、社員向けVPNが残る限りそちらの設計思想の欠陥は解消されない。部分的な対処にとどまる点を認識した上で、段階移行の第一歩として位置づけるのが現実的と思われる。

選択肢C:VPNを維持しながら第2層を徹底する

今すぐZTNAに移れない場合でも、認証情報管理(第2層)を徹底するだけでリスクを大幅に低減できる。これは予算がほぼかからない対策でもあるし、「VPNを使い続けながらできる最低限の対策」と考えられる。ZTNAへの移行計画と並行して、今日から実施できるものである。

  • 全VPNアカウントにMFAを設定する
  • 退職者・外部委託先の未使用アカウントを今すぐ棚卸しして無効化する
  • パスワードポリシーを強化し、過去に漏洩したパスワードが使われていないか確認する。Have I Been Pwned等のサービスで自社ドメインのメールアドレス漏洩を確認するのも有効である。

【技術的な補足】三層への対応と残存リスク

第1層(CVE): VPNを維持するため第1層のリスクはそのまま残る。パッチ未適用の期間が「無防備な状態」であることは変わらない。
第2層(認証情報): MFA徹底とアカウント棚卸しで最も頻度の高いリスクを直接低減できる。コストがほぼかからない割に効果が大きいと思われる。残存リスクはMFA疲労攻撃・AiTMフィッシングなどがある。
第3層(設計思想): VPNの設計思想の欠陥は解消されない。公開ポートは残り続け、認証後のラテラルムーブメントも許容されたままである。

選択肢D:MSP(マネージドサービスプロバイダ)の活用

IT担当者が一人または兼任の組織では、ZTNAの導入・運用を自社でやりきることが難しい場合がある。その場合、ZTNAの導入・運用をMSPに委託するアプローチが現実解になりうる。
日本国内でもZTNAの導入支援・運用代行を提供するMSPが増えつつある。ポリシー設計・監視・インシデント対応を含めて委託することで、「担当者が一人でも動かせる」体制を作れる可能性がある。

ただし、MSPに委託する場合は、責任分界点、ログへのアクセス権、インシデント発生時の対応などのSLAを契約段階で明確にしておくことが重要である。「任せきり」にすることは、問題が起きたときの対応が遅れるリスクになる。

【技術的な補足】三層への対応と残存リスク

第1層・第3層(CVE・設計思想): 選択肢Aと同様の効果が得られる。MSPがZTNAを運用することでVPNアプライアンスを廃止でき、ダークIPと最小権限アクセスを実現できる。
第2層(認証情報): MSPがアカウント管理・棚卸しを代行することで、属人化リスクを軽減できる。

残存リスクとして、MSP自体が侵害された場合に自組織のZTNA環境に影響が及ぶ可能性がある。また責任分界点が不明確なままだとインシデント対応が遅れるリスクがある。MSP選定時にはSLAの確認が重要である。

発展形としてのSSE(Security Service Edge)

選択肢ではないが、SSE(Security Service Edge)がある。GartnerがSASEのセキュリティ機能部分として定義したもので、以下の機能をクラウドで統合して提供する。

  • SWG: Webトラフィックのフィルタリング・マルウェア検査
  • CASB: SaaS/クラウドアクセスの可視化・制御・データ漏洩防止
  • FWaaS: クラウド型ファイアウォール

SaaSを中心に業務を行っている小規模組織では、ZTNAだけでは「誰がどのSaaSに接続しているか」「シャドーITが発生していないか」「SaaS上のデータが外部に持ち出されていないか」といった可視性・制御の課題が残りやすい。SSEはこれらをZTNAと一体で解決できる点で、SaaSセキュリティに課題を抱える組織に特に適している。
SSE導入について、小規模組織にとっての現実的な進め方としては、まずZTNA(選択肢A)から始め、SaaSの可視性・制御の課題が顕在化した段階でSSEに発展させる段階的なアプローチが適切と考える。Zscaler、Netskope、Cloudflare One等の主要SSE製品は中小向けのプランを提供している。

【技術的な補足】三層への対応と残存リスク

第1層・第3層(CVE・設計思想): ZTNAを前提とするため、VPNアプライアンスを廃止でき、ダークIPと最小権限アクセスが実現する。
第2層(認証情報): ZTNAのMFA必須化・アカウント管理に加え、CASBによりSaaS上の異常なデータアクセスの検知も可能になる。
残存リスクはZTNA単体と同様で、IdPへの攻撃、ポリシー形骸化、ハイブリッド移行期のリスクがある。加えてSSEは機能が多い分、設定の複雑さが増す点は考慮が必要かもしれない。

以上の4つの選択肢とSSEについて、VPNのリスク三層を表にまとめると以下になる。

選択肢三層対応残存リスク
選択肢A(SaaS型ZTNA導入)第1層◎ 第2層○ 第3層◎IdP自体への攻撃、ポリシー設計の粗さ、移行期のハイブリッドリスク
選択肢B(外部ベンダーのみZTNA化)第1層△ 第2層○ 第3層△社員のVPNは残るため第1層・第3層の問題は社員アクセス部分で継続
選択肢C(VPN維持+第2層の徹底)第1層✕ 第2層○ 第3層✕第1層・第3層は未解決のまま。CVE発見時の無防備期間とラテラルムーブメントリスクは継続
選択肢D(MSP経由のZTNA)第1層◎ 第2層○ 第3層◎MSPへの依存による責任分界点の不明確化、MSP自体が侵害された場合の影響拡大のリスク
SSE(ZTNA+SWG+CASB)第1層◎ 第2層◎ 第3層◎IdPへの攻撃、ポリシー形骸化、設定の複雑さが増大(MSP経由が代案)

(注:◎=根本的に対処、○=対処できる、△=部分的、✕=対処できない)

小規模組織が陥りやすい落とし穴

「外部ベンダーと長い付き合いだから大丈夫」

信頼関係がある外部ベンダーだからこそ、アクセス権の見直しが後回しになりやすい。しかし攻撃者はベンダーの認証情報を狙ってくる。ベンダーとの信頼関係とアクセス権の適切な管理は別の話として考える。

「うちはSaaSしか使っていないからVPNは関係ない」

SaaS中心の組織でもVPNを使っているケースは多い。バックオフィスシステム、社内ファイルサーバー、クラウド管理コンソールへのアクセスにVPNを使っていないか等、今一度確認することが必要と考える。

「無料プランのZTNAで十分」

無料プランはスタートに最適だが、ユーザー数、ログ保存期間、サポートに制限がある場合が多い。特にログ保存はインシデント発生時の調査に不可欠であり、無料プランの制限を把握した上で判断する必要がある。

「スプリットVPNで設定したから大丈夫」

スプリットVPNは、通信先によってVPN経由と直接インターネット経由を使い分ける設定である。たとえば「社内リソース宛てはVPN経由、Microsoft 365やYouTubeは直接インターネットへ」という形で通信経路を分割する。SaaSアクセス時のバックホール問題(遅延・帯域圧迫)を軽減できるため、テレワーク環境で広く使われている。
課題としては、VPN外に出るトラフィック(SaaS・クラウド宛て)には、社内のセキュリティポリシーが適用されなくなる。シャドーITが発生しても可視化できず、社外からの通信がそのままエンドポイントに届く状態になる。またスプリットVPNはVPNの第3層の設計思想の問題(公開ポートによるアタックサーフェスとラテラルムーブメントの許容)は残るので、利用にあたってはこのような点を注意する必要がある。

小規模組織が今日から始められること(優先順位順)

小規模組織が取れる行動を、コストと緊急度で整理すると以下のようになると考える。

  • 【今すぐ・コストほぼゼロ】VPNアカウントの棚卸し: 退職者・外部委託先の未使用アカウントを洗い出して無効化する
  • 【今すぐ・コストほぼゼロ】MFAの全アカウントへの設定: Microsoft 365やGoogle Workspaceの認証機能を使えばほぼ無料で実現できる
  • 【今すぐ・コストほぼゼロ】VPN機器のパッチ確認: 使用中のVPN製品の最新CVEと適用状況を確認する
  • 【短期・低コスト】外部ベンダーアクセスをZTNAに移行: Cloudflare Zero TrustやTailscaleの無料プランで試験導入できる
  • 【中期・要予算検討】全社員のリモートアクセスのZTNA化: Microsoft 365等のIdPを活用し、段階的に移行する

まとめ

小規模組織には、小規模組織向けの方法がある。「VPNは危ない」という問題は規模に関係なく当てはまるが、解決策は大規模組織と同じである必要はない。SaaS型ZTNAの活用、外部ベンダーアクセスからの部分的移行、MSPの活用など、規模に合った現実的な選択肢が存在する。まず今日できることから始め、段階的にアーキテクチャを近代化することが重要であると考える。

参考資料

以上

VPN利用の現状と脱VPNの現実性について

コメントをどうぞ

第5回SaaSセキュリティリーグ会議

「SaaSセキュリティリーグ」は、SaaSユーザー企業の実務者同士で情報交換を行う取り組みである。SaaS管理者やセキュリティ担当者を横串でつなぎ、知見交換を行うことで、セキュリティレベル向上に貢献していくことを目的としている。ここでは、「SaaSセキュリティリーグ」が行った第5回会議の内容をまとめて公開する。

問題点の概要

「VPNは危険だ」という言説が広まっている。ランサムウェア被害の報道でVPNが侵入経路として言及されることが増え、セキュリティベンダーはこぞって「脱VPN・ゼロトラスト移行」を訴えている。

このような状況を受けて、今回のSaaSセキュリティリーグでは、VPN利用の現状、ZTNAへの移行状況等についてディスカッションを行った。

ディスカッション内容

  1. VPN利用状況の現状:VPNをどのような用途で使っているか
    VPN自体は、現状各組織で使われている状況である。VPNの問題自体は認識されており、ZTNAへの移行に向けての作業、準備が進められている。
    VPNの利用については、以下の3つのポイントで考える必要があり、この中で、VPNの廃止を進めているのは、リモートアクセスおよびサードベンダー用アクセスということである。
    • 従業員のリモートアクセス
    • サードベンダー用アクセス
    • 拠点間アクセス

      また、お客様の方でVPNアクセスを求められることがあり、これはVPN接続せざるをえないという指摘があった。その際には、運用として会社のネットワークからは使わせないようにする対応を取っているとのことである。
  2. SaaS/クラウドへのアクセスはVPN経由かどうか
    リモートアクセスとSaaSアクセスは特に区別せず同じ扱いをしている。
    一旦オンプレにつないでからクラウドにアクセスしている。
    スプリットVPNも使われているが、あくまで限定した形での利用とている。特に、Zoom・Teams等のリアルタイム通信が必要とされる場合に利用している。

    クラウドアクセスのパターンは以下の3つに分けられる:
    • SASE/CASB経由
    • 端末からダイレクトにクラウドサービスに接続(パフォーマンス、可用性の問題)。
    • ZTNAであっても、一旦社内に持ってきてからインターネットに接続する(アクセス元を管理したいケースに利用)。IPアドレスでコントロールし、外に出るIPアドレスで経路を特定することができる。
  3. VPN廃止の検討、計画の状況
    従業員のリモートアクセスおよびベンダーアクセスVPNは全廃の方向で進めている。従業員のリモートアクセスについては、インターネット経由はすでに無くしているところもあり、ZTNAに移行している。リモートデスクトップに近いやり方で制御している。
    ベンダーアクセスについては、なるべく無くす方向で進めている。主要な相手とは専用回線のVPNで対応している。
    拠点間アクセスは、継続してVPNを利用している。
  4. ZTNA(SASE)への移行の問題点
    VPNを廃止する場合の問題点として、以下が上げられた:
    • SIPがルーターを超えられないので、VPN接続せざるを得ないところがある。コールセンターの音声系など。
    • SASEが高い。
    • 子会社の一部などADドメインに参加していない独立したネットワークがある。ADドメインに参加していない子会社の端末でも、ZTNAエージェントをインストールしてIdPでログインできれば、同じポリシーで制御できるのではないか。
    • SaaS製品の問題がネットワーク側の問題とされるケースがあるが、SASEとほかの製品との問題点の切り分けは特に問題にはなっていない。
  5. その他
    • 中小企業向けの対策としてZTNAはどうなのか、軽量な接続方法としてVPNは残るかという観点での検討が必要ではないかという指摘があった。Tailscale などの利用の検討する必要があるとのことである。また、SaaSを中心に業務を行っている小規模組織に対しては、SSEの利用も考えられるのではという指摘があった。
    • 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」において、発注者(委託元)が取引先(受注者・委託先)に対してセキュリティ強化を依頼した場合に、セキュリティ対策コストの価格転嫁ができるとの意見があった。これにより、ZTNAへの移行が進められるかもしれないという指摘である。
  6. 参考資料

以上

 「AI脆弱性の嵐 (AI Vulnerability Storm)」: 「Mythosレディ」なセキュリティプログラムの構築」を公開しました。

コメントをどうぞ

2026年4月19日
CSAジャパン 諸角昌宏

本ブログでは、「AI脆弱性の嵐 (AI Vulnerability Storm)」: 「Mythosレディ」なセキュリティプログラムの構築」について記載します。

「AI脆弱性の嵐 (AI Vulnerability Storm)」: 「Mythosレディ」なセキュリティプログラムの構築」は、CSA CISO Community, SANS, [un]prompted, the OWASP Gen AI Security Project,等のコミュニティが公開した「The “AI Vulnerability Storm”: Building a “Mythosready” Security Program」をCSA本部の承認のもとに翻訳して公開したものになります。
AIを活用した脆弱性発見とエクスプロイト開発は劇的に加速しています。脆弱性の公開から悪用されるまでの期間は短縮しており、セキュリティチームには、現在の運用モデルでは対応しきれないほどの迅速な対応が求められています。本ブリーフィングは、CISOおよび経営層向けの枠組みと実践的なガイダンスとして、AI主導の攻撃が新たな基準となった世界で活動するために必要な、即時の対応策、短期的な優先事項、そして長期的な変革の概要を解説しています。
なお、本資料は、16名の著者、約250名のCISOおよび実務家によるレビューア、CISA、NSA、ホワイトハウスの元幹部らによる驚くべき共同作業で作られています。

こちらからダウンロードしてご覧ください

ゼロトラスト関連用語を整理する ~ ZT・ZTA・ZTNA・SDP の違い

2件の返信

2026年4月12日
CSAジャパン ゼロトラストWG
CCZT(Certificate of Competence in Zero Trust)
諸角昌宏

はじめに

「ゼロトラスト」という言葉が広く使われるようになった一方で、ZT・ZTA・ZTNA・SDPという関連用語が混在して使われ、混乱を招くケースが増えている。これらは互いに密接に関連しているが、指し示す概念の範囲や性格はそれぞれ異なる。本ブログでは、各用語の定義・関係性・違いを整理し、正確な理解の助けとなることを目指す。

全体像:4つの用語の関係

4つの用語は以下のような階層関係にある。ZTが最も広い概念であり、ZTA・ZTNA・SDPはそれを具体化・実装化していく階層に位置する。

すなわち、ZTという概念をシステム設計として具現化したものがZTAであり、ZTAを実現する技術カテゴリの一つがZTNA、そしてZTNAの具体的な実装アプローチがSDPである。

ZT(Zero Trust:ゼロトラスト)

定義

ZTとは「すべてのアクセスを検証する(Never Trust, Always Verify)」というセキュリティの概念・原則である。ネットワークの内側・外側を問わず、いかなるユーザー・デバイス・アプリケーションも、明示的に認証・認可されるまでは信頼しないという考え方に基づく動的・継続的な信頼評価モデルである。2010年にForrester ResearchのアナリストJohn Kindervagが提唱したことが起源とされている。

主な原則(NIST SP 800-207より)

  • すべてのデータソースとコンピューティングサービスをリソースとみなす
  • ネットワークの場所に関係なく、すべての通信を保護する
  • 企業リソースへのアクセスは、セッション単位で付与する
  • リソースへのアクセスは、ダイナミックなポリシーやその他の行動・環境属性によって決定する
  • すべての資産の完全性とセキュリティ動作を監視し、測定する
  • すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
  • 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティポスチャの改善に利用する

重要なポイント

ZTは製品でも技術でもなく、考え方である。「ゼロトラスト製品を導入した=ゼロトラストを実現した」とはならない。ZTはあくまで組織のセキュリティ戦略の指針であり、その実現手段がZTAである。

ZTA(Zero Trust Architecture:ゼロトラストアーキテクチャ)

定義

ZTAとは、ZTの原則を組織のシステム・インフラ・ワークフローに適用するためのシステム設計・アーキテクチャである。NIST SP 800-207が最も権威ある技術ガイドラインとして広く参照されている。

主なコンポーネント

NIST SP 800-207はZTAの論理的なコンポーネントとして以下の3つを定義している。

コンポーネント略称役割
ポリシーエンジンPEアクセスの許可・拒否を最終決定する
ポリシーアドミニストレータPAPEの決定をPEPに伝達・実行させる
ポリシー実施ポイントPEP実際にアクセス制御を執行するゲートキーパー

PEはトラストアルゴリズムを用いて、アイデンティティ・デバイス状態・脅威インテリジェンス・行動履歴などを総合的に評価し、動的にアクセス判断を行う。

ZTとZTAの違い

ZTZTA
特徴概念・原則設計・構造
目的「何を目指すか」「どう設計するか」
具体性抽象的具体的(コンポーネント・データフローを定義)

ZTNA(Zero Trust Network Access:ゼロトラストネットワークアクセス)

定義

ZTNAはゼロトラスト原則に基づくアクセス制御のカテゴリであり、VPNの代替となるケースも多いが、すべてのユースケースを置き換えるものではない。現在はZTAを構成する重要な要素として、より広い役割を担うものと位置づけられている。

VPNとZTNAの比較

観点VPNZTNA
アクセスの粒度ネットワーク全体への接続アプリケーション単位での接続
信頼モデルネットワーク内を信頼常に検証(Never Trust)
可視性限定的継続的なモニタリング
リスク侵害時にラテラルムーブメントが容易最小権限によりラテラルムーブメントを制限
スケーラビリティアーキテクチャ変更が困難クラウドネイティブで拡張が容易

ZTAとZTNAの違い

ZTAはゼロトラスト全体のアーキテクチャ設計であるのに対し、ZTNAはその中のネットワークアクセス制御に特化した市場カテゴリである。ZTNAはZTAを実現するための要素の一つであり、ZTAにはZTNA以外にも、アイデンティティ管理・エンドポイント管理・データセキュリティなど多くの要素が含まれる。

ZTAZTNA
特徴アーキテクチャ設計技術カテゴリ
範囲ゼロトラスト全体ネットワークアクセス制御に特化
目的どう設計するかどうアクセスを制御するか

SDP(Software Defined Perimeter)

定義

SDPとは、ネットワークの境界をソフトウェアによって動的に定義するアーキテクチャアプローチである。SDPはZTNAを実現する一つのアーキテクチャであるが、ZTNAはプロキシ型など複数の実装方式を含む。

仕組みの特徴

SDPの核心は「接続前に認証する(Authenticate Before Connect)」という原則である。従来のファイアウォールが「まず接続を許可し、その後にフィルタリングする」のに対し、SDPはネットワーク接続そのものを確立する前にアイデンティティとデバイスの正当性を確認する。CSAが定義し、Google BeyondCorpと思想的に類似している。

主な構成要素は以下のとおりである。

構成要素役割
SDPコントローラアクセスポリシーの管理・認証の決定
SDPクライアントユーザー側のエージェント。接続要求を送信
SDPゲートウェイリソース側のゲートキーパー。許可された接続のみを通過させる

単一パケット認証(SPA:Single Packet Authorization)という技術を用いて、正当なクライアントからのパケット以外にはゲートウェイの存在すら見えないよう設計されている。

ZTNAとSDPの違い

ZTNASDP
特徴技術カテゴリ・機能の定義実装アーキテクチャ・設計アプローチ
策定主体Gartner(市場定義)CSA(技術仕様)
目的何を実現するか(What)どう実現するか(How)
関係より広い概念ZTNAを実現する手段の一つ

多くの場合、SDPはZTNAの選択形態の一つとして採用されており、両者は実質的に重なる部分が大きいが、概念の性格は異なる。

4つの用語の総合比較

観点ZTZTAZTNASDP
特徴概念・原則アーキテクチャ設計技術カテゴリ実装アプローチ
範囲最も広い広いネットワークアクセス制御に特化ZTNAの実現手段の1つ
策定主体Kindervag/ForresterNISTGartnerCSA
主な規格NIST SP 800-207GartnerレポートCSA SDP仕様書
考え方何を目指すかどう設計するかどうアクセスを制御するかどう境界を実装するか

真のゼロトラストを実現するには

ゼロトラストは製品を導入すれば完成するものではない。ZT・ZTA・ZTNA・SDPの各概念を正しく理解した上で、組織全体として段階的に取り組む必要がある。以下に、真のゼロトラスト実現に向けてやるべきこと・考慮すべき点を整理する。

  1. ZTAの全体設計から始める
    最初にやるべきことは製品の選定ではなく、ZTAの全体設計である。「何を守るか(プロテクトサーフェスの定義)」「誰が何にアクセスするか(トランザクションフローの把握)」を明確にした上で、必要な技術要素を選択する順序が重要である。ZTNAやSDPはその後に来る手段であり、目的ではない。
  2. アイデンティティを中核に置く
    ゼロトラストの根幹はアイデンティティの継続的な検証にある。ユーザーIDだけでなく、デバイス・アプリケーション・サービスアカウント(非人間アイデンティティ)を含むすべての主体を対象に、多要素認証(MFA)・最小権限の原則・継続的な認証・認可の仕組みを整備することが不可欠である。
  3. 5つの柱を横断的に整備する
    CISAゼロトラスト成熟度モデルが示すとおり、ゼロトラストはアイデンティティ・デバイス・ネットワーク・アプリケーション/ワークロード・データという5つの柱を総合的に整備して初めて機能する。ZTNAによるネットワークアクセス制御だけを強化しても、デバイス管理やデータ保護が脆弱であれば、ゼロトラストの実効性は限定的となる。
  4. 段階的・反復的なアプローチをとる
    すべてを一度に変えようとすることは現実的でなく、リスクも高い。NSTACモデルが示す5ステップを参照しつつ、まず取り組みやすいプロテクトサーフェスを1つ選んでパイロット的に実施し、そこで得た知見・経験を活かしながら段階的に最も重要な資産(プロテクトサーフェス)へと対象を広げていく反復アプローチが有効である。例えば、既存のISMSを基盤として活用することで移行コストを抑えつつゼロトラストを段階的に展開することも考えられる(参考:CSAジャパン ゼロトラストWG「ISMSを基盤としたゼロトラストの展開」、2026年2月 [6])。
  5. 継続的な監視とポリシーの更新
    ゼロトラストは一度構築すれば終わりではなく、継続的な監視・評価・改善のサイクルが本質である。SIEM・UEBAなどのツールを活用してアクセスログを常時分析し、異常を検知したらポリシーを即座に見直す体制を整えることが求められる。静的なルールに依存したままではゼロトラストの「動的な信頼の評価」という核心を実現できない。
  6. 組織文化とガバナンスの整備
    技術面の整備と同時に、経営層の理解・支援と組織文化の変革が不可欠である。「境界の内側は安全」という従来の前提を組織全体が捨て去ることが、ゼロトラストの出発点である。NIST CSF 2.0が「ガバナンス(GV)」を独立した機能として追加したように、サイバーセキュリティを経営リスクとして位置づけ、責任の所在を明確にする体制づくりが求められる。
  7. ベンダーロックインへの注意
    ゼロトラストを標榜する製品・サービスは数多く存在するが、特定ベンダーの製品体系に過度に依存することは長期的なリスクとなる。NIST SP 800-207が技術中立的な設計を意図しているように、オープンな標準・仕様に基づいたアーキテクチャ設計を心がけ、特定製品への過度な依存を避けることが望ましい。

以上の考慮点を整理すると、以下のとおりである。

やるべきこと・考慮点要点
(1) ZTAの全体設計から始める製品選定より先に何を守るかを定義する
(2) アイデンティティを中核に置く人・デバイス・サービス全体をMFA・最小権限で管理する
(3) 5つの柱を横断的に整備するネットワークだけでなくデータ・デバイスなども含めて対処する
(4) 段階的・反復的なアプローチ1つのプロテクトサーフェスから始め知見を積み上げる
(5) 継続的な監視とポリシー更新静的なルールに依存せず動的に見直し続ける
(6) 組織文化とガバナンスの整備経営層の理解と責任体制の明確化が前提となる
(7) ベンダーロックインへの注意特定製品依存を避け標準ベースの設計を心がける

よくある誤解

誤解1:「ZTNA製品を導入すればゼロトラストが実現できる」

ZTNAはZTAの一要素である。ネットワークアクセス制御が改善されても、アイデンティティ管理・エンドポイントセキュリティ・データ保護が伴わなければ、ゼロトラストの実現とはいえない。

誤解2:「SDPとZTNAは同じものだ」

SDPはZTNAを実現する実装アプローチの一つであるが、ZTNAはSDP以外の技術(IDベースのプロキシ等)でも実現できる。両者は重なるが同義ではない。

誤解3:「ゼロトラストはVPNを完全に置き換えるものだ」

ZTNAはリモートアクセスにおけるVPNの有力な代替であるが、すべてのユースケースでVPNが不要になるわけではない。ZTNAはLayer 7(アプリケーション層)での制御を前提とするため、ネットワーク機器の管理やレガシーシステムへの低レイヤー接続、OT・ICS環境など、ネットワークレベルのアクセスが必要な場面ではVPNが引き続き有効である。また、既にVPNインフラを持つ組織では一度に全面移行することは現実的でない。当面はZTNAとVPNを用途に応じて使い分けながら段階的に移行していくアプローチが現実的である。

まとめ

4つの用語の関係を改めて整理する。

  • ZTは「すべてを検証する」というセキュリティの概念である
  • ZTAはその概念を実現するシステムアーキテクチャの設計である
  • ZTNAはZTAを構成する要素の一つで、ネットワークアクセス制御に特化した技術カテゴリである
  • SDPはZTNAを実現する具体的な実装アーキテクチャアプローチである

これらは階層的な関係にあり、上位の概念が下位を包含する。組織がゼロトラストを推進する際は、製品・技術の導入に先立ち、ZTの原則とZTAの設計思想を理解した上で取り組むことが重要であると考える。

参考文献

[1] NIST, “Special Publication 800-207: Zero Trust Architecture,” National Institute of Standards and Technology, 2020.

[2] CISA, “Zero Trust Maturity Model Version 2.0,” Cybersecurity and Infrastructure Security Agency, 2023.

[3] NSTAC, “NSTAC Report to the President on Zero Trust and Trusted Identity Management,” National Security Telecommunications Advisory Committee, 2022.

[4] Cloud Security Alliance, “SDP Specification v2.0,” 2022.

[5] J. Kindervag, “Build Security Into Your Network’s DNA: The Zero Trust Network Architecture,” Forrester Research, 2010.

[6] 諸角昌宏(CSAジャパン ゼロトラストWG), “ISMSを基盤としたゼロトラストの展開,” CSAジャパンブログ, 2026年2月16日. https://cloudsecurityalliance.jp/newblog/2026/02/16/isms%e3%82%92%e5%9f%ba%e7%9b%a4%e3%81%a8%e3%81%97%e3%81%9f%e3%82%bc%e3%83%ad%e3%83%88%e3%83%a9%e3%82%b9%e3%83%88%e3%81%ae%e5%b1%95%e9%96%8b/

以上

クラウドセキュリティ専門家はもはや不要か? ~ 二方向への分化という視点

コメントをどうぞ

2026年4月6日
諸角 昌宏

本ブログは、CSAジャパンとしての正式な見解ではなく、あくまで筆者の個人的な意見としてまとめたものである。しかしながら、この問題はクラウドセキュリティに関わる人に幅広く関係することとして、このCSAジャパン・ブログに掲載させていただく。皆さんの屈託のない意見をいただければ幸いである。

以前のブログ「クラウドセキュリティは不要か? ~ クラウドセキュリティは情報セキュリティの一部として整理すべきか」では、クラウドセキュリティが情報セキュリティに単純に吸収されて完結するのではなく、「情報セキュリティの基盤の上に専門的な理解が積み重なる」という構造を示した。今回はその続きとして、積み重なった専門的な理解はどこへ向かっているのか、そしてその先に、「クラウドセキュリティ専門家」という職種は存在し続けるのだろうか、という観点で考えてみたい。

結論から言えば、クラウドセキュリティ専門家は不要になる方向にあると考えている。ただしそれは、クラウドセキュリティの知識が当たり前になってきたからである。したがって、「不要か否か」という問いは、少し乱暴かもしれない。大切なのは「なぜ」「どのように」不要になっていくか、という点ではないだろうか。突然消えるわけではなく、独立した専門領域としての輪郭が、二方向からじわじわと溶けていく。それが今クラウドセキュリティに起きていることだと思う。以下、この2つの方向について考えてみる。

第一の方向:上位概念への統合

たとえば、アイデンティティセキュリティを語るとき、その実装基盤はクラウドである。AIセキュリティを語るとき、そのワークロードはクラウド上にある。ゼロトラストを語るとき、その実装環境はクラウドである。クラウドセキュリティの知識は、こうした上位概念の議論の中に自然と溶け込んでいく。この状況において、専門家の肩書きで言えば、「クラウドセキュリティ専門家」という看板を掲げる人は少なくなり、「AIセキュリティエンジニア」「ゼロトラストアーキテクト」「IDセキュリティアーキテクト」といった肩書きを持つ人が増えていくだろう。クラウドの知識はその人たちの中に前提として組み込まれているが、看板には出てこない。これが一つ目の力である。上から押し下げる力、と言えるかもしれない。

第二の方向:基盤層への沈降

もう一つの力は、下から押し上げてくる力である。クラウドセキュリティの考え方が広まるにつれ、その知識はインフラエンジニア、DevSecOpsエンジニア、SRE(Site Reliability Engineering)といった職種の当然の素養になっていく。ネットワークセキュリティの知識がネットワークエンジニアの前提になっているのと同じである。 「クラウドセキュリティを専門とする」という言い方が成り立つためには、その知識がある程度希少である必要がある。しかし知識が現場に浸透し、エンジニアリングの常識になっていくと、その希少性は自然と薄れていく。クラウドネイティブ開発の普及、Infrastructure as Codeの標準化、プラットフォームエンジニアリングの成熟。こうした流れが、クラウドセキュリティの知識を現場に定着させ、専門家が個別に関わらなくても機能する状態へと少しずつ近づいていると考える。

二方向から挟まれる構造

以上の2つの方向の力が同時に働いているのが今のクラウドセキュリティの状況と考える。上からはAI・アイデンティティ・ゼロトラストの専門家として吸収され、下からはインフラ・DevSecOpsエンジニアとして吸収されていく。「クラウドセキュリティ専門家」という独立した専門家像が成り立つ空間が、二方向からゆっくりと埋まっていくというのが、「不要」という意味合いになってくると思われる。

では、何が残るのか

クラウドセキュリティの知識が消えるわけではない。ゼロトラストアーキテクトもAIセキュリティエンジニアも、クラウドセキュリティの理解なしには成り立たない。CCMもISO/IEC 27017もなくなるわけではなく、監査やコンプライアンスの場面で参照され続けるであろう。ただ、その位置づけが変わる。クラウドセキュリティの知識はセキュリティ専門家全般の前提条件になっていくと考えられる。

ただ、一点付け加えたいことがある。前回のブログで「情報セキュリティの基盤の上に専門的な理解が積み重なる」と示したが、そうであれば、その積み重なった知識を次の世代や隣接領域の専門家に伝えていく仕事は、確かに残る。クラウドセキュリティ専門家の役割は「実装の最前線」から「知識の伝承と標準化」へと移っていくと考えられる。CSAのような組織が担ってきたのも、まさにその仕事である。

まとめ

専門家が必要なくなるのは、その知識が当たり前になるからである。概念が整理され、方法論が体系化され、標準や規制に組み込まれ、実装が現場の常識になっていく。ネットワークセキュリティがそうなったように、クラウドセキュリティも今その道を歩んでいる。この観点から、クラウドセキュリティ専門家に残される役割は、大きく二つあると考える。

一つ目は、「次のフロンティアへの参画」である。AIセキュリティ、アイデンティティセキュリティ、エージェントセキュリティといった領域は、まだ答えが出ていない問いに満ちている。クラウドセキュリティで積み上げた知識や経験は、こうした新たな領域を切り拓く上で確かな土台になる。クラウドセキュリティ専門家こそ、次のフロンティアで力を発揮できる存在である。

二つ目は、「知識の伝承と標準化」である。情報セキュリティの基盤の上に積み重なった専門的な知識を次の世代や隣接領域の専門家に伝えていく仕事は、確かに残る。概念が定着し当たり前になっていくからこそ、それを体系化し、標準として整理し、教育として伝えていく役割が必要になる。CSAのような組織が担ってきたのも、まさにその仕事である。

CSAは、既にこの方向に向かっている。最新のCSAのブローシャーにはこう書かれている。「forward-looking cybersecurity topics, including AI, cloud, and Zero Trust」。AIもゼロトラストも、クラウドと並列で挙げられている。クラウドセキュリティはCSAの原点であるが、CSAの活動はそこにとどまらない。クラウドセキュリティが当たり前になりつつある今、CSAは次の「まだ当たり前でない問い」に取り組みながら、その知識を体系化し社会に届ける役割を担っている。また、クラウドセキュリティで培った知識は、次のフロンティアへの確かな土台であり、次の世代へ受け継ぐべき財産でもある。

以上

VPNは本当に危ないのか(続編) ~ ダークIPで防げること・防げないこと

コメントをどうぞ

2026年4月3日
諸角 昌宏

本ブログは、CSAジャパンとしての正式な見解ではなく、あくまで筆者の個人的な意見としてまとめたものである。しかしながら、この問題はクラウドセキュリティに関わる人に幅広く関係することとして、このCSAジャパン・ブログに掲載させていただく。皆さんの屈託のない意見をいただければ幸いである。

本ブログは、3月26日に公開した「VPNは本当に危ないのか」の続編として、VPNの設計思想の問題に対してZTNAが提供している「ダークIP」について掘り下げてみる。なお、前のブログに対して「VPN対策はゼロトラストではないのか」という質問が寄せられた。ここでは、ゼロトラスト(ZT)とゼロトラストネットワークアクセス(ZTNA)の違いについての説明は行わないが、前のブログおよびこのブログで説明しているのは、ZTではなくZTNAであるということを述べておく。

まず、VPNのリスクについておさらいする。VPNのリスクは性質の異なる三つの層に分かれている。

  • 第1層:製品脆弱性(CVE)のリスク——VPN製品自体に脆弱性が発見されるたびに、パッチ適用までの間が無防備な状態になる
  • 第2層:認証情報管理のリスク——漏洩したパスワードやMFA未設定のアカウントが侵入口になる
  • 第3層:設計思想の欠陥——公開ポートによるアタックサーフェスの恒常的な存在と、認証後のラテラルムーブメントを許容する構造

「ダークIP」は、主にこの第3層「設計思想の欠陥」を解決するアプローチである。第1層・第2層のリスクはパッチ管理やMFA強化で対処する一方、ダークIPは公開ポートによるアタックサーフェスを根本から排除することで第3層の問題に対処する。さらにその副次的な効果として、公開ポートが存在しなくなることにより第1層のCVE直接攻撃も成立しにくくなる。ただしダークIPの効果はすべての脅威に及ぶわけではなく、防げる脅威と防げない脅威がある。本ブログではその範囲を整理していきたい。

ダークIPの仕組み

ZTNAの重要な特徴としての「ダークIP」は、サーバーや内部リソースのIPアドレスをインターネット上から不可視化する仕組みである。

VPNではアプライアンスが常時インターネットに公開されたポートを持っている。攻撃者はスキャンエンジンを用いて公開されているポートを見つけ、脆弱性の有無を調べて攻撃を仕掛ける。「公開ポートが存在する=攻撃の入口が常に存在する」という構造になる。 ZTNAのダークIPはこの構造を根本から変えている。内部リソースはZTNAのコネクタ(ゲートウェイ側に設置)を介してのみアクセス可能であり、サーバーのIPアドレス自体がインターネット上に露出しない。攻撃者がスキャンしても存在自体が見えず、直接攻撃の糸口をつかみにくくなる。つまり、以下のような関係になる。

  • VPN: 外部 → 公開ポート(常時露出)→ 内部ネットワーク
  • ZTNA: 外部 → ZTNAゲートウェイ(認証・ポリシー評価)→ 内部リソース(IPアドレス非公開)

なお、ダークIPはアタックサーフェスを大幅に削減することができるが、すべての攻撃を防ぐことができるわけではない。以下でその効果の範囲を整理してみる。

ダークIPで防げること

外部からの無差別スキャン・自動探索

攻撃者はスキャンツールを使い、インターネット上の脆弱なポートを探索する。VPNアプライアンスの公開ポートはこのスキャンに必ず引っかかり、ターゲットリストに載り続けるリスクがある。 ダークIPではサーバーのIPアドレス自体がインターネット上に存在しないため、スキャンの対象にならない。AIによる自動スキャンが高度化している現在、この効果はより重要になっている。

VPNアプライアンス自体へのCVE直接攻撃(第3層対処の副次的効果)

IvantiやFortinetなどVPN製品に重大なCVEが発見されるたびに、公開ポートを持つアプライアンスが直接攻撃を受ける(第1層のリスク)。ダークIPは本来、第3層の設計思想の欠陥——公開ポートの恒常的な存在——を排除するためのアプローチだが、公開ポートがなくなることで攻撃者がCVEを突く糸口自体がなくなることになる。第3層への対処が第1層のリスクも連鎖的に軽減するという副次的な効果となる。

ビジネスサプライチェーン経由の侵入

取引先・委託先・子会社などを踏み台にして本体ネットワークに侵入する手口である。VPNでは委託先に広いネットワークアクセスを与えてしまうため、委託先が侵害されると本体にも被害が及びやすい。

ZTNAの最小権限アクセスと組み合わせることで、委託先のアクセスを特定のアプリのみに限定できる。侵入経路が限定されるため被害範囲を大幅に縮小できる。

VPNでは委託先にVPNアカウントを発行すると、ネットワーク全体への通路を開けることになる。委託先が侵害された場合、その通路を通じて攻撃者が内部を移動できてしまうリスクがある。ZTNAでは「ネットワーク全体ではなく、特定のアプリケーション・リソースへのアクセスのみ許可する」という設計のため、委託先が侵害されても攻撃者が到達できる範囲を許可されたアプリに限定できる可能性がある。

ZTNAでは以下のようなポリシーをアクセスごとに適用できる。なおZTNAの実装アーキテクチャの一形態であるSDP(Software Defined Perimeter)を採用することで、委託先のデバイスにエージェントをインストールしなくても、これらの制御を適用できる。

  • アクセス先の限定: 委託先Aは保守対象サーバーのポート22(SSH)のみ、委託先Bは特定の業務アプリのみ、といった粒度で制御できる
  • 時間・コンテキストによる制御: 接続時間帯・接続元地域・デバイスの健全性(EDR導入済みか等)を条件にアクセスを制限できる
  • セッションの記録・監視: 委託先のアクセスセッションをログとして記録し、異常な操作を検知できる
  • 退職・契約終了時の即時失効: 人事システムとの連携により、委託先の契約終了と同時にアクセス権を自動的に無効化できる(VPNで問題になるゾンビアカウントを防ぐ)

VPNが「委託先にネットワークへの扉を開ける」設計であるのに対し、ZTNAは「必要な窓口だけを、必要な期間だけ、必要な相手にだけ開ける」設計である。ビジネスサプライチェーン攻撃への対策として、ZTNAはVPNより構造的に優れているといえる。

ダークIPで防げないこと

認証通過後のアプリケーション層の脆弱性攻撃

ZTNAは「誰が・どのデバイスから・何に」アクセスするかを制御する。しかしアクセスを許可した後、そのアプリケーション内部にSQLインジェクションやバッファオーバーフロー等の脆弱性があれば、正規ユーザー経由で攻撃が成立してしまうリスクがある。 これはダークIPの問題ではなく、アプリケーション層のセキュリティの問題である。WAF(Webアプリケーションファイアウォール)・SAST・DASTなどの別の対策が必要になる。

ソフトウェアサプライチェーン攻撃

正規のソフトウェアアップデートにマルウェアを混入させる手口として、SolarWinds事件(2020年)がその代表例である。正規の署名付きアップデートとして配布されたため受け取った組織には見分けがつかない。 ZTNAからは「正規デバイス・正規ユーザー・正規ソフトウェア」として認識されてしまうため、ネットワークアクセス制御では防げない。ソフトウェアの完全性の検証はZTNAの対象外であり、SBOM(ソフトウェア部品表)管理・コード署名検証・EDRとの組み合わせが必要である。

内部不正

正規ユーザーによる意図的な悪用はZTNAのポリシー評価を通過してしまう。ただし最小権限の設計により、アクセスできるリソースが限定されるため被害範囲を縮小できる可能性はある。内部不正の防止には、行動監視(UEBA)・職務分掌・定期的なアクセス権レビューなど別の対策が必要となる。

「攻撃対象面の消去」ではなく「削減」

ZTNAの説明でしばしば「攻撃対象面(アタックサーフェス)をゼロにする」という表現が使われるが、これは正確ではない。ダークIPが実現するのは「外部からのスキャン・直接攻撃に対するアタックサーフェスの根本的な削減」である。

認証を通過した後のアプリ層・ソフトウェアサプライチェーン・内部不正といった脅威には効果が及びにくい。ZTNAはセキュリティの万能薬ではなく、多層防御の重要な一層として位置づけるべきである。 WAF・EDR・UEBA・SBOM管理などとの組み合わせが、ZTNAの効果を最大化する。

まとめ:効果の一覧

ここでは、以上の内容をまとめて、ダークIPの効果について以下の表にまとめた。

その他、ZTNAとして別途考慮すべき課題

以上、ZTNAのダークIPについてその効果、課題について整理した。ZTNAについては、その他にも考慮すべき課題がある。それらについて、技術的課題と管理的課題に分けて、深刻度順に整理したので参考にしていただきたい。なお、深刻度は筆者の個人的な評価である。

技術的課題(深刻度順)

  1. IdPの外部公開エンドポイント問題(深刻度:高)
    ZTNAのコントロールプレーンであるIdP(EntraID・Okta等)はインターネットに公開されており、ダークIPの保護対象外である。IdPが侵害されるとポリシー全体が書き換えられ、ZTNAのアクセス制御が根底から機能しなくなるリスクがある。被害範囲が組織全体に及ぶ深刻なリスクであり、IdPの冗長化・MFA強化・Conditional Accessの設計を別途行う必要がある。
  2. 移行期のハイブリッド運用リスク(深刻度:高)
    VPNとZTNAの並行運用期間中は両方の攻撃面が同時に存在する。VPNの公開ポートは残り続け、ZTNAのポリシーはまだ未成熟という状態が生まれやすい。移行設計を誤ると一時的にリスクが増大する逆転現象が起きうるため、段階移行の計画において最も注意が必要な期間である。
  3. デバイスポスチャ評価の限界(深刻度:中)
    ZTNAはデバイスの健全性(EDR導入・パッチ状態等)をポリシー条件にできるが、ポスチャ評価は「既知の基準への適合」を確認するものであり、ゼロデイマルウェアに感染したデバイスが通過してしまう場合がありうる。「ポスチャチェックをしているから安全」という過信が最大のリスクとなる。最小権限設計で被害範囲は限定できるが、過信を防ぐことが重要である。
  4. セッション継続検証の実装の差(深刻度:中)
    ZTNAの原則は「継続的な検証」であるが、製品によってはセッション確立後の再検証頻度が低いものがある。長時間セッション中にデバイス状態が悪化しても検知されない場合がありうる。製品選定時に再検証の頻度・トリガー条件を評価基準に含めるべきである。

管理的課題(深刻度順)

  1. ポリシー設計・維持の継続的負荷(深刻度:高)
    最小権限ポリシーは「設計して終わり」ではなく、業務変化に合わせた継続的な見直しが必要である。放置されたポリシーはVPN同様の広範アクセスを許容することになりかねず、ZTNAを導入した意味が損なわれるリスクがある。さらに「ZTNAを入れているから安全だ」という誤った安心感を生みやすい点が深刻である。ポリシーレビューの頻度・体制・担当者スキルを運用設計に組み込む必要がある。
  2. 責任分界点の明確化(深刻度:高)
    ZTNAをSaaSで利用する場合、セキュリティの責任がどこまでベンダー側にあるかを明確にする必要がある。インシデント発生時に責任の所在が不明確だと対応が遅れ被害が拡大するおそれがある。調査・対応における情報提供義務・ログへのアクセス権・SLAの内容を契約段階で確認すべきである。
  3. ベンダーロックインとガバナンス(深刻度:中)
    ZTNAは標準化が未成熟であり製品間の相互運用性が低い。特定ベンダーに依存した構成になると乗り換えコストが高くなりうる。ベンダー選定時に「標準プロトコルへの準拠度」「データのポータビリティ」を評価基準に含めるべきである。後からの対処が困難な点で長期的なリスクが高い。
  4. ログの保全とコンプライアンス(深刻度:中・業種依存)
    ZTNAのコントロールプレーンがSaaSで提供される場合、アクセスログがベンダーのクラウドに保存される。ログの保存期間・保存場所・アクセス権がISMS・個人情報保護法・金融規制等のコンプライアンス要件を満たすかを確認する必要がある。特に、金融・医療等の規制業種では深刻度が最上位になりうる。

以上