ゼロトラスト - ゼロトラストアーキテクチャ
「信頼しない、常に検証する」を原則とするセキュリティモデル。ネットワークの内外を問わず、すべてのアクセスを検証する。
概念図
実例
nginx のリバースプロキシで認証を挟む構成例
bash
location / {
auth_request /auth;
proxy_pass http://backend;
}Kubernetes の NetworkPolicy でポッド間通信を制限
bash
kubectl apply -f network-policy.yamlゼロトラストの基本原則
従来の境界型セキュリティ(社内ネットワーク = 安全)に対して、ゼロトラストは以下の原則に基づきます。
- すべてのアクセスを検証: ネットワークの場所に関係なく、すべてのリクエストに認証・認可を要求する
- 最小権限アクセス: 必要なリソースに対して最小限の権限のみ付与する
- マイクロセグメンテーション: ネットワークを細かく分割し、横方向の移動(ラテラルムーブメント)を制限する
- 継続的な検証: セッション開始時だけでなく、継続的にデバイスの状態やユーザーの行動を評価する
- 暗号化の徹底: 社内ネットワークであっても全通信を暗号化する
導入のアプローチ
- ID 中心のアクセス制御: IdP(Identity Provider)を中心に据え、SSO + MFA を全サービスに適用する
- デバイス信頼性の評価: MDM(Mobile Device Management)と連携し、デバイスのセキュリティ状態を確認する
- 段階的な導入: 一度にすべてを変更するのではなく、重要なシステムから段階的にゼロトラストを適用する
- SDP(Software Defined Perimeter): ネットワーク境界をソフトウェアで動的に定義する
- SASE(Secure Access Service Edge): ネットワーク機能とセキュリティ機能をクラウドで統合するアーキテクチャ
関連トピック
ファイアウォール- ネットワークトラフィックを監視・制御し、不正なアクセスを遮断するセキュリティ装置。パケットフィルタリングやステートフルインスペクションなどの方式がある。 VPN(仮想プライベートネットワーク)- パブリックネットワーク上に暗号化されたトンネルを構築し、安全な通信を実現する技術。リモートアクセスや拠点間接続に使われる。 IDS/IPS(侵入検知/防止システム)- ネットワークやホストへの不正アクセスをリアルタイムに検知(IDS)または検知して遮断(IPS)するシステム。 シークレット管理- API キー、パスワード、証明書などの機密情報を安全に保管・配布・ローテーションする仕組み。ハードコーディングの防止が基本。