情報処理安全確保支援士(SC)試験において、「ゼロトラスト」という概念の出題が増加しています。クラウド化やリモートワークの普及を背景に、従来の境界型セキュリティでは守りきれない現実が明らかになってきたからです。
インフラエンジニアとして働き始めた1999年当時、私はファイアウォール(FW)を設置すれば社内ネットワークは守られると信じていました。やがてCIOに就任した2005年以降は、拠点間通信をVPNで暗号化することで安心感を持っていました。しかし現在、リモートワークが一般化した環境でVPNクライアントのバグが社内ネットワーク全体の汚染リスクになりうると認識したとき、従来の「境界を守れば安全」という発想が根本から問い直されていることを実感します。
この記事では以下のことを学べます。
- ゼロトラストの定義とNIST SP 800-207の概要
- GoogleのBeyondCorpが誕生した背景とアーキテクチャ
- Chrome Enterprise PremiumとIdentity-Aware Proxy(IAP)の仕組み
- SC試験でゼロトラスト関連問題に対応するための知識の整理
ゼロトラストとは何か:「信頼しない」から始めるセキュリティの考え方
ゼロトラストは「すべてを検証し、何も信頼しない(Never trust, always verify)」という考え方に基づくセキュリティモデルです。従来の境界型セキュリティとの違いと、定義の根拠となるNIST SP 800-207をあわせて整理します。
境界型セキュリティの限界
境界型セキュリティとは、社内ネットワークと外部ネットワークの境界にFWやVPNを設置し、「内側は安全」「外側は危険」という前提でアクセスを制御するモデルです。回線速度もハードウェアも限られていたオンプレミス全盛期には、境界さえ守れば内側の通信をある程度信頼できた時代が確かにありました。
しかし、このモデルには致命的な弱点があります。境界を突破されると、内側のリソースへのアクセスがほぼ無制限に近い状態になるという点です。標的型攻撃やフィッシングによって一度社内に足がかりを作られれば、横断的な移動(ラテラルムーブメント)が容易になります。さらにリモートワークの普及により、「社内」と「社外」の境界自体が曖昧になっています。
VPNも万能ではありません。VPNクライアントにバグや脆弱性があった場合、接続したエンドポイントが侵害されているとVPNを通じて社内ネットワーク全体に被害が拡大するリスクがあります。近年もVPNアプライアンスやVPNクライアントソフトウェアの脆弱性を突いた攻撃は後を絶たず、IPA(情報処理推進機構)も繰り返し注意喚起しています。「信頼の橋」であるVPNが折れたときの被害が甚大になるのは、VPNを信頼しすぎているためです。
ゼロトラストの定義とNIST SP 800-207
「ゼロトラスト」という用語を最初に提唱したのは、Forrester Researchのアナリストであるジョン・キンダーバーグ氏で、2010年のことです。その後、この概念に実装の具体性を与えたのが米国標準技術研究所(NIST)による「NIST SP 800-207 Zero Trust Architecture」(2020年8月正式公開)です。
NIST SP 800-207は、ゼロトラストアーキテクチャを構成する以下の7つの基本原則を定義しています。
- すべてのデータソースとコンピューティングサービスをリソースとみなす
- ネットワークの場所にかかわらず、すべての通信を保護する
- 個別のセッションごとにリソースへのアクセスを許可する
- アクセス許可の判断にはクライアントのID・アプリケーション・資産の状態などを動的に評価する
- すべての資産を監視・評価し、セキュリティ態勢を継続的に確認する
- 認証と認可を厳格に行い、動的に適用する
- 攻撃者から守るためにネットワークインフラを強化する
重要なのは、「ネットワークの場所(社内か社外か)によってアクセス可否を決めない」という点です。社内ネットワークにいても検証に失敗すればアクセスを拒否し、社外からでも適切に検証されていればアクセスを許可する。この発想の転換がゼロトラストの核心です。
ゼロトラストを構成する主要コンポーネント
NIST SP 800-207では、ゼロトラストアーキテクチャを実現するための論理的構成要素を定義しています。
- ポリシーエンジン(PE):アクセスを許可するか拒否するかを判断するコアコンポーネント。ユーザーID・デバイス状態・行動履歴などをもとに動的な判断を行います
- ポリシーアドミニストレータ(PA):ポリシーエンジンの決定をもとに、セッションの確立・破棄を制御します
- ポリシー実施ポイント(PEP):クライアントとリソース間のアクセスを実際に許可または拒否します
これら3つがゼロトラストの「頭脳」であり、ユーザーのID・デバイスの健全性・ネットワーク状況・過去の行動パターンなどを組み合わせてアクセス判断を行います。
BeyondCorp:Googleが自社で実装したゼロトラストの実例
ゼロトラストを「理論」ではなく「大規模な実装」として世界に示したのが、Googleの「BeyondCorp」です。2009年に起きたOperation Auroraという大規模なサイバー攻撃を契機に始まったこの取り組みは、VPNに依存しない全く新しいアクセス制御モデルとして注目を集めました。
Operation AuroraとBeyondCorpの誕生
2009年、Googleを含む多数の大企業を標的とした高度な持続的標的型攻撃(APT)が発生しました。「Operation Aurora」と呼ばれるこの攻撃では、Internet Explorerのゼロデイ脆弱性が悪用され、Googleの社内ネットワークへの侵入が試みられました。知的財産や機密情報が標的となったこの事件は、Googleに境界型セキュリティの根本的な見直しを迫りました。
Googleはこの経験を踏まえ、2011年から「BeyondCorp」プロジェクトを社内で開始します。2014年にはUSENIX ;login: 誌上でホワイトペーパー「BeyondCorp: A New Approach to Enterprise Security」を公開し、社内で約54,000名の従業員に展開したVPN不要のアクセス制御モデルを初めて公の場で詳細に紹介しました。このホワイトペーパーが、現代のゼロトラストアーキテクチャ普及の起点のひとつとなっています。
BeyondCorpのアーキテクチャと仕組み
BeyondCorpの基本思想は「アクセスはネットワークの場所ではなく、ユーザーとデバイスの状態によって決まる」というものです。社内ネットワークにいることは特権を意味しない。これがBeyondCorpの核心です。
BeyondCorpは大きく以下のコンポーネントで構成されます。
- デバイスインベントリサービス:デバイスの状態・管理状況・証明書などを継続的に収集・評価します
- アクセスプロキシ(Access Proxy):すべてのアプリケーションアクセスを仲介し、認証・認可を実施します
- アクセスコントロールエンジン:ユーザーのID・デバイス状態・グループメンバーシップに基づいてアクセス可否を動的に判断します
- SSO(シングルサインオン):ユーザー認証を一元管理します
ユーザーがアプリケーションにアクセスしようとすると、アクセスプロキシが介在し、上記の条件を満たさない限りアクセスは拒否されます。VPNトンネルを事前に張る必要はなく、アクセスごとに毎回検証が行われます。
Chrome Enterprise PremiumとIdentity-Aware Proxy(IAP)
現在、BeyondCorpの思想を商用化したGoogleの製品が「Chrome Enterprise Premium」(旧称:BeyondCorp Enterprise)です。
まず名前の混乱を整理します。「Chrome」という言葉が入っているため、Webブラウザの「Google Chrome」と同じものだと思われがちですが、まったく別のものです。
| Google Chrome(ブラウザ) | Chrome Enterprise Premium | |
|---|---|---|
| 種類 | Webブラウザ(ソフトウェア) | Google Cloudの有償セキュリティサービス |
| 費用 | 無料 | 有償(企業向け) |
| 目的 | Webページの閲覧・Webアプリの実行 | ゼロトラストアクセス制御の実現 |
| 対象 | 個人・法人問わず誰でも | 企業(IT管理者が導入・管理) |
両者の関係は「Chrome Enterprise PremiumがChromeブラウザを道具として使う」というものです。具体的には、後述するEndpoint Verification(デバイスの状態を収集するコンポーネント)がChromeの拡張機能として動作します。Chrome Enterprise PremiumはChromeブラウザを必要としますが、ブラウザ自体がセキュリティサービスなのではなく、ブラウザを通じてデバイス情報を収集・評価する仕組みです。
なお「Chrome Enterprise(無料)」という別の製品もあります。これはChromeブラウザを企業向けに管理するもの(Admin ConsoleからポリシーをPCに一括配布するなど)で、Chrome Enterprise Premiumのゼロトラストアクセスプラットフォームとは異なります。
![oogle Chrome・Chrome Enterprise・Chrome Enterprise Premiumの3製品の違いを示す比較図。Chrome Enterprise PremiumがChromeブラウザを構成要素として利用する関係を矢印で示す]](https://bksuccess.net/wp-content/uploads/2026/06/zero-trust-architecture-beyondcorp_02-1024x572.jpg)
その中核となるのがIdentity-Aware Proxy(IAP)です。
IAPはHTTPS経由でアプリケーションへのアクセスを制御するサービスで、VPNを使わずにGoogleアカウントによる認証とアクセスポリシーに基づく認可を実現します。アクセス要求があると、IAPはまずGoogleアカウントでの認証を求め、認可されたユーザーだけにアプリケーションへのアクセスを許可します。認証・認可の情報はHTTPヘッダーとしてアプリケーション側に渡されます。
Google製品で理解するゼロトラストの構成要素
BeyondCorpの思想を支えるGoogle製品群は、ゼロトラストアーキテクチャのコンポーネントと対応しています。各製品の役割を整理することで、NIST SP 800-207が定義する抽象的な概念をより具体的に理解できます。
コンテキストアウェアアクセスとAccess Context Manager
コンテキストアウェアアクセスとは、ユーザーのIDだけでなく、デバイスの状態・所在地・IPアドレス・時間帯などの「コンテキスト(文脈)」をもとにアクセス可否を判断する仕組みです。Chrome Enterprise Premiumでは、この仕組みをAccess Context Managerが担います。
Access Context Managerでは以下のような条件を組み合わせてアクセスポリシー(アクセスレベル)を定義します。
- デバイス属性:OSのバージョン・ディスク暗号化の有無・画面ロックの設定・管理デバイスかどうか
- ネットワーク属性:送信元IPアドレス・地域(国・地域コード)
- ユーザー属性:Googleグループのメンバーシップ・管理者権限の有無
これらの条件を組み合わせた細かなポリシーにより、「管理されたデバイスから日本国内にアクセスする場合のみ許可」といったきめ細かな制御が可能になります。
NIST SP 800-207が定義するポリシーエンジンの役割を、Google Cloud上で具体的に実装しているのがAccess Context Managerです。「誰が・どこから・どのデバイスで」という3軸の情報をすべてポリシー評価に組み込む点が、IPアドレスベースの従来のアクセス制御との最大の違いです。
Endpoint VerificationとデバイスのID管理
Endpoint Verificationは、Chromeブラウザの拡張機能として動作し、アクセスに使用するデバイスの情報(OSバージョン・ディスク暗号化の有無・画面ロック状態・管理証明書など)を収集してGoogle Cloud側に送信します。
この情報がAccess Context Managerのポリシー評価に使われ、デバイスの「健全性(health)」がアクセス許可の条件に組み込まれます。ID(Who)とデバイス(What)の2軸でアクセスを評価するのが、ゼロトラストの実践的な姿です。
新卒エンジニア向けにインフラ研修を担当していた2016年から2022年にかけて、「自分のIDとパスワードがあればどこからでもログインできる」という前提で考えている受講者が非常に多いことに気づきました。ゼロトラストはIDだけでなく「デバイスは管理されているか」「今この瞬間のデバイス状態は健全か」という動的な判断を加えることで、IDの窃取単体では侵入できない仕組みを作ります。SC試験でもこの「IDとデバイスの2軸評価」という視点は重要な論点です。
Google WorkspaceとContext-Aware Accessの統合
Chrome Enterprise PremiumはGoogle Workspaceとも統合でき、GmailやGoogleドライブ・Google Meetなどのアクセスにも同じコンテキストアウェアポリシーを適用できます。
たとえば「管理されていない個人デバイスからはGoogleドライブの閲覧のみ可能とし、ダウンロードは禁止する」といったポリシーも設定可能です。DLP(データ損失防止)との組み合わせで、情報漏えいリスクをデバイス・ユーザー・コンテキストの3軸で制御できます。
この仕組みはNIST SP 800-207が定義するポリシーエンジンとポリシー実施ポイントの概念そのものです。Googleがすでに社内で実装し、外部に製品として提供しているという事実は、ゼロトラストが「概念」ではなく「実装可能な設計」であることを示しています。
SC試験で問われるゼロトラスト:押さえるべき論点
SC試験では「ゼロトラスト」という言葉そのものよりも、ゼロトラストを構成する個々の技術・概念が問われます。午前II・午後を通じて頻出する論点を整理します。
VPNとゼロトラストの比較:試験で問われる違い
VPNとゼロトラストの比較は、SC試験において重要な論点です。以下の違いを正確に押さえてください。
| 観点 | 従来のVPN | ゼロトラスト |
|---|---|---|
| アクセスの前提 | VPN接続後は社内ネットワークを信頼 | 常に検証し、信頼しない |
| アクセス制御の粒度 | ネットワーク単位(IPアドレスベース) | アプリケーション・リソース単位 |
| 認証のタイミング | 接続時のみ | セッションごと・継続的に |
| デバイス状態の考慮 | 基本的になし | あり(デバイス健全性を評価) |
| 侵害された場合の影響 | ラテラルムーブメントのリスクが高い | 被害範囲が限定される |
VPNの問題点として特に試験で問われやすいのは「VPNを突破された場合のラテラルムーブメント」と「VPN自体の脆弱性」の2点です。リモートワーク環境でVPNクライアントが頻繁に切断されるという経験は可用性の問題にとどまりません。VPNクライアントソフトウェア自体がバグや脆弱性を内包するリスクを考えると、VPN単体への依存はセキュリティ上も望ましくないことが理解できます。
マイクロセグメンテーションとSDP
マイクロセグメンテーションは、ネットワークを細かく分割し、セグメント間の通信を厳しく制御する手法です。ゼロトラストの「最小権限の原則」を実装する具体的な技術として、SC試験でも出題されます。
従来の境界型セキュリティでは「外部から守れれば内部は自由」という発想でしたが、マイクロセグメンテーションでは「内部でも必要最小限の通信しか許可しない」という設計になります。攻撃者が内部に侵入しても横断的な移動が困難になるため、被害範囲の最小化(封じ込め)に有効です。
SDP(Software Defined Perimeter)は、動的にアクセス可能なリソースの範囲を定義し、認証されたユーザーだけにそのリソースへの経路を開く仕組みです。物理的なネットワーク境界を持たず、ソフトウェアでアクセス境界を定義するため、クラウド環境やリモートワーク環境に適しています。BeyondCorpのAccess Proxyもこの思想を実装したものといえます。
SDPは以下の3つのコンポーネントで構成されます。
- SDPコントローラー:認証・認可の判断を行うコアコンポーネント(NIST SP 800-207のポリシーエンジンに相当)
- SDPクライアント:ユーザー端末側で動作し、コントローラーへの認証要求を行います
- SDPゲートウェイ:認証・認可済みのユーザーのみリソースへの経路を開きます
SDPでは認証前の段階でリソースへのネットワーク経路自体が見えないため、攻撃者がスキャンしてもリソースの存在を検知できません。これをダークネット(Darknet)とも呼び、従来のVPNとの大きな違いのひとつです。
IDaaSとMFA:ゼロトラストの認証基盤
ゼロトラストアーキテクチャでは、アクセスの「誰が(Who)」を正確に検証するため、IDaaS(Identity as a Service)との組み合わせが前提となります。IDaaSはクラウドベースのID管理・認証サービスで、SSO(シングルサインオン)や多要素認証(MFA)を一元提供します。GoogleのサービスでいえばCloud Identityがこれにあたります。
MFAと組み合わせることで、IDとパスワードの窃取だけではアクセスができない仕組みを作ります。SC試験では「ゼロトラストにおけるIDaaSの役割」「MFAが必要な理由」「SSOとIDaaSの関係」などが問われやすい傾向があります。また、SAML・OAuth・OIDCといった認証・認可プロトコルとの組み合わせも整理しておくと得点につながります。
SASE(Secure Access Service Edge)との関係も押さえておく必要があります。SASEはゼロトラストにSD-WAN(Software Defined WAN)やCASB(Cloud Access Security Broker)・SIG(Secure Internet Gateway)などを組み合わせた包括的なアーキテクチャです。ゼロトラストがアクセス制御の考え方であるのに対し、SASEはそれをネットワーク機能込みで実装したフレームワークといえます。SC試験でゼロトラストとSASEの違いを問われた場合、「ゼロトラストはポリシーモデル、SASEはそれを実現するアーキテクチャフレームワーク」という整理が有効です。
選択問題で挑戦:ゼロトラストとBeyondCorp、どこまで理解できましたか?
境界型セキュリティとゼロトラストの違い・NIST SP 800-207の7原則・BeyondCorpのアーキテクチャ・IAP/Access Context Manager/Endpoint Verificationそれぞれの役割・VPNとSDPの比較・IDaaSとMFAの関係について、選択問題で理解度を確かめてください。各セクションの要点を正しく区別できているかどうかが、SC試験合格への確認ポイントです。
まとめ:FW信仰からゼロトラストへ、セキュリティの「常識」はなぜ変わったのか
インフラエンジニアとしてFWを設置して安心していた時代から、CIOとしてVPNで拠点間を暗号化して安心していた時代まで、境界を守ることがセキュリティの中心でした。しかしその境界は、クラウドの普及とリモートワークの一般化によって事実上消滅しました。
ゼロトラストは「境界がなくなった世界でどう守るか」への答えです。Googleが2009年の大規模攻撃を契機に社内で実装し、2014年のホワイトペーパー公開を経て10年以上かけて検証してきたBeyondCorpの思想は、現在Chrome Enterprise PremiumというSaaSとして誰でも利用できる形になっています。
SC試験においてゼロトラストを学ぶ意義は、技術用語の暗記ではありません。「認証とは何を証明するのか」「認可とは何を許可するのか」「デバイスの健全性とはどういう状態か」を問う力、つまりアクセス制御の本質を問う力が問われています。
新卒エンジニアの研修を担当していた時期、最も伝えるのが難しかったのは「技術は導入しただけでは機能しない」という事実でした。FWもVPNもゼロトラストも、設計・運用・教育の三位一体で初めて機能します。試験で問われる知識は、現場で問われる本質と同じです。
参考資料
- IPA:情報処理安全確保支援士試験
- NIST SP 800-207 Zero Trust Architecture 解説と日本語訳 | PwC Japanグループ
- BeyondCorp Zero Trust Enterprise Security | Google Cloud
- Chrome Enterprise Premium(旧BeyondCorp Enterprise)を徹底解説 - G-gen Tech Blog
- Google が実装したゼロトラストモデル「BeyondCorp Enterprise」について解説 – TD SYNNEX Blog
- Identity-Aware Proxy (IAP) | Google Cloud
- 情報処理安全確保支援士過去問道場
本記事は情報処理安全確保支援士(SC)試験対策を目的として作成しています。