【セキュリティ大全第2章】防御技術の最前線｜ゼロトラスト時代の新・防衛術

第1章では、多種多様な攻撃手法とそのメカニズムを探求しましたね。敵の手口を知った今、いよいよ「どう守るか？」という本題に入ります。

「防御」と聞いて、あなたが思い浮かべるのはどんなイメージでしょうか？
おそらく、お城の周りに高い城壁や深いお堀を築き、見張り台を立てて、敵の侵入を防ぐ…そんな「境界型防御モデル」をイメージする方が多いと思います。ファイアウォールやIDS/IPS（侵入検知/防御システム）は、まさにこの城壁やお堀の役割を担ってきました。

しかし、現代において、その考え方だけでは、もはや私たちの資産を守りきることはできません。

なぜなら、守るべき「城」の形が、根本的に変わってしまったからです。

クラウドサービスの利用、テレワークの常態化、スマートフォンやIoTデバイスの普及…。かつては城壁の内側にあったはずの重要なデータやシステムは、今や城下町や遠く離れた飛び地にも点在しています。もはや、「内側は安全、外側は危険」という明確な境界線は存在しないのです。

そこで登場したのが、この第2章の主役となる「ゼロトラスト」という新しい防御思想です。

その名の通り、「何も信頼しない（Zero Trust）」。社内ネットワークだから、正規の社員だからといって無条件に信頼するのではなく、すべての通信、すべてのアクセスを「性悪説」で疑い、その都度、厳しく正当性を検証する。それが、現代における防御のスタンダードなのです。

この章では、なぜ境界型防御が過去のものとなり、ゼロトラストが必要不可欠になったのか、その歴史的背景から、具体的な実現技術までを一緒に探求していきます。あなたの「防御」の常識を、ここでアップデートしましょう！

1 【1. イントロダクション】なぜ「ファイアウォール」と「ウイルス対策ソフト」だけでは不十分なのか？
2 【2. 結論ファースト】現代の防御とは「侵入前提」で被害を最小化する“ゼロトラスト”活動である
3 【3. 大図解】ゼロトラスト・アーキテクチャとSASE（サッシー）の全体像
- 3.1 クラウド時代の統合セキュリティモデル「SASE」
4 【4. なぜ？がわかる深掘り解説】ゼロトラストを構成する“スター選手”たち
5 【5. 厳選過去問と思考トレース】設問に隠された「ゼロトラスト」の思想を見抜く
- 5.1 思考トレース：あなたならどう解く？
6 【6. 未来を予測する出題予想】防御の未来、次に問われるのはこの技術だ！
7 【7. 知識を体系化する関連マップ】ゼロトラストは孤立しない！周辺技術・法規との連携
8 【8. あなただけの学習ロードMAP】明日から始める「ゼロトラスト」体感プラン
9 【9. 理解度チェック＆チャレンジクイズ】あなたならどう設計する？ゼロトラスト環境
- 9.1 【Q1】ハイブリッドワークへの移行課題
- 9.2 【Q2】インシデント発生！でも…？
10 【10. 最終チェックとまとめ】「防御の旅」は終わらない！ゼロトラストという新たな地図を手に
- 10.1 第2章【防御編】学習達成度チェックリスト
11 関連

【1. イントロダクション】なぜ「ファイアウォール」と「ウイルス対策ソフト」だけでは不十分なのか？

ITの現場では、長年にわたり「ファイアウォールで社のネットワークの出入り口を守り、社員のPCにはウイルス対策ソフトを入れる」という組み合わせが、セキュリティ対策の基本でした。あなたも、そう教わってきたかもしれませんね。

もちろん、これらの対策は今でも重要であり、防御の基本の「き」であることに変わりはありません。しかし、第1章で学んだ攻撃者の巧妙な手口を思い出してください。彼らは、この“基本の守り”をいとも簡単に乗り越えてくるのです。

なぜ、これらの対策だけでは不十分なのでしょうか？理由は大きく3つあります。

「許可された通信」に攻撃が紛れ込んでくるから
ファイアウォールは、不正な通信をブロックする「検問所」ですが、Webサイトの閲覧（HTTP/HTTPS）やメール（SMTP）といった、業務で使う“許可された通信”は通します。攻撃者は、まさにこの許可された通信に悪意のあるプログラムを紛れ込ませるのです。偽の請求書を装った標的型攻撃メールが、その典型例です。検問所は、正規の通行証を持った人物（メール）が、実は武器（マルウェア）を隠し持っていることまでは見抜けません。
「未知のウイルス」には対応が間に合わないから
ウイルス対策ソフトの多くは、過去に見つかったウイルスの特徴を記録した「指名手配書（シグネチャ）」と照合して、悪者を見つけ出します。しかし、攻撃者は日々、指名手配書に載っていない「新作」のウイルスを生み出しています。これでは、事件が起きてから指名手配書が作られるのを待つようなもので、後手に回らざるを得ません。この「未知の脅威（ゼロデイ攻撃）」の前では、従来のウイルス対策ソフトは無力化されてしまうことがあるのです。
一度「侵入された後」の動きが見えないから
そして最大の問題がこれです。万が一、攻撃者がファイアウォールをすり抜け、ウイルス対策ソフトの検知を逃れて社内ネットワークへの侵入に成功してしまったら…。従来の対策は「内部での不審な動き」を監視するのが苦手です。攻撃者が社内サーバーを次々と乗っ取っていく「内部犯行（ラテラルムーブメント）」には気づきにくく、気づいた時には会社全体が制圧されていた、という悲劇が起こりうるのです。

「すり抜け」「未知の攻撃」「内部での拡散」。この3つの課題に対応できないという厳しい現実こそが、私たちがこれから学ぶゼロトラストやEDRといった新しい防御技術が求められる、何よりの理由なのです。

【2. 結論ファースト】現代の防御とは「侵入前提」で被害を最小化する“ゼロトラスト”活動である

ファイアウォールやウイルス対策ソフトの限界が見えた今、私たちは何を「防御の結論」とすべきなのでしょうか？

かつては「いかに侵入させないか」がゴールでした。しかし、今は違います。
現代の防御における結論、それは…

『侵入されることを前提とし、その上で被害をいかに最小化（Minimize the Impact）するかを追求する継続的な活動』

です。そして、この活動全体を支える中核思想こそが、「ゼロトラスト」なのです。

この考え方は、2つの重要な柱で成り立っています。

考え方の柱①：「侵入前提（Assume Breach）」
これは、「100%完璧な防御は不可能である」と認める、謙虚かつ現実的な姿勢です。どれだけ高い城壁を築いても、いつかどこかは突破されるかもしれない。ならば、思考の起点を「破られないこと」から「破られても、被害を最小限に食い止めること」へとシフトさせるのです。
これは、火事が絶対に起きない家を目指すのではなく、一部で火事が起きても、延焼を防ぐ防火扉やスプリンクラーを家中に張り巡らせる、という考え方に似ています。
考え方の柱②：そのための思想「ゼロトラスト」
この「侵入前提」を実践するための具体的なアプローチがゼロトラストです。その大原則は、「決して信頼せず、常に検証せよ（Never Trust, Always Verify）」。社内ネットワークからのアクセスだから、部長のPCだから、といった曖昧な理由では一切信頼しません。すべてのデータやシステムへのアクセス要求に対し、その都度「あなたは本当に本人か？」「そのデータにアクセスする権限は本当にあるか？」を厳しくチェックするのです。

侵入を前提としているからこそ、たとえ攻撃者が一つのPCを乗っ取ることに成功しても、そこから他の重要サーバーへ移動しようとする際に、ゼロトラストの厳しい検証が「待った」をかけます。これにより、被害の拡大（ラテラルムーブメント）を防ぐことができるのです。

次の「大図解」では、このゼロトラストという考え方が、具体的にどのような技術要素で構成されているのかを一緒に見ていきましょう。

【3. 大図解】ゼロトラスト・アーキテクチャとSASE（サッシー）の全体像

「ゼロトラスト」は、あくまで防御の「思想」です。特定の一つの製品やサービスを導入すれば完成、というものではありません。様々な技術要素をオーケストラのように連携させることで、初めてその真価を発揮します。ここでは、ゼロトラストというオーケストラを構成する、主要な「楽器（技術要素）」たちを見ていきましょう。

【ゼロトラスト・アーキテクチャの主要構成要素】

（ここに、ユーザー/デバイスがデータ/アプリにアクセスする際に、各種検証機能が介在するイメージの図を挿入）

① ID管理と認証の強化 (IdP, MFA)
全てのアクセスの大前提となる「あなたは本当に本人か？」を厳格に検証するパートです。ID情報を一元管理するIdP (Identity Provider) と、多要素認証 (MFA) を組み合わせ、なりすましを防ぎます。
② デバイスの信頼性検証 (EDR, MDM)
アクセスを要求しているPCやスマートフォンが「信頼できる状態か？」をチェックします。マルウェアに感染していないか、OSやソフトウェアは最新か、といった「デバイスの健全性」を確認し、危険な状態のデバイスからのアクセスをブロックします。
③ 最小権限のアクセス制御 (ZTNA, IAM)
本人確認とデバイスの安全性が確認されて初めて、アクセスが許可されます。しかし、その際も全てのシステムに自由に入れるわけではありません。「その業務に必要な、最小限のデータやアプリにだけ」アクセスを許可します。これを実現するのがZTNA (Zero Trust Network Access) やIAM (Identity and Access Management) です。
④ 全ての通信の可視化と分析 (SIEM, UEBA)
許可されたアクセスであっても、その振る舞いが本当に正しいのかを常に監視します。全ての通信ログを収集・分析し、「深夜に大量のデータをダウンロードしている」といった不審な動きを検知し、インシデントの早期発見に繋げます。

クラウド時代の統合セキュリティモデル「SASE」

そして、これらゼロトラストの各機能を、クラウドサービスとしてまとめて提供しよう、という考え方がSASE（サッシー：Secure Access Service Edge）です。

SASEは、ネットワーク機能（SD-WAN）と、様々なセキュリティ機能（ZTNA, CASB, SWGなど）を一つのクラウド基盤に統合します。これにより、利用者がオフィスにいようと、自宅やカフェにいようと、あるいはどのクラウドサービスを使おうとも、常に一貫したセキュリティポリシーを適用できるのです。まさに、境界がなくなった現代に最適化された防御モデルと言えるでしょう。

次のセクションでは、この図に出てきた個々の技術（MFA, EDR, ZTNAなど）が、それぞれどんな役割を果たしているのかを、さらに詳しく見ていきましょう。

【4. なぜ？がわかる深掘り解説】ゼロトラストを構成する“スター選手”たち

ゼロトラストというオーケストラが、どのような楽器（技術）で成り立っているのかが見えてきましたね。ここでは、その中でも特に重要な役割を担うスター選手たちをピックアップし、それぞれの得意技と、なぜゼロトラストに不可欠なのかを解説します。

① 多要素認証 (MFA) - 「なりすまし」を防ぐ最後の砦

これは何？：IDとパスワード（知識情報）だけに頼らず、「スマートフォンへの通知（所持情報）」や「指紋・顔認証（生体情報）」といった、2つ以上の異なる要素を組み合わせて本人確認を行う認証方式です。
なぜ不可欠？：パスワードがどれだけ漏洩しても、攻撃者はあなたのスマホや指紋を持っていません。そのため、不正ログインを水際で防ぐことができます。全てのアクセスの正当性を検証するゼロトラストにおいて、「本当に本人であること」を保証する最も基本的で強力な手段です。

② EDR (Endpoint Detection and Response) - PC内部の“スパイ”を見つけ出す捜査官

これは何？：PCやサーバー（エンドポイント）の内部で行われる操作（ファイルの作成、通信など）を常時監視し、マルウェアの感染や不正な活動の兆候を検知・対処する仕組みです。
なぜ不可欠？：従来のウイルス対策ソフトが「入口での検問」だとすれば、EDRは「侵入された後に、内部で悪さをするスパイを捕まえる捜査官」です。「侵入前提」の考え方に基づき、万が一の侵入後の被害拡大（ラテラルムーブメント）を食い止めるために必須の技術となります。

③ ZTNA (Zero Trust Network Access) - 「必要な場所」への専用通路

これは何？：従来のVPNのように「一度接続すれば社内ネットワーク全体にアクセスできる」のではなく、ユーザーが使うことを許可された特定のアプリケーションへの“専用通路”だけを、その都度提供する仕組みです。
なぜ不可欠？：たとえアカウントが乗っ取られても、攻撃者がアクセスできる範囲は、そのユーザーが許可されていた特定のアプリだけに限定されます。つまり、被害の「横展開」を根本から防ぐことができるのです。最小権限の原則を実現する中核技術と言えます。

④ CASB (Cloud Access Security Broker) - クラウド利用の交通整理役

これは何？：社員が利用している様々なクラウドサービス（Microsoft 365, Google Workspace, Salesforceなど）へのアクセスを一元的に監視し、組織のセキュリティポリシーを適用する仕組みです。「キャスビー」と読みます。
なぜ不可欠？：会社が許可していないクラウドサービス（シャドーIT）の利用を可視化したり、「この機密情報は、個人のアカウントでは閲覧できない」といった細かい制御を行ったりできます。境界が曖昧になったクラウド時代において、組織全体のクラウド利用にガバナンスを効かせるために重要な役割を果たします。

【5. 厳選過去問と思考トレース】設問に隠された「ゼロトラスト」の思想を見抜く

「ゼロトラスト」は比較的新しい言葉ですが、その思想は既に応用情報・高度試験の問題に色濃く反映されています。ここでは、ゼロトラストの視点で過去問を再解釈し、出題者が本当に問いたいことを見抜くトレーニングをしましょう。

【問題例】応用情報技術者試験平成XX年秋期午後問X (改題)

テレワークを全社的に導入したA社では、セキュリティリスクの見直しが行われた。セキュリティ管理者は、社員が自宅などの社外ネットワークから、社内の重要サーバーにアクセスする際の「通信経路の盗聴」と「端末のマルウェア感染」のリスクを特に懸念している。これらのリスクへの対策として、ゼロトラストの考え方に基づき導入すべきソリューションの組み合わせとして、最も適切なものはどれか。

ア：社内LANの入口に次世代ファイアウォールを導入し、全社員に最新のウイルス対策ソフトを配布する。

イ：全てのアクセスに対し、多要素認証（MFA）を必須とし、PCのセキュリティ状態を検査した上で、特定のアプリケーションへのアクセスのみを許可するZTNAを導入する。

ウ：全社員に従来のVPNアカウントを付与し、社内ネットワークへの安全な接続経路を確保する。

エ：社外からのアクセスを全面的に禁止し、重要サーバーへのアクセスは出社時のみに限定する。

思考トレース：あなたならどう解く？

このシナリオ問題、あなたならどう考えますか？ゼロトラストの原則を思い出して、思考を巡らせてみましょう。

STEP 1：問題の核心と「守るべきもの」を捉える
問題の核心は「テレワーク環境でのセキュリティ確保」です。従来の「社内＝安全」という境界が崩れている状況ですね。守るべきは「重要サーバーへのアクセス」であり、懸念点は「通信の安全性」と「端末の安全性」の2つです。

STEP 2：各選択肢を「ゼロトラストの原則」で評価する

選択肢ア：これは典型的な「境界型防御」の考え方です。テレワーク中の社員は、そもそもこのファイアウォールの「外」にいます。また、ウイルス対策ソフトは「未知の攻撃」には弱いという課題がありましたね。ゼロトラストの観点からは不十分です。よって間違い。
選択肢イ：これはゼロトラストの要素が満載です。「MFA」で本人確認を強化し、「PCのセキュリティ状態を検査」してデバイスを検証。「ZTNA」で最小権限のアクセスを実現。まさに「決して信頼せず、常に検証する」を体現しています。これが正解の可能性が極めて高いと判断できます。
選択肢ウ：従来のVPNは、一度接続すると社内ネットワークに広範にアクセスできてしまうため、「侵入後の横展開（ラテラルムーブメント）」のリスクが残ります。最小権限の原則に反するため、ゼロトラストの考え方とは異なります。よって間違い。
選択肢エ：セキュリティのために利便性を完全に犠牲にする案であり、テレワークを推進する会社の解決策としては不適切です。セキュリティはビジネスを支えるためのものであり、止めるためのものではありません。よって間違い。

STEP 3：結論を確定する
以上の検討から、ゼロトラストの原則（IDの検証、デバイスの検証、最小権限アクセス）を最も満たしている選択肢イが、最も適切な解決策であると結論づけられます。

このように、設問の中に「ゼロトラスト」という言葉がなくとも、その根本思想を理解していれば、どの選択肢が現代的で効果的なアプローチなのかを自信を持って判断できるようになるのです。

【6. 未来を予測する出題予想】防御の未来、次に問われるのはこの技術だ！

過去問を解くことは重要ですが、ITの世界は常に進化しています。ここでは、現在の技術トレンドから、次世代の防御技術として今後試験で問われる可能性が高いテーマを3つ予測します！

予測1：本格化する「パスワードレス認証」とそのリスク

パスワードという“知識”に頼る認証の限界が叫ばれる中、FIDO2に代表される「パスワードレス認証」が急速に普及しています。これは、生体情報や専用のセキュリティキーを使い、パスワードそのものをなくす仕組みです。

出題予想：「パスワードレス認証を導入することで低減されるリスクはどれか？」といった直接的な問いに加え、「FIDO2の認証プロセスにおいて、初期登録時のデバイス紛失や、アカウント回復プロセスの不備を突く攻撃」など、新しい技術ならではのリスクを問う、より深い理解度を試す問題が狙われるでしょう。

予測2：「SASE」の具体的な構成と導入効果

SASEはもはや単なるバズワードではなく、具体的なソリューションとして多くの企業で導入が進んでいます。試験でも、単に「SASEとは何か」を問う段階から、一歩進んだ内容が求められるようになります。

出題予想：午後のシナリオ問題で、「テレワークとオフィス勤務が混在するハイブリッドワーク環境において、SASEを導入する際のコンポーネント（ZTNA, SWG, CASB等）の適切な組み合わせと、その選定理由を問う」ような、より実践的な問題が出題される可能性が高いです。

予測3：「XDR」によるインシデント対応の高度化

PC内部を監視するEDRから、さらに一歩進んだ考え方が「XDR（Extended Detection and Response）」です。XDRは、PCだけでなく、ネットワーク機器、クラウド環境、メールなど、複数の領域から情報を収集・相関分析することで、より広範囲で攻撃の全体像を捉えようとします。

出題予想：「EDRと比較した際の、XDRを導入する最大のメリットはどれか？」という午前問題が考えられます。その答えは、「サイロ化された各セキュリティ製品のログを横断的に分析し、攻撃の兆候を早期に、かつ高い精度で検知できること」となるでしょう。

これらの新しいキーワードに今のうちからアンテナを張っておくことが、ライバルに差をつける鍵となりますよ。

【7. 知識を体系化する関連マップ】ゼロトラストは孤立しない！周辺技術・法規との連携

ここまで、ゼロトラストという新しい防御思想とその構成要素について学んできました。重要なのは、ゼロトラストが単独で存在するのではなく、現代のIT環境における様々な要素と密接に連携する「ハブ」のような存在であると理解することです。

ここでは、「ゼロトラスト」を中心に置き、そこからどのように他の概念へと繋がっていくのか、その関係性を探っていきましょう。

（ここに、中心に「ゼロトラスト」を置き、そこから各要素へ線が伸びるマインドマップ風の図を挿入するイメージ）

【ゼロトラスト関連マップ】

→ 第1章【攻撃編】との繋がり
- 第1章で学んだ「標的型攻撃」によるID/パスワード窃取に対しては、MFAが直接的な対策となります。
- 「ランサムウェア」がPCに侵入した後の不審な活動は、EDRが検知・対応します。
- 侵入後の「ラテラルムーブメント（横展開）」は、ZTNAによる最小権限アクセスで防ぎます。
- このように、ゼロトラストの各要素は、特定の攻撃手法への具体的な処方箋となっているのです。
→ クラウドセキュリティとの繋がり
- そもそもゼロトラストの考え方が広まった大きな要因は、クラウド化によって「境界」がなくなったことです。両者は切っても切れない関係にあります。
- クラウドサービスの安全な利用を支えるCASBや、設定不備を監視するCSPMは、ゼロトラスト・アーキテクチャを実現するための重要なピースです。
→ 第3章【組織編】との繋がり
- ゼロトラストの導入は、技術部門だけの仕事ではありません。「全社の情報セキュリティポリシー」として、どのような状態を「信頼できる」と定義するのか、組織的なルール作りが不可欠です。
- また、個人情報保護法などで求められる「安全管理措置」を具体的に実現する手段としても、ゼロトラストに基づいた厳格なアクセス管理は非常に有効です。

いかがでしょうか？ゼロトラストという幹を理解することで、これまでバラバラに見えていたセキュリティの知識が、太い枝や葉として有機的に繋がっていくのが見えてきませんか？

この全体像を意識することが、応用情報・高度試験で求められる、体系的な理解への近道なのです。

【8. あなただけの学習ロードMAP】明日から始める「ゼロトラスト」体感プラン

お疲れ様です！ゼロトラストという、現代防御の核心に触れてきましたね。壮大なコンセプトに、少し圧倒されているかもしれません。でも大丈夫。ここでは、明日からでも始められる具体的な学習ロードマップを3つのステップで提案します。

STEP 1：「守りの要」MFAを体感する（所要時間：30分）

まず、最も身近で強力なゼロトラストの第一歩、「多要素認証（MFA）」を体感しましょう。

いつ？どこで？：この後すぐにでも、ご自身のスマートフォンとPCで実践できます。
なにを？：普段お使いのGoogle、Microsoft、X（旧Twitter）などの主要なサービスで、MFA（「2段階認証」や「2要素認証」とも呼ばれます）を設定してみましょう。
どうやって？：各サービスの設定画面から、指示に従ってスマートフォンアプリやSMSを使った認証を追加します。ログインの際に一手間増えますが、その「一手間」が、ID/パスワードが漏洩してもアカウントを守ってくれる強力な防壁になることを肌で感じてください。これが「本人確認の強化」です。

STEP 2：「EDRの目」を想像する（学習期間：1週間〜）

次に、「侵入後の検知」を担うEDRが、一体何を見ているのかを想像してみましょう。

いつ？どこで？：通勤時間や休憩中に、セキュリティ企業のWebサイトを覗いてみましょう。
なにを？：CrowdStrike社、Cybereason社、Microsoft社といった、EDR/XDRソリューションを提供している企業の製品ページや技術ブログを読みます。
どうやって？：彼らが「どのような振る舞いを『不審』と判断しているか」の具体例に注目します。「Wordファイルが、暗号化通信を開始した」「深夜に、経理担当者のPCが開発サーバーにアクセスした」など、従来のウイルス対策ソフトでは見つけられない「振る舞いの異常性」を検知する、というEDRの目の付け所を理解しましょう。

STEP 3：「ゼロトラストの設計図」を読む（学習期間：1ヶ月〜）

最後に、ゼロトラストの原典とも言える公式ドキュメントに触れてみましょう。少しレベルが上がりますが、これができれば自信がつきます。

いつ？どこで？：週末に1〜2時間、集中できる時間を確保します。
なにを？：NIST（米国国立標準技術研究所）が発行したガイドライン「SP 800-207 Zero Trust Architecture」の解説記事や概要を読みます。
どうやって？：原文は英語で難解なため、IPAや国内のセキュリティ企業が出している日本語の解説記事から始めるのがおすすめです。応用情報・高度試験の長文問題は、こうした公的なガイドラインを背景に作られることが非常に多いため、一度その思想に触れておくだけで、問題文の読解力が格段に向上します。

このロードマップに沿って、まずはゼロトラストの「考え方」を体感し、徐々にその全体像を掴んでいきましょう。

【9. 理解度チェック＆チャレンジクイズ】あなたならどう設計する？ゼロトラスト環境

さあ、防御編のクライマックスです。あなたが情報システム担当者だったら、という視点で、以下の課題を解決するための最適なソリューションを考えてみてください。

【Q1】ハイブリッドワークへの移行課題

あなたは、テレワークとオフィス勤務が混在する中堅企業A社の情報システム担当者です。経営陣から「クラウドサービス（SaaS）を安全に活用しつつ、テレワークの生産性を向上させたい」という指示がありました。しかし、現状は従来のVPNにアクセスが集中して遅延が頻発し、社員からは不満の声が上がっています。また、会社が許可していないSaaS（シャドーIT）の利用も懸念されています。

この課題を解決するために、あなたが導入を提案するゼロトラスト関連のソリューションの組み合わせとして、最も適切なものはどれですか？

ア：VPN装置をより高性能なものに買い替え、全社員のPCに最新のウイルス対策ソフトを導入する。

イ：全ての通信を監視するEDRを導入し、不審な挙動があればアラートを出すように設定する。

ウ：ZTNAを導入してVPNを撤廃し、各SaaSへのアクセスはCASBで一元管理・可視化する。さらに、MFAを全ユーザーに必須とする。

エ：社内開発を強化し、外部のSaaS利用を全面的に禁止する。

（少し考えてみましょう…）

【A1】解答・解説

正解は、ウです。

このシナリオの課題は「VPNの遅延」「SaaSの安全な利用」「シャドーIT」の3つです。選択肢ウは、これら全てに的確に対応しています。

ZTNAでVPNを撤廃し、遅延問題を解消しつつ、アプリ単位の安全なアクセスを実現。
CASBでSaaS利用を可視化・制御し、シャドーITの問題に対応。
MFAで認証を強化し、全てのアクセスの安全性の基礎を固める。

アは旧来の境界型防御の強化に過ぎず、イはEDR単体では解決できない課題です。エはビジネスの現実を無視していますね。このように、課題に対して適切な技術要素を組み合わせるのが、ゼロトラスト設計の醍醐味です。

【Q2】インシデント発生！でも…？

ある日、あなたの会社のEDRが、経理部CさんのPCから不審な振る舞いを検知しました。PCに侵入したマルウェアが、社内のファイルサーバーへアクセスしようと試みているようです。

この状況において、ゼロトラスト・アーキテクチャが正しく機能していれば、どのような形で被害の拡大（ラテラルムーブメント）を防げると期待できますか？最も適切な記述を選んでください。

ア：EDRがマルウェアを検知した瞬間に、PCをネットワークから自動的に隔離する。

イ：マルウェアがファイルサーバーにアクセスしようとしても、Cさん本人によるMFAでの追加認証がなければ、アクセスは許可されない。

ウ：マルウェアがファイルサーバーにアクセスしようとしても、その通信はファイアウォールによってブロックされる。

（少し考えてみましょう…）

【A2】解答・解説

正解は、イです。（※アも有効な対策ですが、イがよりゼロトラストの本質的な考え方を示しています）

ゼロトラストの核心は「常に検証する」ことです。たとえCさんのPCから正規のアクセス要求に見えても、その操作が「いつもの振る舞いと違う」「深夜に行われている」といったコンテキストを基にリスクが高いと判断されれば、システムは追加の本人確認（MFA）を要求します。マルウェアは当然、このMFAを突破できないため、ファイルサーバーへのアクセスはブロックされます。これが、侵入後の横展開を防ぐ仕組みです。

アのEDRによる隔離も重要ですが、これは侵入後の「対処」です。イは、より能動的にアクセスの正当性を「検証」し、被害を未然に防いでいる点で、よりゼロトラスト的と言えます。ウのファイアウォールは、社内から社内への通信は許可していることが多く、このケースでは機能しない可能性が高いです。

【10. 最終チェックとまとめ】「防御の旅」は終わらない！ゼロトラストという新たな地図を手に

本当にお疲れ様でした！これにて【セキュリティ大全】の第2章、【防御編】の全カリキュラムは修了です。あなたは今、従来の「城壁」に頼る古い地図を捨て、現代のサイバー空間を生き抜くための新しい地図、「ゼロトラスト」を手に入れました。

最後に、この章で学んだ最も重要なポイントが、あなたの知識としてしっかり定着しているか、最終チェックをしておきましょう。

第2章【防御編】学習達成度チェックリスト

従来の境界型防御の限界と、「侵入されること」を前提に考える必要性を説明できる。
ゼロトラストの基本原則「決して信頼せず、常に検証せよ」の意味を、自分の言葉で説明できる。
MFA、EDR、ZTNAといった技術が、それぞれゼロトラスト・アーキテクチャの中でどのような役割を担っているか説明できる。
SASEが、場所を問わず一貫したセキュリティを提供する、ネットワークとセキュリティの統合モデルであることを理解している。

これらのチェックリストに自信を持って頷けたなら、あなたはもう「ファイアウォールさえあれば安心」とは考えない、一歩先のIT人材です。

しかし、最後に一つだけ、最も大切なことをお伝えしなければなりません。
それは、ゼロトラストは「プロジェクト」ではなく「プロセス」である、ということです。一度導入して終わり、ではありません。組織の成長や新たな脅威の出現に合わせて、常に見直し、改善し続ける、終わりのない「旅路（ジャーニー）」なのです。

そして、この長い旅路を続けるためには、MFAやEDRといった強力な技術（盾）だけでは不十分です。その盾を組織としてどう運用するのか、どのようなルールを作るのか、そして万が一インシデントが起きた時にどう動くのか…。

そう、「組織」の力が不可欠なのです。

次の第3章【組織編】では、この「組織の力」に焦点を当てます。ISMSやCSIRTといったマネジメント体制、そして情報セキュリティ関連法規について学び、技術と組織の両輪でセキュリティを支える方法を一緒に探求していきましょう。

最高の盾を手に入れたあなた、次はそれを使いこなすための「組織力」を身につけにいきましょう！

【セキュリティ大全 第2章】防御技術の最前線｜ゼロトラスト時代の新・防衛術