ゼロトラストでも防げないことを正しく理解する方法

ゼロトラストは「万能の盾」ではない：まず誤解をほどく

ゼロトラストは近年もっとも注目されるセキュリティの考え方の1つですが、現場では「導入すれば安全になる」「VPNを置き換えれば終わり」といった誤解が起きがちです。ゼロトラストの本質は、社内・社外の境界で守る発想を捨て、すべてのアクセスを疑い、都度確認し、最小権限で通すという運用思想にあります。つまり“製品名”というより“設計の原則”です。

この点を取り違えると、「ゼロトラスト製品を買ったのに事故が起きた」「思ったより運用が重い」といった失望につながります。特に情シスが少人数の中小企業や、予算はあるがセキュリティ専門家が社内にいない大企業部門では、ベンダー提案の“いいところ”だけが先に進みやすい傾向があります。

本記事の目的は、ゼロトラストで防げること／防げないことを切り分け、どこに投資と運用の力点を置くべきかを、専門知識がなくても判断できるようにすることです。結論から言うと、ゼロトラストは「侵入をゼロにする魔法」ではなく、侵入や不正を前提に被害を小さくし、発見を早くし、復旧を速くするための土台です。そこに足りないピース（教育、プロセス、データ保護、監視、BCPなど）を合わせて初めて成果が出ます。

ゼロトラストで“防げる”領域：得意な攻撃パターンを整理する

ゼロトラストが強いのは、「なりすまし・不正アクセスが起きても横展開（被害の拡大）を起こしにくい構造」を作れる点です。代表例は、IDの認証強化（多要素認証など）、端末状態のチェック（管理端末か、暗号化されているか等）、ネットワークを細かく分ける（マイクロセグメンテーション）、そしてアクセスを常に記録して検知につなげる、といった取り組みです。

業務の場面に置き換えると、例えば次のような改善が起こります。

• 在宅勤務や出張先からでも「正しい本人・正しい端末」だけが業務システムに入れる
• 一部のアカウントが盗まれても、重要システムや機密データへの到達を難しくできる
• アクセスログが整うことで「いつ・誰が・どこに」触ったかを追いやすくなる

この“追いやすさ”は地味ですが非常に重要です。インシデントが起きたときに、証跡がなければ原因も範囲も分からず、全社的に業務を止める判断を迫られます。一方、ゼロトラストの設計でログと制御点が整っていれば、止める範囲を最小化しながら復旧できる可能性が上がります。

ただし、ここで注意したいのは「防げる」の対象が主に“アクセス”に関するリスクだという点です。アクセス制御を強化しても、入力されたデータが誤っている、権限を持つ人が悪意を持っている、SaaSの設定が間違っている、といった問題は別の層の話になります。次章では、その「別の層」を具体的に分解します。

ゼロトラストでも防げないこと：典型パターンを7つに分ける

ゼロトラストは重要ですが、すべてのセキュリティ問題を解決するわけではありません。以下は、ゼロトラストを採用していても起こりうる（あるいは防ぎにくい）典型パターンです。自社の状況に照らして「どれが当てはまるか」を見つけることが、正しく理解する第一歩です。

権限を持つ正規ユーザーの“正当な操作”に見える不正（内部不正・委託先リスク）

多要素認証を入れても、正規のIDでログインし、許可された範囲でデータを持ち出せば、技術的には“正常”に見える場合があります。退職予定者、委託先、兼務で権限が過大になっている担当者など、正規権限の悪用はゼロトラスト単体では止めきれません。必要になるのは、権限棚卸し、職務分掌、承認フロー、DLP（情報持ち出し対策）、そして不自然な行動の検知です。

フィッシング後の“本人操作”や「同意」型の攻撃

最近は、パスワードだけでなく多要素認証すら突破する手口（利用者に承認を押させる、偽のログイン画面でセッショントークンを盗む等）が増えています。ユーザーが自分で認証してしまうと、ゼロトラストの入口が突破された形になります。ここでは、教育だけでなく、条件付きアクセス（場所・端末・リスクスコア）、FIDO2などの耐フィッシング認証、そして「怪しい操作を止める仕組み」が重要です。

SaaS設定ミス・公開範囲の誤り（クラウドは“設定がセキュリティ”）

Google DriveやMicrosoft 365、各種CRMなどは便利な反面、「共有リンクが全体公開」「ゲスト招待が無制限」「監査ログが取れていない」など設定次第で事故が起きます。ゼロトラストがアクセスを厳格にしていても、SaaS側の共有設定が広ければ情報は漏れます。クラウドは導入より設定と継続監査が本体と考えるべきです。

アプリの脆弱性・APIの設計不備（開発側の問題）

自社開発のWebシステムやAPIに、認可の不備（他人のデータが見える）、入力チェック不足、セッション管理の欠陥があると、ゼロトラスト以前にアプリ層で破られます。ゼロトラストは「誰がアクセスしたか」を厳しくできますが、アプリが「アクセス後に何を許すか」を誤っていれば事故は起きます。ここはセキュア開発（脆弱性診断、コードレビュー、権限設計、WAF運用）が必要です。

ランサムウェアの“破壊”そのもの（侵入後の暗号化・バックアップ破壊）

ゼロトラストの目的は侵入後の横展開を抑えることですが、端末1台が侵害され、その端末内のデータが暗号化されることまでは防げません。さらに、バックアップが同じ権限で見える場所にあると、バックアップまで暗号化されます。対策の中心は、オフライン/イミュータブルバックアップ、復旧訓練、端末隔離、EDR運用、そして重要データの分離です。

サプライチェーン（取引先・ソフト更新・委託先）経由の侵害

取引先から送られるファイル、外部委託先の端末、ソフトウェアの更新など、第三者を経由した侵害は増えています。ゼロトラストでも、業務上必要なやり取り（請求書、設計書、見積書など）を完全に止めることはできません。ここでは、メール/ファイルの無害化、添付ファイル運用の見直し、取引先管理、委託先の要件定義（端末管理・MFA必須など）が効きます。

“運用ミス”と“例外対応”の積み重ね

ゼロトラストは運用が肝です。例外アカウントが増える、期限なしの特権が残る、ログを見ない、アラートが多すぎて放置される、といった状況では形骸化します。セキュリティは仕組みより運用の継続が難所であり、導入時点で運用コスト（人・時間・外部支援）を見積もる必要があります。

「防げない」を正しく理解するためのフレーム：3層（ID・端末・データ）で棚卸しする

ゼロトラストの限界を感覚で語ると、議論が「不安だから全部やる」「ベンダーが言うから買う」に流れがちです。そこでおすすめなのが、セキュリティを大きく3層に分けて棚卸しする方法です。難しい言葉に見えますが、要は「誰が」「どの道具で」「何に触るか」を分けて考えるだけです。

• ID（誰が）：アカウント、権限、認証、退職・異動、委託先の扱い
• 端末（どの道具で）：PC/スマホ管理、パッチ、暗号化、EDR、持ち出し
• データ（何に触るか）：機密区分、保存場所、共有範囲、バックアップ、暗号化、持ち出し

ゼロトラストが主に効くのは、IDと端末の「入口の検証」と「最小権限」です。しかし、実務の事故の多くは、データの置き場所・共有のさせ方・バックアップ設計など、データ層の設計不備で起きます。つまり、「ゼロトラスト導入＝入口強化」は重要だが、それだけではデータが守れないケースがある、ということです。

棚卸しの進め方としては、まず「重要業務のデータフロー」を1枚に描きます。例：受注→見積→契約→請求→入金、の中で、どこに顧客情報・契約書・請求書があるか。次に、各ステップで「アクセスする人（役割）」「使うシステム（SaaS/社内サーバ）」「保存される場所（共有フォルダ/クラウド）」を並べます。この時点で、共有設定が広い、権限が曖昧、バックアップがない、監査ログが取れていない、といった“ゼロトラスト以前の穴”が見えます。

現場で使えるチェックリスト：導入前に確認すべき質問

ここでは、開発の専門知識がなくても意思決定に使える質問をまとめます。会議でそのまま使えるよう、Yes/Noで答えやすい形にしています。すべてを一度に満たす必要はありませんが、「今どこが弱いか」を言語化することが目的です。

ID（認証・権限）

• 退職・異動・委託終了時に、権限剥奪が当日中に確実に行われますか
• 多要素認証は「管理者・重要データアクセス・社外アクセス」に必須になっていますか
• 権限は役割ベースで付与され、個別の“例外”が棚卸しされていますか
• 特権（管理者）アカウントは日常利用と分け、利用時に記録が残りますか

端末（PC/スマホ）

• 業務端末が把握でき、紛失時に遠隔ロック/消去できますか
• OSやブラウザ、主要ソフトの更新が自動化され、未適用端末が見えますか
• 端末の暗号化は標準で有効ですか（持ち出しPCに特に重要）
• マルウェア検知（EDR等）のアラートを誰が、どの頻度で見ますか

データ（保存・共有・バックアップ）

• 機密データは「どこにあるか」を説明できますか（共有フォルダ、SaaS、個人PC等）
• SaaSの共有設定（外部共有、ゲスト、公開リンク）を定期的に監査していますか
• バックアップは“復旧できること”を確認しましたか（復旧テストを実施）
• 重要データを暗号化・分離し、持ち出し（USB/私用クラウド）を制御できますか

このチェックで「分からない」が多い項目こそ、リスクが高い部分です。ゼロトラストの議論をする前に、まず現状を可視化し、優先順位をつけると、過剰投資と抜け漏れの両方を防げます。

ゼロトラストを“効かせる”導入・運用の現実解：小さく始めて回す

ゼロトラストは大規模な構想になりやすい一方、現場は日々の業務で手一杯です。そこで有効なのが、「重要データに触る経路から順に」小さく適用していく進め方です。具体的には、全社員一斉ではなく、経理・営業・情シスなど、機密度の高いデータを扱う部門や、リモートアクセスが多いグループから始めます。

進め方の一例は次の通りです。

1. 対象を決める：重要システム（会計、顧客管理、ファイル共有、開発環境など）を3つ以内に絞る
2. 入口を固める：SSOと多要素認証、条件付きアクセスを適用し、例外を最小化する
3. 端末を整える：管理端末のみ許可、パッチ適用状況の見える化、紛失対策
4. ログを見る：まずは重要システムのサインインとファイル操作ログから監視を始める
5. データを守る：共有設定の標準化、外部共有のルール、バックアップと復旧訓練

大事なのは、技術よりも「運用の決め方」です。例えば、アラートを全部拾おうとすると破綻します。最初は「管理者ログイン」「海外IPからのアクセス」「大量ダウンロード」など、業務上あり得ない・影響が大きいものに絞り、対応できる量に制御して回すことが継続のコツです。

また、ゼロトラストにすると利用者の体験も変わります。認証が増える、アクセスが制限される、端末登録が必要になる等、反発は必ず出ます。ここで重要なのは「なぜ必要か」を事故例と業務影響で説明し、例外を乱発せず、代替手段（安全な共有方法、承認付きの一時権限など）を用意することです。セキュリティを“現場の敵”にしない設計が成功確率を上げます。

まとめ

ゼロトラストは「社内は安全」という前提を捨て、アクセスを都度検証し、最小権限で運用する強力な考え方です。一方で、内部不正、SaaSの設定ミス、アプリの脆弱性、ランサムウェアの破壊、サプライチェーン、そして運用ミスといった領域は、ゼロトラストだけでは防げないことを押さえる必要があります。

正しく理解するコツは、ID・端末・データの3層で現状を棚卸しし、「どこまでをゼロトラストで固め、どこを別施策で補うか」を決めることです。まずは重要システムと重要データから小さく始め、ログを見て、例外を増やさず、運用できる形に落とし込む。これが、予算を無駄にせず、現場に定着し、実際の被害を減らす最短ルートになります。