従来の境界型セキュリティは「社内ネットワークは安全」という前提のもと、企業の情報資産を守ってきました。しかし、クラウドサービスの普及、リモートワークの定着、そしてサイバー攻撃の高度化により、この前提は崩壊しつつあります。
本記事では、境界型セキュリティの限界とゼロトラストへの移行が必要な理由について以下の内容を解説します。
- 境界型セキュリティ(Castle-and-Moat)モデルの仕組みと歴史的背景
- 境界型セキュリティが機能しなくなった5つの要因
- 実際に発生した境界型セキュリティの限界を示すインシデント事例
- ゼロトラストが解決する課題と移行の必要性
- 境界型からゼロトラストへの移行における考慮点
この記事を読むことで、境界型セキュリティの問題点を論理的に説明でき、経営層やチームメンバーにゼロトラスト導入の必要性を説得できるようになります。
前提知識
本記事を理解するために、以下の知識があることを前提としています。
- ネットワークの基本概念(ファイアウォール、VPN、サブネット)を理解している
- ゼロトラストの基本原則を把握している
ゼロトラストの基本原則については、ゼロトラストセキュリティ入門 - 基本原則と7つの柱を理解するを先に読むことをお勧めします。
期待される学習成果
本記事を読み終えると、以下のことができるようになります。
- 境界型セキュリティの仕組みと設計思想を説明できる
- 境界型セキュリティが現代のIT環境で機能しない理由を5つ挙げられる
- 具体的なインシデント事例を用いて境界型セキュリティの限界を説明できる
- ゼロトラスト移行の必要性を経営層に論理的にプレゼンテーションできる
境界型セキュリティとは何か
境界型セキュリティ(Perimeter Security)は、1990年代から2000年代にかけて確立された、企業ネットワークを守る伝統的なセキュリティモデルです。このモデルは「Castle-and-Moat(城と堀)」とも呼ばれ、中世の城塞防御になぞらえて設計されています。
Castle-and-Moatモデルの設計思想
Castle-and-Moatモデルでは、企業ネットワークを「城」、ファイアウォールやVPNを「堀」と見立てます。堀の外側(インターネット)は危険な領域として扱い、堀の内側(社内ネットワーク)は信頼できる安全な領域として扱います。
flowchart TB
subgraph untrusted["信頼されない領域(インターネット)"]
direction TB
attacker["攻撃者"]
malware["マルウェア"]
phishing["フィッシング"]
end
subgraph perimeter["境界防御層"]
direction TB
fw["ファイアウォール"]
ids["IDS/IPS"]
vpn["VPN Gateway"]
proxy["Proxy Server"]
end
subgraph trusted["信頼される領域(社内ネットワーク)"]
direction TB
users["従業員"]
servers["業務サーバー"]
db["データベース"]
files["ファイルサーバー"]
end
attacker -.->|拒否| fw
malware -.->|検知・遮断| ids
phishing -.->|フィルタリング| proxy
vpn -->|認証後| trusted
users <-->|自由にアクセス| servers
users <-->|自由にアクセス| db
users <-->|自由にアクセス| filesこのモデルの核心は「境界の内側は信頼できる」という暗黙の前提にあります。一度VPN接続やオフィスネットワークへの接続が認証されれば、内部リソースへのアクセスは比較的制限なく許可されていました。
境界型セキュリティの構成要素
境界型セキュリティは、以下の主要なコンポーネントで構成されています。
| コンポーネント | 役割 | 設置場所 |
|---|---|---|
| ファイアウォール | 不正なトラフィックの遮断 | ネットワーク境界 |
| IDS/IPS | 侵入検知・防御 | ネットワーク境界 |
| VPN Gateway | リモートアクセスの暗号化 | ネットワーク境界 |
| Proxy Server | Webアクセス制御・キャッシュ | ネットワーク境界 |
| DMZ | 公開サーバーの隔離 | 境界と内部の中間 |
なぜ境界型セキュリティが採用されたのか
境界型セキュリティが長年採用されてきた理由は、当時のIT環境に適していたからです。
2000年代初頭のIT環境の特徴
- ほぼすべての業務アプリケーションはオンプレミスのサーバーで稼働
- 従業員はオフィス内のPCから業務を行うのが一般的
- 「社外」と「社内」の物理的な境界が明確
- モバイルデバイスやクラウドサービスは普及していない
このような環境では、ネットワークの入口を固めるだけで、効率的にセキュリティを確保できました。
境界型セキュリティが機能しなくなった5つの要因
現代のIT環境は、境界型セキュリティが設計された時代とは根本的に異なります。以下の5つの要因により、境界型セキュリティは限界を迎えています。
要因1: クラウドサービスの普及による境界の消失
企業のITインフラは、オンプレミスからクラウドへと急速に移行しています。
flowchart LR
subgraph past["従来の環境"]
office["オフィス"]
dc["自社データセンター"]
office --> dc
end
subgraph current["現代の環境"]
office2["オフィス"]
home["自宅"]
mobile["モバイル"]
aws["AWS/Azure/GCP"]
saas["SaaS"]
onprem["オンプレミス"]
office2 --> aws
office2 --> saas
office2 --> onprem
home --> aws
home --> saas
mobile --> saas
end現代の企業が利用する典型的なサービス構成
- メール: Microsoft 365 / Google Workspace
- ファイル共有: Box / SharePoint Online / Google Drive
- コミュニケーション: Slack / Microsoft Teams
- CRM: Salesforce
- 人事システム: Workday / SmartHR
- 開発環境: GitHub / GitLab / AWS
これらのサービスはすべてインターネット上に存在し、従来の境界防御では保護できません。IDC Japanの調査によると、2025年には日本企業のパブリッククラウド利用率は70%を超えると予測されています。
要因2: リモートワークの定着
COVID-19パンデミック以降、リモートワークは一時的な措置から恒常的な働き方へと変化しました。
リモートワークがもたらす境界型セキュリティへの影響
- 従業員の自宅ネットワークは企業の管理下にない
- VPNを経由せずに直接クラウドサービスにアクセスするケースが増加
- 企業デバイスと個人デバイスの境界が曖昧化
- カフェや公共Wi-Fiからの業務アクセス
総務省の「令和5年通信利用動向調査」によると、テレワークを導入している企業は50%を超え、その多くが今後も継続する方針を示しています。
要因3: 内部脅威の増加
境界型セキュリティの最大の盲点は、「境界を超えた攻撃者」や「内部の悪意ある行為者」への対処です。
flowchart TB
subgraph perimeter["境界防御"]
fw["ファイアウォール"]
end
subgraph internal["内部ネットワーク"]
compromised["侵害された<br/>従業員PC"]
insider["悪意ある<br/>内部者"]
server1["サーバーA"]
server2["サーバーB"]
db["機密DB"]
end
compromised -->|ラテラル<br/>ムーブメント| server1
server1 -->|権限昇格| server2
server2 -->|データ窃取| db
insider -->|正規アクセス| db
fw -.->|検知不可| internal内部脅威の主な類型
| 脅威タイプ | 説明 | 境界型での対処 |
|---|---|---|
| 悪意ある内部者 | 正規の従業員による意図的な情報漏洩 | 対処困難 |
| 侵害されたアカウント | フィッシング等で窃取された認証情報 | 対処困難 |
| ラテラルムーブメント | 初期侵入後の内部横移動 | 対処困難 |
| シャドーIT | 未承認のクラウドサービス利用 | 対処困難 |
Verizonの「2024 Data Breach Investigations Report」によると、データ侵害の約34%に内部関係者が関与しており、この割合は増加傾向にあります。
要因4: BYOD(Bring Your Own Device)の普及
従業員が個人所有のデバイスを業務に使用するBYODは、コスト削減と利便性向上をもたらす一方で、境界型セキュリティの前提を崩しています。
BYODが境界型セキュリティにもたらす課題
- 個人デバイスに企業のセキュリティポリシーを適用することの困難さ
- デバイスのセキュリティ状態(パッチ適用、マルウェア対策)の把握が困難
- 退職時のデータ消去の課題
- 同一デバイスでの業務利用と私的利用の混在
要因5: サイバー攻撃の高度化
攻撃者の手法は年々高度化しており、単純な境界防御では対処できなくなっています。
現代の攻撃手法の特徴
- APT(Advanced Persistent Threat): 長期間にわたり標的組織に潜伏し、情報を窃取
- サプライチェーン攻撃: 信頼されたベンダーやソフトウェアを経由した侵入
- Living off the Land: 正規のシステムツールを悪用した検知回避
- 多段階攻撃: フィッシング→初期侵入→権限昇格→横移動→データ窃取
これらの攻撃は、一度境界を突破すれば内部で自由に活動できる境界型セキュリティの弱点を突いています。
境界型セキュリティの限界を示す実際のインシデント
境界型セキュリティの限界は、実際に発生した重大インシデントによって明らかになっています。
事例1: SolarWinds攻撃(2020年)
2020年に発覚したSolarWinds攻撃は、境界型セキュリティの限界を示す代表的な事例です。
攻撃の概要
攻撃者は、IT管理ソフトウェアベンダーであるSolarWinds社のOrion製品のアップデートにバックドアを埋め込みました。この改ざんされたアップデートは、SolarWindsの正規の配信経路を通じて、約18,000の組織に配布されました。
境界型セキュリティが機能しなかった理由
- 攻撃は「信頼されたベンダー」の正規アップデートを経由
- ファイアウォールは正規の通信として許可
- 内部に侵入後、9ヶ月以上検知されずに活動
この攻撃では、米国国土安全保障省、財務省、Microsoft、FireEyeなど、高度なセキュリティ対策を実施していた組織も被害を受けました。
事例2: Colonial Pipeline ランサムウェア攻撃(2021年)
2021年5月、米国最大の燃料パイプラインを運営するColonial Pipeline社がランサムウェア攻撃を受け、6日間の操業停止を余儀なくされました。
攻撃の概要
攻撃者は、使用されなくなっていたVPNアカウントの認証情報を悪用して侵入しました。このアカウントは多要素認証(MFA)が有効になっておらず、パスワードのみで認証されていました。
境界型セキュリティが機能しなかった理由
- VPNは「信頼された接続」として内部ネットワークへの広範なアクセスを許可
- 一度侵入すれば、内部での横移動は容易
- 古いアカウントの管理が不十分
結果として、同社は440万ドル(約5億円)の身代金を支払い、米国東海岸では燃料不足によるパニック買いが発生しました。
事例3: 境界型セキュリティの限界を示す典型的なシナリオ
実際のインシデントから抽象化した、境界型セキュリティの限界を示す典型的な攻撃シナリオを示します。
sequenceDiagram
participant Attacker as 攻撃者
participant Email as メールゲートウェイ
participant User as 従業員PC
participant FW as ファイアウォール
participant Server as 内部サーバー
participant DB as 機密データベース
Note over Attacker,Email: フェーズ1: 初期侵入
Attacker->>Email: スピアフィッシングメール送信
Email->>User: メール配信(検知をすり抜け)
User->>User: 添付ファイル実行
User->>Attacker: C2サーバーへの接続確立
Note over User,DB: フェーズ2: 内部活動(境界防御は機能せず)
FW--xFW: 内部通信は監視対象外
User->>Server: 認証情報の窃取(横移動)
Server->>DB: 権限昇格でアクセス
DB->>Attacker: 機密データの窃取このシナリオでは、境界を突破した後の攻撃者の活動は、境界型セキュリティではほとんど検知・阻止できません。
境界型セキュリティとゼロトラストの比較
境界型セキュリティとゼロトラストの違いを体系的に比較します。
根本的な設計思想の違い
| 観点 | 境界型セキュリティ | ゼロトラスト |
|---|---|---|
| 信頼モデル | 境界内は信頼する | 決して信頼しない |
| 検証タイミング | 境界通過時のみ | すべてのアクセス時 |
| アクセス制御 | ネットワーク位置ベース | アイデンティティベース |
| 権限付与 | 広範なアクセス権 | 最小権限の原則 |
| 監視対象 | 境界トラフィック | すべてのトラフィック |
| セグメンテーション | 境界とDMZ | マイクロセグメンテーション |
アクセス制御の違い
境界型セキュリティとゼロトラストでは、アクセス制御の考え方が根本的に異なります。
境界型セキュリティのアクセス制御
|
|
ゼロトラストのアクセス制御
|
|
攻撃耐性の違い
同じ攻撃シナリオに対する、両モデルの対応の違いを示します。
flowchart TB
subgraph attack["攻撃シナリオ"]
phish["フィッシングで<br/>認証情報窃取"]
end
subgraph perimeter["境界型セキュリティ"]
p1["VPNで社内接続"]
p2["社内は信頼される"]
p3["横移動が容易"]
p4["データ窃取"]
p1 --> p2 --> p3 --> p4
end
subgraph zerotrust["ゼロトラスト"]
z1["アクセス要求"]
z2["MFAで追加認証要求"]
z3["デバイス状態チェック"]
z4["異常検知で遮断"]
z1 --> z2
z2 -->|未登録デバイス| z4
z2 -->|認証成功| z3
z3 -->|非準拠| z4
end
attack --> perimeter
attack --> zerotrustなぜ今ゼロトラストへの移行が必要なのか
境界型セキュリティの限界を踏まえ、ゼロトラストへの移行が急務である理由を整理します。
ビジネス環境の変化への対応
現代のビジネス環境は、以下の変化により「境界のない」状態になっています。
- ハイブリッドワークの定着: オフィス、自宅、外出先からのアクセスが日常化
- マルチクラウド戦略: 複数のクラウドベンダーを使い分けるケースが増加
- デジタルトランスフォーメーション: ビジネスプロセスのデジタル化が加速
- M&Aの増加: 異なるIT環境の統合が頻繁に発生
これらの変化に対応するには、ネットワーク位置に依存しないセキュリティモデルが必要です。
規制・コンプライアンス要件への対応
セキュリティに関する規制やガイドラインは、ゼロトラストを推奨または要求する方向に進んでいます。
主な規制・ガイドライン
- 米国: 大統領令14028により、連邦政府機関にゼロトラスト導入を義務化
- NIST: SP 800-207「Zero Trust Architecture」を公開
- CISA: Zero Trust Maturity Modelを策定
- 金融庁: 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」でゼロトラストに言及
サイバー保険の要件
サイバー保険の引受審査において、ゼロトラスト関連の対策が重視されるようになっています。
保険会社が重視するセキュリティ対策
- 多要素認証(MFA)の導入
- 特権アクセス管理(PAM)の実装
- エンドポイント検知・対応(EDR)の導入
- ネットワークセグメンテーション
これらはすべてゼロトラストの構成要素であり、対策が不十分な場合は保険料の増加や引受拒否のリスクがあります。
投資対効果の観点
ゼロトラストへの移行は、長期的な投資対効果の観点からも合理的です。
境界型セキュリティを維持するコスト
- VPNインフラの拡張・維持コスト
- VPN接続によるユーザー体験の低下と生産性損失
- インシデント発生時の対応・復旧コスト
- 規制違反による罰金リスク
ゼロトラスト移行による効果
- リモートアクセスのユーザー体験向上
- インシデント影響範囲の最小化
- クラウド活用の加速
- コンプライアンス対応の効率化
Forresterの調査によると、ゼロトラスト導入により、セキュリティ侵害のリスクを最大50%削減できると報告されています。
ゼロトラストへの移行における考慮点
境界型セキュリティからゼロトラストへの移行は、一朝一夕には実現できません。計画的なアプローチが必要です。
移行は段階的に進める
ゼロトラストへの移行は、「ビッグバン」アプローチではなく、段階的に進めることが推奨されます。
flowchart LR
subgraph phase1["フェーズ1"]
p1["アイデンティティの強化"]
p1a["・MFA導入"]
p1b["・SSO統合"]
end
subgraph phase2["フェーズ2"]
p2["デバイス信頼性確立"]
p2a["・MDM導入"]
p2b["・EDR導入"]
end
subgraph phase3["フェーズ3"]
p3["ネットワーク再設計"]
p3a["・ZTNA導入"]
p3b["・マイクロセグメンテーション"]
end
subgraph phase4["フェーズ4"]
p4["継続的な改善"]
p4a["・SIEM/SOAR"]
p4b["・自動化"]
end
phase1 --> phase2 --> phase3 --> phase4既存投資との整合性
ゼロトラストへの移行は、既存のセキュリティ投資をすべて無駄にするものではありません。ファイアウォールやVPNも、ゼロトラストアーキテクチャの一部として活用できます。
既存投資の活用例
| 既存投資 | ゼロトラストでの役割 |
|---|---|
| ファイアウォール | マイクロセグメンテーションの一要素 |
| VPN | 移行期間中のフォールバック手段 |
| IDS/IPS | ネットワーク監視の継続 |
| Proxy | SWGとしての活用 |
組織文化の変革
ゼロトラストは技術だけでなく、組織文化の変革も必要とします。
必要な意識変革
- 「社内だから安全」という意識の払拭
- セキュリティを「コスト」ではなく「イネーブラー」として捉える
- 継続的な検証と監視を受け入れる文化
- セキュリティと利便性のバランスに対する理解
まとめ
本記事では、境界型セキュリティの限界とゼロトラストへの移行が必要な理由について解説しました。
境界型セキュリティの限界
- クラウド普及により「境界」の概念が崩壊
- リモートワークにより「社内」と「社外」の区別が曖昧化
- 内部脅威に対して脆弱
- BYODの普及によりデバイス管理が困難に
- サイバー攻撃の高度化に対応できない
ゼロトラストへの移行が必要な理由
- 現代のビジネス環境(ハイブリッドワーク、マルチクラウド)への対応
- 規制・コンプライアンス要件への対応
- サイバー保険の要件への対応
- 長期的な投資対効果の向上
境界型セキュリティは、その設計された時代においては有効なモデルでした。しかし、IT環境が根本的に変化した現代では、「決して信頼せず、常に検証する」というゼロトラストの原則に基づいたセキュリティモデルへの移行が不可欠です。
次の記事では、ゼロトラストの中核となるアイデンティティ管理について、IAMとIdPの基礎から解説します。