プライバシー設定

このサイトでは、第三者のウェブサイト追跡技術を使用して、当社のサービスを提供および継続的に改善し、ユーザーの興味に応じた広告を表示します。同意します。また、将来的に有効となる限り、いつでも同意を取り消したり、変更したりすることができます。

すべての記事

ゼロトラストセキュリティとは｜概念・原則・SaaS環境での実装方法を解説

ジョーシス編集部

SaaS運用に課題を感じている方へ

現在の状況をヒアリングし、最適な改善方法をご提案します。

Last updated:

June 29, 2026

この記事は読むことができます 5 分

この記事は 1 分で読むことができます

ジョーシス編集部

この記事は 1 分で読むことができます

コピー

はじめに

テレワークの普及とSaaSの急拡大によって、「社内ネットワークの内側は安全」という前提が崩れました。かつてはファイアウォールで社内外を分離する境界型セキュリティが主流でしたが、クラウドとモバイルが業務の中心になった今、その考え方は通用しません。

「概念は知っているが、何から手をつければいいかわからない」「SaaS環境でどう実装すればいいか見当がつかない」——そうした情シス担当者の声は根強く残っています。実際、ゼロトラストは理念として広く知られている一方で、具体的な実装イメージが持ちにくいという課題があります。

本記事では、ゼロトラストセキュリティの基本概念・7原則・SaaS環境での実装ステップを体系的に解説します。ゼロトラストを自社に取り入れたい情シス担当者・セキュリティ責任者の方に向けた内容です。

ゼロトラストセキュリティとは

ゼロトラストセキュリティとは、「何も信頼しない、常に検証する（Never Trust, Always Verify）」を基本原則とするセキュリティモデルです。社内ネットワーク内にいるユーザーやデバイスであっても、デフォルトでは信頼せず、すべてのアクセスを継続的に検証します。

従来の境界型セキュリティとの違い

境界型セキュリティは、社内ネットワークと外部を明確に分け、内側にいるユーザーは「信頼できる」とみなす考え方に基づいていました。ファイアウォールやVPNがその代表的な手段です。

この方式には構造的な限界があります。SaaSの普及によって業務データがクラウド上に分散し、社員はオフィス外からもアクセスします。「内側」と「外側」の境界自体が意味をなさなくなり、一度内側に侵入されると攻撃者が自由に動き回れてしまう脆弱性があります。

ゼロトラストはこの前提を根本から覆します。場所やネットワークに関わらず、すべてのユーザー・デバイス・アプリケーションを常に疑い、アクセスのたびに検証します。

比較項目	境界型セキュリティ	ゼロトラスト
信頼の前提	内側は信頼、外側は不審	すべてを疑い、常に検証
アクセス制御	ネットワーク境界で一括制御	ユーザー・デバイス・アプリ単位で制御
リモートワーク対応	VPN依存で複雑	場所に依存しないアクセス制御
SaaS環境	境界が不明確で対応困難	SaaSを前提とした設計
内部脅威対策	内側を信頼するため弱い	内外問わず検証するため強い

ゼロトラストが注目される背景

ゼロトラストという概念は2010年にフォレスター・リサーチが提唱し、2020年代に入って急速に普及しました。日本でも経済産業省やIPAがゼロトラストの重要性を認め、ガイドラインの策定を進めています。

普及の背景には3つの変化があります。リモートワークの定着により「社内ネットワーク内＝安全」という前提が崩れたこと。SaaSとクラウドの普及によって業務データが分散し、境界型の一括管理が機能しなくなったこと。そして標的型攻撃やランサムウェアが「ラテラルムーブメント（内部の横断移動）」を多用するようになり、境界を突破された後の被害拡大を防ぐ手段として、ゼロトラストが有効だとわかってきたことです。

ゼロトラストの7つの原則

米国国立標準技術研究所（NIST）は、ゼロトラストの基本原則をSP 800-207で定義しています。この7原則がゼロトラスト実装の基盤となります。7つを一度に実装する必要はなく、自社の状況に合わせて段階的に取り組むことが現実的です。

原則1: すべてのデータとサービスをリソースとみなす

社内サーバー・クラウドストレージ・SaaSアプリケーション・IoTデバイスなど、組織が保有するあらゆる情報資産をリソースとして扱います。「社内」「社外」という区分ではなく、リソース単位でアクセス制御を設計します。この視点の転換が、ゼロトラスト設計の出発点です。

原則2: 通信はネットワーク位置に関わらず保護する

社内LANを経由する通信であっても、外部インターネット経由であっても、すべての通信を暗号化の対象とします。「社内だから安全」という発想を排除し、あらゆる経路でデータを保護します。

原則3: リソースへのアクセスはセッションごとに許可する

恒常的な広範なアクセス権をユーザーに与えるのではなく、アクセスのたびにセッション単位で権限を付与します。一度認証されたからといって、次のアクセスで自動的に許可されるわけではありません。

原則4: アクセス権はポリシーに基づき動的に決定する

アクセスの可否は、ユーザーID・デバイスの状態・場所・時間帯・リスクスコアなど複数の属性を組み合わせて動的に判断します。固定的なアクセスリストではなく、コンテキストに応じた適応型の制御が求められます。

原則5: すべてのデバイスのセキュリティ状態を監視・確認する

アクセスを許可するデバイスは、OSのパッチ適用状況やエンドポイントセキュリティの稼働状況を確認した上で判断します。マネージドデバイスかどうかも、アクセス可否の重要な判断基準となります。

原則6: 全認証・認可はダイナミックに実施し継続的に再評価する

一度の認証・認可で終わりにせず、セッション中もリスクシグナルを監視します。異常が検知された際には再認証や接続遮断を自動的に行います。継続的なリスク評価が、この原則の核心です。

原則7: 可能な限り多くのデータを収集し、セキュリティ態勢の改善に役立てる

すべてのアクセスログ・認証ログ・ネットワークトラフィックを収集・分析します。収集したデータはセキュリティポリシーの継続的な改善に活用します。ログの可視化と分析基盤が、ゼロトラスト運用を支えます。

SaaS環境でゼロトラストが特に重要な理由

SaaS環境は、ゼロトラストの必要性が最も高い領域のひとつです。SaaSは導入ハードルが低く、情シスが関知しないまま各部署で使われるシャドーITが生まれやすい構造があります。アクセス経路も多様で、社内外・デバイスを問わず利用されます。

関連記事SaaSセキュリティとは

SaaS環境のゼロトラストで特に問題になるのは次の4点です。

利用中のSaaSの全体像が把握できていない（可視性の欠如）
退職者・異動者のアカウントが放置されている（孤立アカウントリスク）
過剰な権限が付与されたまま見直されていない（過剰権限リスク）
SaaSごとに認証方式がバラバラで一元管理できていない

これらを放置すると、ゼロトラストの概念を掲げても実態が伴わない「名ばかりゼロトラスト」になります。SaaS可視化とアクセス管理の整備が、ゼロトラスト実現の第一歩です。‍

関連記事SaaSアクセス管理とは

SaaS環境でのゼロトラスト実装ステップ

ゼロトラストは一度に完成するものではなく、段階的に積み上げるものです。SaaS環境での実装は、以下の4ステップで体系的に進めることを推奨します。

Step1: SaaS利用状況の可視化

ゼロトラスト実装の起点は「何が存在するかを知ること」です。社内で利用されているすべてのSaaSを洗い出し、誰がどのSaaSにどんな権限でアクセスしているかを把握することから始めます。

可視化なしにアクセス制御を設計しても、管理外のSaaSが死角として残り続けます。SaaS Discovery機能を持つ管理プラットフォームを活用すると、ブラウザ拡張やネットワーク解析で未把握のSaaSを自動検出できます。可視化で把握すべき情報は以下のとおりです。

利用中のSaaSの種類と契約状況
各SaaSにアクセスしているユーザーと権限レベル
未使用アカウントや孤立アカウントの存在
シャドーIT（情シス未承認のSaaS）の利用状況‍

Step2: アイデンティティ管理とMFAの整備

ゼロトラストの中核はアイデンティティ管理です。「誰がアクセスしているか」を確実に確認するために、多要素認証（MFA）とシングルサインオン（SSO）を整備します。

MFAはパスワードだけでは突破されるリスクのある認証を、スマートフォン認証や生体認証などの追加要素で補強します。管理者権限を持つアカウントへのMFA適用は、最優先で対応すべき事項です。

SSOはMicrosoft Entra IDやOktaなどのIDプロバイダーを活用することで、複数SaaSへの認証を一元管理できます。ただしSSOに対応していないSaaSは管理の死角になりやすいため、非連携SaaSの把握と対策を並行して進める必要があります。

関連記事SSO セキュリティ限界

Step3: 最小権限アクセス制御の実装

ゼロトラストの核心は、ユーザーが必要最低限のリソースにしかアクセスできない状態を作ることです。ロールベースアクセス制御（RBAC）を基盤として、各ユーザーの役割に応じた最小限の権限を設計します。

「必要なときに必要な権限だけを付与し、不要になったら削除する」という継続的な管理サイクルが、最小権限アクセスの実践です。入退社・異動のたびに権限を適切に変更するフローを整備することが、この原則の具体化につながります。

Step4: 継続的なモニタリングと異常検知

ゼロトラストは設定して終わりではなく、継続的な監視と改善が必要です。すべてのアクセスログを収集・分析し、通常と異なるアクセスパターンを検知する仕組みを整えます。具体的に監視すべき異常は次のとおりです。

通常と異なる時間帯・場所からのアクセス
大量のデータダウンロードや権限昇格の試み
無効化されたはずのアカウントへのアクセス試行
MFA回避の試みや認証失敗の多発

異常を検知した際に自動でセッションを遮断し、管理者に通知する仕組みを設けることで、インシデントへの対応速度を大きく上げられます。

ゼロトラスト実現に向けたSaaS管理の役割

ゼロトラストを実現するためには、SaaS管理プラットフォームが不可欠な役割を担います。「何も信頼しない」を実践するには、まず「何が存在するか」を完全に把握することが前提です。SaaS管理プラットフォームはその基盤を提供します。

SaaS可視化がゼロトラストの出発点

ゼロトラスト実装の前提となるのは、全SaaSの把握です。管理されていないSaaSへのアクセスは制御できません。SaaS管理プラットフォームのSaaS Discovery機能を使うことで、情シスが把握していないSaaSの利用状況も検出できます。

検出されたSaaSを棚卸しし、承認・非承認の判断を行うことで、シャドーITへの対処とゼロトラスト制御の実装を同時に進められます。

アクセス管理自動化による継続的なアイデンティティ制御

ゼロトラストにおけるアイデンティティ管理は、一度設定して終わりではありません。入退社・異動・昇格などの人事変化に連動して権限を継続的に更新する自動化が必要です。

SaaS管理プラットフォームで人事システムと連携することで、入社時のアカウント作成から退社時のアカウント無効化まで、ライフサイクル全体を自動化できます。手作業に起因する漏れや遅延によって発生する孤立アカウントや過剰権限を防止し、ゼロトラストの「常に検証」「最小権限」を継続的に維持できます。

関連記事：孤立アカウントとは

定期アクセスレビューによるゼロトラスト状態の維持

ゼロトラストは継続的な状態維持が求められます。定期的なアクセスレビューを実施し、現在の権限が業務上の必要性と一致しているかを確認します。

SaaS管理プラットフォームのアクセスレビュー機能を活用することで、全SaaSのアクセス状況を一覧で確認し、不適切な権限を検出して是正するサイクルを効率的に回せます。このサイクルが、ゼロトラストの「継続的な検証」を実務レベルで実現します。

ジョーシスのプラットフォームによるゼロトラストの実現

ゼロトラストの実装は大規模な投資が必要と思われがちですが、SaaS管理から段階的に始めることで現実的に進められます。ジョーシスのプラットフォームは、ゼロトラスト実現の第一歩となるSaaS可視化とアクセス管理自動化を提供します。

SaaS Discoveryによる全アプリの把握

ジョーシスのSaaS Discovery機能では、ブラウザの利用状況を解析し、情シスが把握していない未承認SaaSを自動的に検出します。検出されたSaaSをリスト化し、承認・非承認・対処方針を決定するワークフローに連携できます。

「何が使われているかわからない」という状態を解消することがゼロトラスト実装の起点です。可視化なしにアクセス制御を設計しても、管理外のリソースが常に残り続けます。

Access Automationによる入退社・異動の自動化

ジョーシスのAccess Automation機能では、人事システムや社内ワークフローと連携し、入退社・異動の情報をトリガーとして権限の付与・変更・削除を自動化します。

入社者には役割に応じたアカウントと権限が自動で作成され、退社者のアカウントは退社日に合わせて自動で無効化されます。人手に依存した対応では避けられない漏れや遅延がなくなり、ゼロトラストの「最小権限」「継続的な検証」の原則をライフサイクル全体で実現できます。

Access Reviewsによるコンプライアンス対応

ジョーシスのAccess Reviews機能は、定期的なアクセスレビューを効率化します。全SaaSのアクセス状況を一覧表示し、アクセスの妥当性を確認するワークフローを実行できます。レビュー結果は記録として残り、監査対応の証跡にもなります。ゼロトラストの「継続的な再評価」を、手作業の工数を大幅に削減しながら実現できます。