ゼロトラストネットワークアクセスの設計原理

境界防御モデルの構造的な限界

従来のネットワークセキュリティは 境界防御（ペリメータモデル） に立っていました。ファイアウォールや VPN で「内側」と「外側」を区切り、内側に入れた主体は信頼する、という前提です。一度 VPN で社内ネットワークに接続すれば、その後は IP アドレスやネットワークセグメントだけで多くのリソースへ到達できます。詳しくは /network/vpn/ を参照してください。

この前提が崩れる理由は明確です。ネットワーク位置（IP・セグメント）は身元を証明しない のに、それを信頼の根拠にしてしまっている点です。攻撃者が1台の端末を踏み台にして内側へ入る、あるいは正規の VPN 認証情報を盗むと、そこから先は「内部 IP からのアクセス」として扱われ、他システムへ自由に 横移動（ラテラルムーブメント） できます。境界は外周を一度突破されると内部が無防備、という卵の殻のような構造になっています。

ゼロトラストの原則：暗黙の信頼をゼロにする

ゼロトラスト（NIST SP 800-207）の核心は 「決して信頼せず、常に検証する（never trust, always verify）」 という一文に集約されます。ネットワークの内外を問わず、いかなる接続も無条件には信頼しません。具体的には次の原則で設計します。

• 既定拒否（deny by default）：明示的に許可された通信だけを通し、それ以外はすべて拒否する。許可リスト方式。
• 接続ごとの検証：一度の認証で長く信頼するのではなく、セッション単位・リクエスト単位で認証・認可を再評価する。
• 最小権限：主体には必要最小限のリソースへのアクセスのみを与える。
• ネットワーク位置を信頼の根拠にしない：社内 LAN からでも外部からでも、判定ロジックは同一。

アクセス判定の構造：PEP と PDP

ゼロトラストの実装は、判定を下す頭脳と、それを通信経路上で強制する関所に分離されます。

主体は保護対象リソースに直接アクセスできません。必ず PEP を経由し、PEP は接続の都度 PDP に「この主体・このデバイス・この文脈で、このリソースへのアクセスを許すか」を問い合わせます。PDP は許可なら PEP に対しセッション確立を指示し、PEP がトンネルや接続を開きます。リソース自体はインターネットに直接公開されず、PEP の背後に隠れます（リソースの不可視化）。

[主体/デバイス] --(1)接続要求--> [PEP（アクセスプロキシ）]
                                     │ (2)判定要求
                                     ▼
                                  [PDP（ポリシーエンジン）]
                                     │ (3)情報収集
                          ┌──────────┼──────────┐
                      [ID プロバイダ] [デバイス管理] [リスク/脅威情報]
                                     │
                                     ▼ (4)許可/拒否
[主体] <===許可された経路のみ===> [PEP] ──> [保護対象リソース]

判定の入力：ID・デバイス・コンテキスト

PDP の判定は単一要素ではなく、複数のシグナルの合成で行われます。これが境界防御の「IP だけ」との決定的な違いです。

• ID（主体）：ユーザーやワークロードが暗号的に誰であるか。多要素認証（MFA）で確かめた人間の ID か、証明書ベースのワークロード ID（mTLS など）を使う。ネットワーク位置ではなく身元で判断する基盤については /network/mtls-spiffe/ を参照してください。
• デバイス（ポスチャ）：接続元デバイスが要件を満たすか。OS パッチ適用状況、ディスク暗号化、EDR の稼働、管理対象端末かどうか、といった デバイスポスチャ を検査する。
• コンテキスト：時刻、地理的位置、これまでの行動との乖離、認証の新しさ、計算された リスクスコア。普段と違う国からの深夜アクセスなら、追加認証を要求する、といった判断に使う。

これらを トラストアルゴリズム が重み付けして合成し、最終的に許可／拒否、あるいは「追加認証を要求」「読み取りのみ許可」といった条件付き許可を出します。判定が連続値（信頼スコア）であり、しきい値で段階的に対応を変えられる点が、二値の許可リストより柔軟です。

マイクロセグメンテーション：横移動を封じる

判定の仕組みを整えても、ワークロード同士がフラットなネットワークで自由に到達できるなら、侵害された1台から横移動が起こります。これを防ぐのが マイクロセグメンテーション です。

従来の VLAN によるセグメント分割は「サブネット単位」で粗く、同一サブネット内は素通しでした。マイクロセグメンテーションは粒度を 個々のワークロード（ポッド・サービス）単位 まで細かくし、ID ベースで「どの主体がどの宛先のどのポートへ通信してよいか」を最小許可で定義します。許可されていない経路は既定で拒否します。

従来（フラット内部）              マイクロセグメンテーション
┌─────────────────┐            ┌─────────────────┐
│ A ── B ── C ── D │            │ A ──► B    C    D │
│ 同一セグメント内は │            │      （A→B のみ許可）│
│ 相互に素通し       │            │ 他は既定拒否       │
└─────────────────┘            └─────────────────┘
1台侵害で全台に到達           侵害の影響を最小経路に限定

強制点は、各ノードの分散ファイアウォール（ステートフルなフロー追跡を伴う。仕組みは /network/conntrack-stateful-firewall/ を参照）や、サイドカープロキシ層に置かれます。ポリシーは IP ではなく ワークロードの ID やラベル で書くため、ポッドが再スケジュールされて IP が変わってもルールは追従します。これにより、ある1つのワークロードが侵害されても、攻撃者が到達できる範囲（ブラスト半径）が明示的に許可された隣接経路に限定されます。

ZTNA が実現するもの

ゼロトラストネットワークアクセス（ZTNA）は、これらの原理を「リモートアクセス」に適用した形態です。VPN がネットワーク全体への到達を与えていたのに対し、ZTNA は アプリケーション単位 でアクセスを仲介します。主体は PEP（ブローカー）にだけ接続し、リソースは外部から不可視のまま、許可されたアプリへの接続だけがアウトバウンド方向に確立されます。

整理すると、ゼロトラストの設計は3つの分離で成り立ちます。身元の確立（ID・デバイス・コンテキストの収集）、判定（PDP によるポリシー評価）、強制（PEP とマイクロセグメンテーション）。この3層を独立させ、ネットワーク位置という曖昧な代理指標を信頼の根拠から完全に外す——接続のたびに「お前は誰で、その端末は健全で、いま許してよい文脈か」を問い直し続けることが、境界が消えた現代のネットワークにおける防御の本質です。