米国政府系標準のゼロトラストを構成する「5本柱」【ランサムウェア被害に遭わない米国最新DX】
第6回|米国政府系標準のゼロトラストを構成する「5本柱」
――ランサムウェア時代の"アメリカ標準DX"とは何か?
世界では、企業の 9割がゼロトラストを導入済み(CSO Online 2024)で、米国政府は全省庁にゼロトラストを義務化しています。
しかし日本では、「境界型」「VPN依存」「社内AD中心」の90年代型アーキテクチャが主流で、Qilin(アサヒ)・RansomHouse(アスクル)事件のように甚大な被害が拡大しています。
ゼロトラストとは、単に「疑う」ことではありません。
"企業の中で何を守るかを決め、それ以外は信用しない"
これを技術と運用で実装する「再設計」です。
その再設計の骨格が、CISA(米国サイバーセキュリティ庁)の示す 「ゼロトラストを構成する5本柱(Five Pillars)」 です。
■ ゼロトラストの5本柱(CISA標準)
-
IDENTITY(誰がアクセスするか)
-
DEVICES(どの端末からアクセスするか)
-
NETWORK(どのルートを通るか)
-
APPLICATIONS & WORKLOADS(どのアプリをどう動かすか)
-
DATA(最終的に保護すべき情報そのもの)
以下では、"経営企画部が社長に説明できるレベル" に翻訳して説明します。
1. IDENTITY(アイデンティティ)
「"人と権限"を常に確認する仕組み」
従来:
「社内に入ったら社員=信用」
(VPNで入れたら、後はフリーパス)
ゼロトラスト:
「誰であれ、毎回、権限を確認する」
「必要な時だけ、必要な範囲だけ」
経営視点でのポイント
-
ランサムウェア侵入の 75%は不正ログイン。
-
MFA(多要素認証)、SSO、ID管理の統合は「損害を数十億円単位で削減する投資」。
-
社員・委託先・海外拠点が増えるほど、IDが企業最大の弱点になる。
2. DEVICES(端末)
「端末が"安全かどうか"を常にチェックする」
従来:
社員PCであれば信頼する。
スマホ、私物PCは"だいたいOK"。
ゼロトラスト:
安全性を満たさない端末は一歩たりとも入れない。
経営視点でのポイント
-
ランサムウェアは 端末の脆弱性から横展開 する。
-
OSアップデート不備、旧式PC、持ち込みPCが"企業内部の感染源"になる。
-
端末管理(MDM/EMM)とEDRが 社内感染の「防火壁」 になる。
用語解説
■ MDM(Mobile Device Management)
◆ 意味
スマートフォン・タブレット・ノートPCなどの端末そのものを管理・制御する仕組み。
◆ 企業にとっての役割
"会社が支給した端末が安全に使われているか" を一元管理する。
◆ できることの例
OS/アプリを最新に強制更新
パスコード設定を必須化
紛失した端末を遠隔ロック/データ削除
USB利用の禁止
勝手なアプリのインストール禁止
Wi-Fi接続先の制御
◆ ランサムウェア対策としての意味
侵入は 端末1台 から始まるため、MDMは「そもそも怪しい端末を社内に入れない」防火壁になる。■ EMM(Enterprise Mobility Management)
◆ 意味
MDMより広い概念で、
"端末・アプリ・コンテンツ・ID" を統合して管理する仕組み。
◆ MDMとの違い
MDM=端末中心
EMM=端末+アプリ+データ+ユーザー行動も含めた"統合管理"
◆ できることの例
業務アプリ(Teams, Slack など)の利用制御
社内データの持ち出し禁止
アプリごとのポリシー適用
個人スマホを「仕事用領域」「私用領域」に分離する(BYOD対応)
社内データのコピー&ペースト禁止
◆ ランサムウェア対策としての意味
社内データの不正コピーや、攻撃者によるアプリ経由の情報窃取を防ぐ「データ側の壁」になる。■ EDR(Endpoint Detection & Response)
◆ 意味
端末で起きる怪しい動作をリアルタイムで検知し、自動隔離する"攻撃検知システム"。
◆ MDM/EMMとの違い
MDM/EMMは「端末の管理」
EDRは「攻撃の検知・阻止」
◆ できることの例
不審なファイル暗号化 → 即座に端末をネットワーク隔離
特権昇格の試行を検知
攻撃者がパスワードを盗もうとする行動を検知
"横展開"(社内ネットワークへ感染拡大)の兆候を検知
隔離された端末のフォレンジック(ログ解析)
◆ ランサムウェア対策としての意味
攻撃者が内部ネットワークに侵入した瞬間に"そこで止める"
=「社内感染を食い止める最後の砦」
3. NETWORK(ネットワーク)
「VPNのような"入口1本の城"をやめる」
従来:
VPNでつないだら城内へ。どこでも見放題。
ゼロトラスト:
業務単位で"細かい小部屋(マイクロセグメント)"に区切る。
必要な小部屋にだけ、必要な時だけ入れる。
経営視点でのポイント
-
VPNは 世界最大の攻撃対象(BadVPN、脆弱性)。
-
攻撃者が一度入れば、ERPやNASまで一直線。
-
ゼロトラスト・ネットワークは "侵入されても止まらない"構造 になる。
4. APPLICATIONS & WORKLOADS(アプリ・業務)
「アプリケーションが安全に動く"環境ごと守る"」
従来:
基幹システム、SaaS、社内ツールがバラバラ。
ゼロトラスト:
アプリの"動く環境"を統制し、異常動作を即検知する。
経営視点でのポイント
-
攻撃者はアプリの隙(API・脆弱ライブラリ)を突く。
-
重要業務(会計、物流、製造)は "守るべき小宇宙=ワークロード"。
-
全体最適化(IaaS/SaaS/ローカル)が不可欠。
5. DATA(データ)
「最終的に守るべき"企業価値そのもの"」
従来:
データは"置かれた場所"で守る(NAS、ファイルサーバ)。
ゼロトラスト:
データそのものに保護を付ける(暗号化・DLP・アクセス制御)。
経営視点でのポイント
-
顧客情報、知財、製造レシピ、原価データは
侵害=会社の価値が直接毀損。 -
企業秘密の漏えいは 時価総額10〜30%消失 が海外では現実。
-
保護の核は「どの情報をProtect Surfaceにするか」の定義。
■ 5本柱は"経営の優先順位"に直結している
CISAの5本柱は、技術チェックリストではなく、
経営レイヤーの再設計モデル です。
| 柱 | 経営意思決定での意味 |
|---|---|
| Identity | 人と権限の統制 |
| Devices | 全社員/派遣社員/外部パートナーのIT資産の統合管理 |
| Network | ゼロトラストに投資することで抜本的な対策となる。付け焼き刃のツールやサービスは意味がない |
| Apps/Workloads | 社員や派遣社員などがアクセスするアプリケーションの統合管理、利用状況のリアルタイムの把握(不正にファイルが持ち出された等を検知、アクセス遮断) |
| Data | 自社の競争優位に直結する全ての顧客情報、ナレッジ、仕様、設計、戦略提携、特許等を守る |
つまり、ゼロトラストは
"ITの話"ではなく、"経営企画部案件" です。
【セミナー告知】QilinやRansomHouseの被害から完全防御:米国最新ランサムウェア対策セミナー
-経営企画室が主導するアメリカ基準のランサムウェア対策-
一般社団法人 企業研究会
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
【講師】
インフラコモンズ代表