- 2026-05-03
ISACA東京支部基準委員会委員、ITガバナンス協会理事 福田重遠
1. ゼロトラストはガバナンス視点からのアプローチが必要
ゼロトラストは、従来の境界防御型セキュリティモデルを根本から覆す概念であり、「内部は信頼できる」という前提を排し、「すべてのアクセスは常に検証されるべきである」という原則に基づく。この思想は単なるセキュリティ技術の進化ではなく、企業におけるリスク判断および統制の在り方そのものを再定義するものである。
現状、ゼロトラストが「信頼できる先進技術」として捉えられ、IT部門主導で導入されるケースが多い。しかしこのアプローチでは、ポリシーの一貫性が欠如し、例外管理が属人化するなど、ガバナンス不在の問題が顕在化する。
具体的には、MFA(多要素認証)やEDR(エンドポイント検知・対応)といった個別技術は導入されているものの、それらがどの条件で適用されるかという判断基準が明確でないため、結果としてリスクが適切に管理されない。また、ログが取得されていても経営層に報告されず、意思決定に活用されないケースも多い。
このような状況は、セキュリティ統制は増加しているにもかかわらず、リスク管理の質が向上していないことを意味する。さらに、インシデント発生時には「なぜそのアクセスが許可されたのか」を説明できず、説明責任リスクが顕在化する。
したがって、ゼロトラストの導入および監査は、単なるIT統制の枠組みではなく、ガバナンスとマネジメントの両面から統合的に評価する必要がある。
本稿では、COBIT 2019、NIST SP 800-207、およびNIST SP 800-53を基盤として、ゼロトラスト監査の方法論と実務手続を体系化し、その本質的意義をまとめる。
2. ゼロトラストは技術ではなく意思決定モデル
ゼロトラストの核心は、アクセスのたびに信頼を評価する動的な意思決定プロセスである。これは、ユーザーのアイデンティティ、デバイスの健全性、アクセス元の場所、行動履歴など複数のコンテキストを統合し、アクセスの許可・拒否・追加認証を判断する仕組みである。この構造は、NIST SP 800-207において、Policy Decision Point(PDP)およびPolicy Enforcement Point(PEP)という形で明確に定義されている。
ここで重要なのは、この「判断ロジック」が技術仕様ではなく、企業のリスク許容度(リスクアペタイト)に依存するという点である。すなわち、どの程度のリスクを許容し、どの条件でアクセスを許可するかは、経営が定めるべき事項であり、IT部門のみに委ねるものでもない。したがって、ゼロトラストは単なるセキュリティ技術ではなく、「リスク受容をコード化したガバナンスモデル」として理解されるべきである。
3. ガバナンス視点の監査
ゼロトラストをガバナンス視点で監査する理由は、その意思決定ロジックが企業のリスクマネジメントに直結するためである。COBIT 2019におけるEDMドメイン、特にEDM03(リスク最適化)、EDM02(価値提供)、EDM05(ステークホルダーの関与)は、ゼロトラストの評価において中核的役割を果たす。
監査人はまず、ゼロトラスト戦略が経営層により承認され、企業のリスクアペタイトと整合しているかを確認する必要がある。また、セキュリティ投資がビジネス価値の創出に寄与しているか、すなわち過剰統制や過小統制に陥っていないかを評価することも重要である。さらに、アクセス制御の判断根拠が説明可能であり、経営層を含めてステークホルダーに対して透明性のある報告が行われているかも監査対象となる。加えて、サプライチェーンリスクや外部委託先のアクセス管理についても、ガバナンスの観点から評価する必要がある。これらはNIST SP 800-53におけるRA(Risk Assessment)やSR(Supply Chain Risk Management)領域と対応し、企業全体のリスク管理体制の一部として位置付けられる。
4. マネジメント視点の監査
マネジメント視点では、ゼロトラストの設計、統制、運用の実効性を評価する。これはCOBITのAPO13(セキュリティ管理)、BAI03(構築)、DSS05(運用)、MEA02(評価)に対応する。
4.1 アーキテクチャ評価
ゼロトラストアーキテクチャがNIST SP 800-207に準拠しているかを評価する。具体的には、PDPが集中管理されているか、PEPがすべてのアクセス経路に配置されているか、トラストアルゴリズムが複数のコンテキストを考慮しているかを検証する。ここでは、ネットワーク構成図やIAM設計書を通じて、アクセス判断の流れを可視化することが重要である。
4.2 統制評価
統制評価では、NIST SP 800-53の管理領域に基づき、認証(IA)、アクセス制御(AC)、監査ログ(AU)、システム保護(SI)、インシデント対応(IR)といった統制の整備状況を評価する。この際、統制の存在だけでなく、ゼロトラストの前提に基づいた動的制御が実装されているかが重要である。
4.3 運用評価
運用の評価では、ログ分析およびシナリオテストを実施する。例えば、不正端末からのアクセス、異常ログイン、権限昇格、内部横展開といったシナリオを想定し、システムがどのように検知・制御するかを確認する。この評価は、「侵入を防げるか」ではなく、「異常を検知し、被害を局所化できるか」という観点で行われる。
5. ガバナンス主導への転換
ゼロトラストを真に機能させるためには、経営層が主体となり、リスクアペタイトを明確化し、それをアクセス制御ポリシーとして実装する必要がある。これは、ゼロトラストを「IT施策」から「経営の意思決定プロセス」へと昇華させることを意味する。具体的には、リスクアペタイトとポリシーのトレーサビリティ、例外管理の統制、判断ロジックの説明可能性などを評価し、ガバナンス視点の欠如の有無を明確化することが求められる。
6. 結論
ゼロトラスト監査の本質は、アクセス制御の技術的実装を評価することではなく、その背後にある意思決定ロジックとリスク管理の枠組みを検証することにある。COBIT 2019によるガバナンス、NIST SP 800-207によるアーキテクチャ、NIST SP 800-53による統制を統合することで、初めて実効性のある監査が可能となる。最終的に、ゼロトラストとは「信頼できる技術」ではなく、「経営が定めたリスク境界をリアルタイムに強制するガバナンス機構」である。この認識に立脚しない限り、いかなる高度な技術も本来の価値を発揮することはない。