FLARES LLC
FLARES LLC

Technical document

中小企業のためのゼロトラスト入門

「社内ネットワークの内側は安全」という境界型セキュリティの前提は、クラウドとリモートワークの普及で実態と合わなくなりました。大企業向けの概念論ではなく、Google Workspaceを利用する中小企業が現実的なコストでゼロトラストに移行する具体的な手順を解説します。
セキュリティ / ゼロトラスト約13分公開日 2026年7月4日更新日 2026年7月4日
中小企業のためのゼロトラスト入門のアイキャッチ

Summary

この文書の要点

  • VPNは「接続できたら中は全部見える」設計であり、機器そのものが攻撃対象になっています。
  • ゼロトラストは、誰が・何のデバイスで・どこから・何にアクセスするかを毎回検証します。
  • 移行はID一元化→MFA強制→デバイス管理→アクセス制御の段階適用→VPN廃止判断の5フェーズで進めます。
  • VPN機器の次回更新見積もりが届いたときが、移行を検討する最良のタイミングです。

VPNの何が問題なのかを構造から整理します。

第一に、VPNは「接続できたら中は全部見える」という設計です。認証はトンネルの入口で1回だけ行われ、認証情報が漏れた場合、攻撃者も同じ権限を得ます。国内のランサムウェア被害の侵入経路は、VPN機器の脆弱性と認証情報の窃取が長年上位を占めています。

第二に、VPN機器そのものが攻撃対象です。ファームウェアの脆弱性は次々と公表され、パッチ適用が数日遅れただけで侵入されるケースが現実に起きています。中小企業にVPN機器の脆弱性を常時監視する体制があるでしょうか。

第三に、運用の摩擦です。全トラフィックが会社の回線を経由することで速度が落ち、社員は個人環境で作業を始めます。セキュリティ施策が回避される最大の理由は、不便さです。

ゼロトラストの中核は、アクセスの文脈の検証です。

ゼロトラストの実装は「誰が、何のデバイスで、どこから、何にアクセスするか」を毎回検証することです。GWSにはコンテキストアウェアアクセスという機能があり、「経理データを含む共有ドライブは、会社管理のデバイスかつ国内からのアクセスのみ許可」といった制御ができます。

VPNとの本質的な違いは、検証がアプリケーションへのアクセスごとに行われることと、デバイスの状態がポリシーに含まれることです。認証情報が盗まれても、攻撃者のデバイスは会社の管理下にないため、アクセスは拒否されます。

移行は5つのフェーズで進めます。

フェーズ1はIDの一元化です。業務SaaSのログインをGoogleアカウントによるSSOに集約します。この段階で「退職者のアカウント削除が1箇所で済む」という運用改善が先に手に入ります。

フェーズ2は多要素認証の強制です。方式はSMSではなくアプリまたはセキュリティキーを推奨し、管理者アカウントはフィッシング耐性のあるセキュリティキーを必須にします。

フェーズ3はデバイス管理の導入です。エンドポイント管理でアクセスに使われるデバイスを可視化し、BYODを認める場合は仕事用プロファイルの分離を条件にします。

フェーズ4はコンテキストアウェアアクセスの段階適用です。まずモニターモードで影響を観察し、確認してから強制に切り替えます。適用順序は管理コンソール→経理・人事データ→全社アプリの順です。

フェーズ5はVPNの廃止判断です。残存するオンプレシステムを一覧化し、移行ロードマップを引き、VPNの解約日を決めます。ゼロにできない場合も、VPNを特定システムへの限定アクセスに縮小し、全社共通インフラの座から降ろすことが重要です。

中小企業ならではの注意点があります。

コストについて。コンテキストアウェアアクセスにはGWSの上位エディションが必要です。エディション差額を「VPN機器の更新費用+保守費用+障害対応の人件費」と比較してください。多くの場合、機器の次回更新タイミングが移行の好機です。

体制について。移行は情シス1人でも進められますが、例外申請の裁定は経営判断を含みます。ポリシーの決定権者を明確にし、例外は文書で残す。この規律がないと、例外が積み重なってポリシーが形骸化します。

社内の説得には「VPN機器の次回更新費用」と「情報漏洩時の想定損失」を並べた1枚の資料が最も通ります。セキュリティの理想論ではなく、設備更新の意思決定として提案することが中小企業では有効です。

  • 私物スマホへのMFAアプリ強制は摩擦を生む。アプリかセキュリティキーの2択を提示する。
  • 取引先のアクセスはVPN貸与ではなく、期限とアクセスレベル付きのゲストアカウントで統制する。
  • ID一元化:SSO化率と代替統制。MFA:有効化率100%。デバイス管理:リモートワイプ手順のテスト実施。

Technical documents

技術文書を増やしていきます。

AI、クラウド、業務アプリ開発、要件定義、運用設計に関する考え方を、今後も文書として整理します。

技術文書一覧へ