クラウド化と人材の流動化が進む…
DXの加速とリモートワークの常態化によって、企業セキュリティの常識はすでに過去のものとなりつつある。にもかかわらず、多くの企業はいまだ、完全にはゼロトラストへの移行ができていないのが現実だ。レガシーシステムとの共存問題、際限なく膨らむ運用コスト、不十分なサポート体制──移行を阻む壁は想像以上に高い。では、企業はこの停滞をどう突破し、ゼロトラストを実装フェーズへと進められるのか。
※この記事は、2025年10月31日に「ビジネス+IT」に掲載されました
リモートワークの定着とクラウドサービス利用の拡大により、企業セキュリティは今まさに転換点を迎えている。かつて主流だった境界型モデルは、社内外の境界にファイアウォールを配置し、「内部は安全」という前提で成立してきた。だが、Microsoft 365やGoogle Workspaceなどといったクラウドサービスの普及、場所に囚われない働き方の変化により、この前提は完全に崩壊した。
そこで今注目を集めているのがゼロトラストモデルである。境界の内外を問わず全アクセスを検証・制御するという新たなセキュリティの常識だ。
しかし、導入状況を調査すると現実は厳しい。国内企業のゼロトラスト対応状況を調査したところ、約半数が一部対応にとどまっていることが判明した。特に「場所を問わない通信保護」や「オンプレミスやSaaS、クラウドを横断した一元管理」といった基本要件において、50%超の企業が追いつけていない実態が浮き彫りになっている。
では、なぜここまで対応が進まないのか。
ゼロトラスト移行を阻む最大の壁は、やはり「レガシーシステム」との共存だ。
ある製造業の現場からは、「SASEサービスは海外ベンダー製が多く、トラブル時の対応に時間がかかると聞く。日本法人で手厚いサポートを受けられるものが望ましい」との声が上がる。導入後の管理ハードルの高さが最大の懸念となっているのだ。
さらに深刻なのは技術的課題である。あるサービス業の現場では「古いシステムやインフラがゼロトラストの原則に対応しておらず、改修や置き換えには膨大なコストと時間を要する。上申することすら躊躇する状況」と語る。
特に境界型ネットワークの内側に構築され、すでに稼働中のシステムが大きな障害となる。既存システムとの整合性が取れず、リプレースに割くリソースもない。加えてグループ会社の制約があり、自社単独で対応できない、といった声も少なくない。
こうした現場の声からは、技術的な課題に加えて、組織体制や経営判断の制約までもが複雑に絡み合い、企業にとって深刻なボトルネックとなっているのだ。
「インターネットイニシアティブは1993年に日本初の商用インターネット接続サービスを開始して以来、技術力でネットワーク社会の基盤を支えてきました。SASE/SSEという言葉が登場する以前から、各領域に該当する機能をIIJ DWP(デジタルワークプレース)としてサービス化しており、SASEとして定義されている機能群はほぼ網羅できる形を取っています」。こう語るのは、同社でサービスプロダクト推進本部 営業推進部 DWPソリューション課の松浦 昂平氏だ。
特に、ゼロトラスト導入を阻む数々の課題を突破する“現実解”として、今最も注目を集めているのがインターネットイニシアティブの「ZTNA(Zero Trust Network Access)」を中核とした段階的アプローチだ。
ゼロトラストを構成する要素は大きく3つ──ネットワークセキュリティ、デバイスセキュリティ、IDセキュリティ。その中でも最優先すべきは、ネットワークセキュリティに該当するZTNA(Zero Trust Network Access)を中心とした基盤構築によるセキュリティレベルの統一である。
「従来のSASEやSSEはクラウド拠点を経由するため、既存WANの再構成が必須でした。しかし、弊社の『IIJフレックスモビリティサービス/ZTNA』は、端末にインストールしたエージェントが制御ポイントとなるため、端末から出るすべての通信の制御が可能です。これにより、既存WANを残したままでもゼロトラストを導入できるのです」(松浦氏)
参考までに、ここでは3フェーズでの移行モデルの一例を紹介する。
まずフェーズ1ではZTNA基盤を導入し、リモートアクセスからスタート(難易度:低)。続くフェーズ2ではSSEやFWaaS、DNS機能を追加し、インターネットゲートウェイをクラウド化(難易度:低~中)。最終段階のフェーズ3では、エンドポイント保護を含む包括的なゼロトラスト環境を完成させる(難易度:中~高)。この段階的な移行こそが、リスク分散と現場定着を両立する現実解といえるだろう。
また、インターネットイニシアティブが提供する「IIJフレックスモビリティサービス/ZTNA」の最大の利点は、ゼロトラストの制御ポイントをクラウド側ではなく端末上に設置した点にある。
「多くのSASEサービスはクラウドに制御ポイントを置きますが、本サービスは端末上に設けることで、ローカルブレイクアウトした通信を含むすべてのトラフィックを直接制御・可視化できるのです」(松浦氏)
仕組みはシンプルだ。端末にインストールしたエージェントが制御を担っているため、検証・制御された通信のみが端末から出ていく。
重要なのは、境界の内外にかかわらずコンテキストによる制御は常に機能し続ける点だ。結果として、既存WANを維持したまま境界内にゼロトラストを適用できる。これは「現行インフラを壊さずにゼロトラストへ移行する」現実解として、多くの企業にとって大きな突破口となるだろう。
インターネットイニシアティブ
サービスプロダクト推進本部
営業推進部
DWPソリューション課
松浦 昂平氏
実際の運用を支えるのは、4つの主要機能だ。
第1の「Enterprise Tunnel」は、特許取得済みの独自プロトコルで快適な通信を実現。遅延耐性に優れ、通勤ラッシュ時のモバイル回線やホテル等に備え付けの共用Wi-Fiでも安定し、会議室移動時のWi-Fi切り替えによる一時的なネットワーク断発生時でも再接続は不要だ。TeamsやZoomといった大容量通信もローカルブレイクアウトで輻輳を回避する。
第2の「ZTNA機能」では、OSログイン情報を基に自動でリモート接続を確立。ユーザーによる切断操作を無効化し、全デバイスを強制的に制御下へ。さらに、通信宛先ごとの制御はもちろんのこと、ドメイン参加やアンチウイルス有無といった端末の正常性を常時検証し、動的にアクセス制御を行う。
第3の「DEM(Digital Experience Management)・可視化機能」では、約60カテゴリでWeb通信を制御。専用ポータルで“誰が・いつ・どのデバイスから・どこへ”アクセスしたかを細かく追跡し、グラフやマップで直感的に分析できる。
第4の「Webアクセス保護」は2025年4月に追加された新機能。クラウド側でブラウザ経由の通信を検査し、AV(アンチウイルス)、RBI(ブラウザ分離)、CDR(ファイル無害化)、DLP(情報漏えい防止)の4機能で多層的に守る。
「最も強力なモードではWebの閲覧だけを許可させるリードオンリー環境もあります。閲覧のみを許可するため、ボタンやリンクをクリックしてのページ遷移は可能ですが、文字の入力やファイルのアップロードなどはできません」(松浦氏)
理論と実践のギャップを埋める取り組みとして、インターネットイニシアティブは実際に機能を体験できる「IIJ Touch & Experience College」を提供している。東京・飯田橋本社の専用デモルームで常時開催されており、約1時間半~2時間で、ここまで紹介した「IIJフレックスモビリティサービス/ZTNA」の機能を一通り体感できる無償プログラムだ。
松浦氏によれば、参加者の満足度は93%に達し、「導入後の働き方を具体的に想像できた」「実際のネットワーク環境に接続して、動作を確認できたのでとてもよかった」と好評だという。
体感プログラムの詳細はこちら:
https://www.iij.ad.jp/college/
本記事でとりあげた「IIJフレックスモビリティサービス/ZTNA」は、2022年1月にサービス提供を開始して以降、多くの企業のゼロトラスト実現をはじめとするセキュリティ強化や、デジタルワークプレース実現に貢献してきた。2023年6月に契約デバイス数が20万台突破して以降も、契約数を順調に伸ばしている。最近(2025年9月現在)では、ゼロトラスト実現の他にも、Windows 10のサポート終了に伴う端末入替や、シンクライアント端末からFAT端末への移行をきっかけに、PC持ち出しによるリスクを懸念する企業から、強制接続や通信の可視化などの要件を満たすサービスとして高く評価されている。
IIJフレックスモビリティサービス/ZTNAの詳細はこちら:
https://www.iij.ad.jp/biz/fxm/
今後は、小規模から大規模まで、簡易機能から高機能まで、全方位でユーザーニーズを満たす製品展開が企業のゼロトラスト実現を加速させることになるだろう。段階的移行により、企業は既存投資を生かしながら、確実にゼロトラスト環境への転換を実現できるのである。
(関連記事)サイバー攻撃から組織を守るSASE 最適な環境の実現に向けた解決策を提示する(日経クロステックのサイトへ)
気になることがあればお気軽に