脱「VPN安全」神話 さくらインターネットが「ゼロトラスト前提」で積み重ねた、マネできる緩和策：短期間で全社的に二要素認証が定着できたワケ

2026年3月3日、「ITmedia Security Week 2026 冬」の「ゼロトラスト」セクションで、さくらインターネットでCISO、CIOを務める江草陽太氏が基調講演に登壇した。

[宮田健，＠IT]

　テレワークやクラウド利用が前提となり、ネットワーク境界に依存しないセキュリティ設計が求められる今、さくらインターネットはどのようにセキュリティ対策に取り組んでいるのだろうか。

　「ゼロトラストを前提に、もっと便利に、もっと安全に」と題した講演で、江草氏はゼロトラストセキュリティを特別なものとせず、日常的に運用できるようにするための考え方と技術構成を紹介しつつ、組織構成の課題などにも触れた。本稿では、講演内容を要約する。

さくらインターネット 執行役員／最高情報セキュリティ責任者（CISO）／最高情報責任者（CIO） BBSakura Networks 取締役 江草陽太氏

約9割がテレワーク、「どこでも仕事可能」にできた背景

　「さくらのクラウド」や生成AI向けGPUクラウドサービス「高火力」などを提供し、北海道・石狩に巨大データセンターを擁するさくらインターネットは、大阪に本社を構え、日本各地に拠点を持つ。江草氏によれば、コロナ禍をきっかけに全社テレワークに方針を転換。2024年3月末時点では全従業員の89.9％がテレワークで業務に従事し、人事制度としても「さぶりこ どこでもワーキング」を設けている。特にバックオフィス系ではVPNの依存度を大きく下げており、ゼロトラストアークテクチャへの移行が進んでいる。

ゼロトラストセキュリティモデルを社内教育資料から説明（江草氏の講演資料から引用）

　一般的に、かつてのセキュリティ設計は、オフィスネットワーク内部を「安全な領域」と定義し、外部との接点にファイアウォールやVPNを配置する境界防御モデルに依存してきた。しかし、この「内側は安全だ」という神話は、現代のワークスタイルによって根底から崩壊している。これが、ゼロトラストが注目される理由だ。

　江草氏はVPN接続時に起こる問題として、悪意あるフリーWi-Fiなどに接続している際、DNS（Domain Name System）応答が改ざんされることによる中間者攻撃が発生し得ることを挙げる。VPNをオンにし忘れた場合、本来はVPN内にある対象サーバを探しに行った際に、別の悪意あるサーバに誘導される可能性がある。加えて、TLS（Transport Layer Security）を利用していない社内システムがあれば、その通信はパスワードや機密情報を含め、全て攻撃者の手に落ちる。

　VPN接続されたクライアントによるリスクもある。ある端末が感染した状態でVPNを介して社内システムに接続すると、その端末を起点に、本来アクセス権限のない経理システムや顧客情報基盤などにマルウェアが広がる恐れがある。

VPN接続されたクライアントによるリスク。自宅などのインターネット接続環境でマルウェアに感染した端末がVPN接続されると、影響範囲が広がってしまう（江草氏の講演資料から引用）

　VPNに関するリスクの本質について江草氏は「VPN接続でもインターネット上と同様のリスクがあると考える必要がある」と指摘する。VPNを「信頼の証」ではなく、単なる「通信経路の一つ」として考える必要があるということだ。同社が定義する「ゼロトラスト」の到達点は、単なる「脱VPN」ではなく、「VPNがなくても社内サービスをインターネット上で安全に使える」レベルまで個々のシステムの防御力を引き上げることにある。

VPNから「インターネット」の働き方へ（江草氏の講演資料から引用）

　全てのネットワークを等しく「信頼しない」前提に立ち、サービス単位で厳格な認証・認可を課すことこそが、堅牢（けんろう）な空間を構築するために必要なポイントとなる。境界防御から脱却してセキュリティを考えること、二要素認証を用いて“正規のユーザー”でも都度確認すること、通信を暗号化することなどがポイントとして挙げられる。

セキュリティモデルの変更（江草氏の講演資料から引用）

SSO導入と「人間中心」の二要素認証

　ネットワークを信頼しない前提に立ったとき、アイデンティティー管理や認証の強化が最優先課題となる。さくらインターネットでは、技術的な理想論と従業員の実効性を両立させるために認証基盤を変革している。

　根本的な考え方は、端末が、従業員によって持ち出されたネットワーク環境にさらされる前提に立つことから始まる。マルウェア感染や侵入される可能性がある前提で、ネットワーク単位ではなく“セッション”単位で認証する。認証プロセスでは、単純なパスワードではなく、二要素認証を用い、端末のアップデート状況、接続元のネットワークや地域、デバイス／クライアント証明書認証によって端末も確認するなど、高度なユーザー認証を強化ポイントとして考えたという。

さくらインターネットにおける認証強化の考え方（江草氏の講演資料から引用）

　だが、VPNを通さず、いきなりシステムをインターネットにさらすことは、「やはり心配が付きまとうだろう」と江草氏。この懸念に対しては、「『Gmail』『Microsoft Office 365』『Dropbox』といった組織の機密情報を保管するクラウドサービスは、そもそもインターネットに直接つながっており、VPNに依存しなくても、強固な認証、アクセス制御、監査ログ管理などを前提に安全性が確保されている。セッション単位でユーザーを認証することこそが重要であり、『VPNがないと安全ではない』ということではない」と指摘する。ただし、「リスクに応じて多層防御を組み合わせつつ、VPNを使いながらTLSを活用するなど、多層防御は有効だ」と補足する。

　続けて江草氏は、さくらインターネットにおけるゼロトラスト導入において、どのようないきさつがあったのかを具体的に紹介する。2020年ごろは「Slack」「GitHub」、Office 365といったSaaSの利用で既にシングルサインオンが導入されていた。TOTP（Time-based One-Time Password）やFIDO（Fast IDentity Online）による二要素認証も導入していたが、スマホアプリを利用する方式だったことから、その普及率は30％程度にとどまっていた。

　コロナ禍を機に、大幅なアップデートに踏み切る。既存のSSO（シングルサインオン）を活用しつつ、インターネットからサービスを利用する場合は二要素認証を必須とし、購買在庫システムやオンプレミスのドキュメント管理システムをゼロトラストモデルに置き換えた。

2020年当時、スムーズな認証強化のために気を付けたこと（江草氏の講演資料から引用）

　しかし、いきなり全システムへのSSO対応は難しい。そこで認証プロキシを設置し、社内システムへのアクセスができるような緩和策を講じた。これには「Nginx」「Nginx Lua」を用い、社内エンジニアが過去に実装した「nginx-lua-saml-service-provider」を活用しているという。

社内システムのゼロトラスト化において、緩和策としてリバースプロキシを実装（江草氏の講演資料から引用）

　二要素認証普及には、TOTPの物理トークンを希望者に郵送する緩和策も実施した。加えて、音声電話認証やSMS（ショートメッセージサービス）、FIDO2といった多様な手段を併用可能にすることで、以前は普及率が30％ぐらいだったが、短期間で全社的に利用が定着した。実装上の注意に関して、江草氏は「TOTPやFIDOデバイスは複数登録できるようにし、物理トークンの内蔵リアルタイムクロックがズレることを前提に検証した方がいい」と、トラブルを基にアドバイスした。

低コストでTOTP物理トークンを導入した（江草氏の講演資料から引用）

堅牢な認証基盤を支えるために行った組織改革で得られた“真の成果”

　ゼロトラストアーキテクチャへの移行は技術的な課題だけではない。堅牢な認証基盤を支えるのは、それをガバナンスとして定着させる「組織」だ。江草氏は、情報システム統括室を設立するなど組織面での取り組みも紹介する。

　以前の体制は、情報システムが総務部、セキュリティ統制が法務部に分散し、インシデント対応を担うSIRT（Security Incident Response Team）が有志による「バーチャルチーム」で構成されるという脆弱な構造だった。担当役員が技術畑の人間ではなかったこともあり、この体制では技術的知見に基づいた迅速な意思決定が困難だった。

　そこで同社は2023年、CIO直下に「情報システム統括室」を新設。コーポレートIT、セキュリティ統制、専従のSIRTを集約した。

情報システム統括室を設立、SIRTを正式な組織とした（江草氏の講演資料から引用）

　この組織改革の真の成果は、意思決定のスピードアップに加え、「採用力の向上」にもつながったことだと江草氏は強調する。組織を独立させ、専門組織であることを明確にしたことで、セキュリティエンジニアやSIRT要員にとってのキャリアパスが可視化され、人材確保が容易になったのだ。

　これにより、組織変更前は14人だった体制が、2026年1月時点で30人規模に倍増している。この増強された体制により、外部委託に頼らない内製での脆弱性診断や、24時間365日のインシデントレスポンス体制を高度化し、組織全体のレジリエンスが飛躍的に高まったという。

オフィスでも社内リソースへのアクセスには厳格な検証が可能に

　これらの改革により、さくらインターネットはMDM（Mobile Device Management）やEDR（Endpoint Detection and Response）などによる端末管理と、動的なアクセス制御を高度に統合できたという。オフィスネットワークに依存しない構成に移行し、オフィスでも自宅同様のインターネット接続を提供してオフィスネットワーク内でも“信頼しない”構成に変更している。オフィスでも社内リソースへのアクセスにはSSOやクライアント証明書による厳格な検証が求められるということだ。

　端末管理では、メーカーから直送されたPCを従業員が開封してログインするだけで、設定が自動完了するリモートキッティング体制を構築している。BYOD（Bring Your Own Device）には申請された端末であればMDMに参加し、業務データと個人データを分離することで対応する。組織の端末にクライアント証明書を配布し、本人確認の一環として「会社端末でしかアクセスできない」というルールも設定可能になった。これなら、万が一パスワードが漏れたり、二要素認証が突破されたりしたとしても、関係のない端末からはログインができない。

全社での取り組みの事例（江草氏の講演資料から引用）

　端末自体の健全性は、EDRとSOC（Security Operation Center）による常時監視によって保証されている。検証の一環として「リバースシェル」を用いた攻撃実験を自端末で実施した際、即座にEDRが不審な挙動を検知し、自動的に端末をネットワークから隔離したというエピソードも披露された。

江草氏自身が（正当な理由で）リバースシェルを実行したら、EDRによって検知され、隔離された（江草氏の講演資料から引用）

ゼロトラスト化によって「『やりたいこと』を『できる』に変える」基盤を構築

　江草氏は講演の最後に、さくらインターネットの経営理念「『やりたいこと』を『できる』に変える」という言葉を紹介した。

　従来のセキュリティ対策は、利便性を犠牲にする「制約」として忌避される傾向にあった。しかし、同氏がこの基盤の変革で示したのは「セキュリティを向上させることで、結果として利便性も向上する」という理念だ。

　ゼロトラストアーキテクチャへの移行は「1日にしてならず」で、長い道のりが待っている。しかし何もしないわけにはいかず、少しでも歩みを進め、積み重ねていかねばならない。江草氏を中心としたゼロトラスト化への道のりには、技術論だけでも精神論だけでもなく、組織が目指すべき旗印を掲げ、そこにまい進する一歩一歩の積み重ねが足跡として残っている。一つ一つを見ていけば、決してまねできないものではないことが分かるはずだ。この事例を参考に、ぜひゼロトラストセキュリティという、利便性が向上する“武器”を手に入れてほしい。