「ゼロトラストは大企業のもの」――この認識はもう古い。ゼロトラストの本質は「すべてのアクセスを都度検証する」という設計思想であり、高額なソリューションを一括導入することではない。Google WorkspaceやMicrosoft 365の 標準機能 を正しく設定するだけでも、ゼロトラストの第一歩は踏み出せる。
IPA「情報セキュリティ10大脅威 2026」では、サプライチェーン攻撃が上位、リモートワーク環境を狙った攻撃が7位にランクインしている。テレワークの定着とクラウドサービスの業務基盤化により、従来の「社内ネットワーク=安全」という境界型セキュリティの前提は崩壊した。本記事では、中小企業が 月額3,000円/人 から段階的にゼロトラストを導入する現実的なロードマップを解説する。
目次
- ゼロトラストとは何か――境界型セキュリティとの違い
- 「中小企業にゼロトラストは不要」は誤り
- 3段階の導入ロードマップ
- Stage 1:MFA+SSO(月額3,000円/人〜)
- Stage 2:EDR+MDM(月額5,000円/人〜)
- Stage 3:SASE/ZTNA(月額10,000円/人〜)
- 導入効果の測定方法
- FAQ
- まとめ
ゼロトラストとは何か――境界型セキュリティとの違い
境界型セキュリティの限界
従来の境界型セキュリティは、ファイアウォールやVPNで「社内」と「社外」の境界線を引き、社内ネットワークを信頼する設計だ。
この設計は、「社員は全員出社」「データは社内サーバーに存在」という前提で有効だった。2026年現在、この前提はほぼ成り立たない。
ゼロトラストの設計思想
ゼロトラストは、ネットワークの内外を問わず すべてのアクセスを「信頼しない」状態から検証 するモデルだ。
| 項目 | 境界型セキュリティ | ゼロトラスト |
|---|---|---|
| 信頼の基準 | ネットワークの場所(社内/社外) | アイデンティティ+デバイス+コンテキスト |
| VPNの位置づけ | 社外アクセスの「入口」 | 不要、または補助的手段 |
| 内部の脅威 | 対応が困難 | 常時監視で検知可能 |
| クラウド対応 | 追加設計が必要 | 設計思想に組み込み済み |
| リモートワーク | VPN依存(帯域がボトルネック) | 場所を問わず同一ポリシー適用 |
| コスト構造 | ハードウェア中心(高額な初期投資) | クラウドサービス中心(月額課金) |
「中小企業にゼロトラストは不要」は誤り
「ゼロトラストは大企業の話」という認識が根強いが、以下の3つの構造変化により、中小企業でも対応が不可避になっている。
理由1:テレワーク+クラウドで境界は消えた
総務省「令和6年通信利用動向調査」によると、従業員100〜299人規模でも約45%がリモートワークを実施している。Microsoft 365、Google Workspace、Slack、freee、kintone――業務データは社内サーバーの外に分散している。VPNで社内に「戻る」設計は、クラウドファーストの時代に合わない。
理由2:VPN自体が攻撃対象になっている
警察庁の統計では、ランサムウェアの侵入経路の約60〜70%がVPN機器の脆弱性だ。「VPNがあるから安全」どころか、VPNが最大のリスク要因になっている。ゼロトラストはVPN依存から脱却し、よりセキュアなアクセス方式に移行する思想でもある。
理由3:取引先からの要求
サプライチェーンセキュリティ対策評価制度の開始に伴い、大企業が取引先にセキュリティ基準の遵守を求める動きが加速している。MFA、EDR、アクセス制御――これらはゼロトラストの構成要素そのものだ。取引継続のためにも、ゼロトラストの段階的導入は「やるかやらないか」ではなく「いつ始めるか」の問題だ。
3段階の導入ロードマップ
ゼロトラストは一括導入するものではない。以下の3段階で、投資対効果の高い順に導入する。
| Stage | 対策内容 | 月額コスト(/人) | 導入期間 | カバーするリスク |
|---|---|---|---|---|
| Stage 1 | MFA+SSO | 3,000円〜 | 1〜2か月 | 不正ログイン、パスワード漏えい |
| Stage 2 | EDR+MDM | 5,000円〜 | 2〜3か月 | マルウェア、デバイス紛失・盗難 |
| Stage 3 | SASE/ZTNA | 10,000円〜 | 3〜6か月 | ネットワーク侵入、情報漏えい |
Stage 1:MFA+SSO(月額3,000円/人〜)
概要
ゼロトラストの最も基本的な要素は アイデンティティの検証 だ。MFA(多要素認証)とSSO(シングルサインオン)で、「誰がアクセスしているか」を確実に確認する。
利用するツール
| ツール | 月額(/人) | 特徴 |
|---|---|---|
| Google Workspace Business Starter | 約900円 | MFA標準搭載、SSO対応、30GB ストレージ |
| Microsoft 365 Business Basic | 約900円 | MFA標準搭載、Entra ID(旧Azure AD)でSSO |
| Microsoft 365 Business Premium | 約3,300円 | 上記+Entra ID P1(条件付きアクセス)+Defender for Business(EDR) |
具体的な設定手順
Google Workspaceの場合
- 管理コンソール → セキュリティ → 2段階認証プロセス
- 「全組織に対して2段階認証プロセスの適用を有効にする」を選択
- 猶予期間(1〜2週間)を設定し、全ユーザーに通知
- 認証方式としてGoogle認証システム(TOTP)またはセキュリティキーを設定
Microsoft 365の場合
- Microsoft Entra管理センター → 保護 → 多要素認証
- セキュリティの既定値群を有効にする(全ユーザーにMFAを強制)
- または条件付きアクセスポリシーでMFAを必須に設定(Business Premium以上)
- Microsoft Authenticatorアプリのインストールを全従業員に展開
SSO(シングルサインオン)の設定
Google WorkspaceまたはMicrosoft 365をIdP(IDプロバイダー)として、業務で利用するSaaSアプリにSSO接続する。
| 連携先SaaS | SSO設定方法 |
|---|---|
| Slack | Google/Microsoft SSO(無料) |
| Zoom | Google/Microsoft SSO(無料) |
| freee | SAML連携(Professional プラン以上) |
| kintone | SAML連携(スタンダードコース以上) |
| Salesforce | SAML連携(全エディション対応) |
Stage 1の導入効果
- 不正ログインリスクの 99.9%以上 を低減(Microsoft調査)
- パスワード関連のヘルプデスク問い合わせを 約40% 削減(Gartner推計)
- 退職者のアクセス権限をSSO側で一括無効化(即日対応可能)
Stage 2:EDR+MDM(月額5,000円/人〜)
概要
Stage 1でアイデンティティを保護した次は、デバイスの信頼性 を検証する。EDR(エンドポイント検知・対応)でマルウェアを検知・隔離し、MDM(モバイルデバイス管理)でデバイスのセキュリティ状態を強制する。
利用するツール
| ツール | 月額(/人) | 特徴 |
|---|---|---|
| CrowdStrike Falcon Go | 約1,000円/台 | 軽量エージェント、クラウド管理、中小企業向けプラン |
| Microsoft Defender for Business | 約400円/台(M365 BP含む) | Microsoft 365 Business Premium に同梱 |
| Microsoft Intune | 約1,200円/人 | MDM+MAM、M365 BP に同梱 |
| Jamf Now | 約600円/台 | Mac/iOS特化のMDM、小規模向け |
| サイバーセキュリティお助け隊サービス | 1,000〜2,000円/台 | EDR+SOC監視セット、IT導入補助金対象 |
具体的な設定手順
EDRの導入
- EDRサービスを選定・契約(上記比較表を参考)
- 全PCにエージェントをインストール(GPOまたはIntune経由で配布)
- 検知ポリシーの設定(推奨:ベンダーのデフォルトポリシーで開始)
- アラート通知先を設定(IT担当者のメール/Slack/Teams)
- 1週間のテスト運用後、本番運用に移行
MDMの導入
- Microsoft IntuneまたはJamf Nowを設定
- デバイスコンプライアンスポリシーを策定
- パスコード/ビットロッカーの暗号化を必須 - 脱獄/ルート化デバイスのブロック
- 全従業員のデバイスを登録(BYOD含む場合はMAMポリシーで業務データのみ管理)
- 非準拠デバイスからの業務データアクセスを自動ブロック
Stage 2の導入効果
- マルウェア(ランサムウェア含む)の初期段階での検知・隔離
- デバイス紛失・盗難時のリモートワイプ(遠隔データ消去)
- 「OSが古い」「暗号化されていない」デバイスからのアクセスを自動ブロック
- BYOD端末の業務データのみを管理(個人データには触れない)
Stage 3:SASE/ZTNA(月額10,000円/人〜)
概要
Stage 1(アイデンティティ)、Stage 2(デバイス)に加え、ネットワークアクセスの制御 を実現する。VPNを廃止し、ZTNA(Zero Trust Network Access)で「必要なアプリケーションだけに、認証済みユーザーの検証済みデバイスからアクセスを許可」する。
利用するツール
| ツール | 月額(/人) | 特徴 |
|---|---|---|
| Cloudflare Access | 約1,000円〜 | ZTNAの中では安価。50ユーザーまで無料プランあり |
| Cloudflare One(SASE統合) | 約1,200円〜 | ZTNA+SWG+CASB統合 |
| Zscaler Private Access | 要見積もり | エンタープライズ向けZTNA |
| Cisco Secure Access | 要見積もり | Cisco Umbrella後継のSASE |
VPNからZTNAへの移行
| 項目 | VPN | ZTNA |
|---|---|---|
| アクセス範囲 | ネットワーク全体に接続 | 許可されたアプリだけに接続 |
| 認証 | 初回ログイン時のみ | アクセスのたびに検証 |
| 脆弱性リスク | VPN機器自体が攻撃対象 | 機器が存在しないためリスク低減 |
| ユーザー体験 | VPNクライアントの起動が必要 | ブラウザから直接アクセス可能 |
| スケーラビリティ | 同時接続数に制限あり | クラウド基盤で無制限 |
| 運用負荷 | ファームウェア更新が必須 | クラウド側で自動更新 |
具体的な導入ステップ(Cloudflare Accessの場合)
- Cloudflareアカウントを作成し、Cloudflare Oneダッシュボードにアクセス
- IdP(Google Workspace/Microsoft Entra ID)を連携設定
- 社内Webアプリケーションをアクセスポリシーに登録
- アクセスポリシーを設定(例:「営業部メンバー」が「CRMアプリ」に「MFA認証済み」の場合のみアクセス許可)
- VPNとZTNAの並行運用期間(2〜4週間)を設け、段階的にVPNを廃止
- ログの監視設定とアラートの構成
Stage 3の導入効果
- VPN機器の脆弱性リスクを根本的に排除
- アプリケーション単位でのアクセス制御(ネットワーク全体を開放しない)
- ユーザーの利便性向上(VPNクライアント不要、ブラウザでアクセス)
- アクセスログの一元管理と可視化
導入効果の測定方法
ゼロトラスト導入の効果は、以下のKPIで定量的に測定できる。
| KPI | 測定方法 | Stage 1導入後の目安 | Stage 2導入後の目安 |
|---|---|---|---|
| 不正ログイン試行数 | IdPのログで確認 | ブロック率99%以上 | 同左 |
| マルウェア検知件数 | EDRダッシュボード | ― | 月次で確認・報告 |
| パスワードリセット依頼数 | ヘルプデスク集計 | 30〜40%削減 | 同左 |
| セキュリティインシデント件数 | インシデント台帳 | 減少傾向 | 大幅削減 |
| VPN接続トラブル件数 | ヘルプデスク集計 | ― | Stage 3後にゼロへ |
| 退職者アカウント無効化のリードタイム | 運用記録 | 即日対応 | 即日対応 |
経営層への報告のポイント
- 「導入前vs導入後」で定量比較 する(例:「MFA導入前は月間12件の不審ログインがあったが、導入後はゼロ」)
- コスト対効果を「保険」の文脈で説明 する(例:「月額15万円の投資で、平均3,000万円のランサムウェア被害リスクを大幅低減」)
- 取引継続の条件として説明 する(例:「主要取引先A社がサプライチェーン評価で★2を要求。Stage 1〜2で対応可能」)
FAQ
Q1. ゼロトラストは本当に月額3,000円/人で始められますか?
始められる。 Google Workspace Business Starter(約900円/人)またはMicrosoft 365 Business Basic(約900円/人)のMFA+SSO機能を正しく設定するだけで、ゼロトラストのStage 1は実現できる。すでにこれらを利用している企業は追加コストゼロだ。月額3,000円/人は、条件付きアクセス等の高度な設定を含む上位プラン利用時の目安だ。
Q2. Stage 1だけでも効果はありますか?
十分な効果がある。 MFAだけでアカウント侵害の99.9%以上を防止できる。ランサムウェアの主要侵入経路であるVPN・RDPへのMFA適用は、最もコストパフォーマンスの高いセキュリティ対策だ。Stage 1を完了してから、必要に応じてStage 2に進めばよい。
Q3. 既存のVPN機器はすぐに廃止すべきですか?
すぐに廃止する必要はない。 Stage 3(ZTNA導入)まで進んだ段階で、VPNとZTNAの並行運用期間を設け、段階的に移行する。Stage 1〜2の段階ではVPN機器を引き続き利用しながら、MFAを追加してリスクを低減する。
Q4. 全社員がITに詳しくなくても導入できますか?
導入できる。 Stage 1のMFA設定は、スマートフォンに認証アプリ(Google Authenticator/Microsoft Authenticator)をインストールするだけだ。SSOにより「1回のログインで全サービスを利用」できるため、むしろ従業員の利便性は向上する。導入時に15〜30分の説明会を実施すれば十分だ。
Q5. IT導入補助金は使えますか?
使える。 IT導入補助金のセキュリティ対策推進枠(補助率1/2・上限100万円)で、EDR+SOCサービス(サイバーセキュリティお助け隊サービス)の導入費用を補助できる。Stage 2のEDR導入に活用することで、実質負担を半額に抑えられる。
まとめ
ゼロトラストは「高額で複雑な大企業の仕組み」ではなく、月額3,000円/人から段階的に導入できるセキュリティの設計思想だ。
| Stage | 対策 | 月額コスト(/人) | 主な効果 | 導入期間 |
|---|---|---|---|---|
| 1 | MFA+SSO | 3,000円〜(既存利用なら0円) | 不正ログインの99.9%防止 | 1〜2か月 |
| 2 | EDR+MDM | 5,000円〜 | マルウェア検知、デバイス管理 | 2〜3か月 |
| 3 | SASE/ZTNA | 10,000円〜 | VPN廃止、アプリ単位のアクセス制御 | 3〜6か月 |
関連記事:ゼロトラストセキュリティ導入ガイド|中小企業向け実践ロードマップ
関連記事:VPN代替ZTNAの比較ガイド
関連記事:SASE/SSE リモートワークセキュリティガイド
セキュリティ対策の見直し・強化をお考えですか?
GXOは中小企業のセキュリティ体制構築を支援しています。ゼロトラスト導入の第一歩――現状のセキュリティ体制を5つの観点(ID管理・エンドポイント・ネットワーク・クラウド・運用体制)で無料診断し、貴社の規模と予算に合った導入ロードマップをご提案します。
※ まずは現状把握から | オンライン完結OK | 導入事例はこちら