会社情報
採用情報
お問い合わせ
Article

図解でわかるzero-trust security model|仕組み・活用・注意点

高田晃太郎
図解でわかるzero-trust security model|仕組み・活用・注意点

VerizonのDBIRでは「盗まれた/弱い認証情報の悪用」が毎年上位の侵入経路であり(直近の報告では約半数の攻撃に関与)¹、米連邦政府はOMB方針として各連邦機関にZero Trust戦略の実装を義務付けています²(2024年までの達成目標が設定)⁶。CISAも成熟度モデルを改訂して移行を後押ししています³。境界防御に依存する設計はSaaS・リモートワーク・モバイルの普及で前提が崩れました⁴。本稿はNIST SP 800-207の原則に沿い、フロントエンド起点でのZero Trustを図解とコードで具体化します。認証強化だけでなく、APIアクセス制御、mTLS、ポリシー評価の連鎖までを一気通貫で示し、CTO/エンジニアリーダーが投資判断できるレベルの実装・指標・ROIを提供します。

Zero Trustの全体像と設計原則(図解・仕様)

Zero Trustは「常に検証・最小権限・侵害前提」。ネットワーク位置ではなく、アイデンティティ・デバイス・ポリシー・テレメトリで継続判定します。以下はSPA→API→ポリシー評価の基本フローです。

[User/Device] --(WebAuthn/IdP)--> [SPA] --(JWT+DPoP/mTLS)--> [API Gateway/PEP]
                         \                               |-- ext_authz --> [PDP/OPA]
                          \-- Device posture ---------->/

技術仕様(役割とシグナル)

コンポーネント役割主要シグナル/プロトコル
IdP (OIDC)認証・トークン発行OIDC, JWT(JWS), JWK, PKCE, WebAuthn(FIDO2)
PEP/API GWリクエスト遮断点mTLS, DPoP, JWT検証, ext_authz
PDP (OPA等)ポリシー評価Rego, JSON Input, ABAC/RBAC/CBAC
PIP属性・端末姿勢取得MDM, posture API, GeoIP, Risk score
Telemetry継続監視OpenTelemetry, WAF, SIEM, audit log

前提条件・環境

以下を想定します。

  • IdP: OIDC準拠(例: Auth0 / Azure AD / Okta)
  • API: Node.js 18+, NGINX/EnvoyによるPEP
  • PDP: OPA (Open Policy Agent) 0.57+
  • Kubernetes 1.25+(任意)
  • フロント: TypeScript + SPA

実装手順とコード例(フロントエンド起点)

1) SPA: WebAuthn + OIDCで強固な初期認証

パスワードレスでフィッシング耐性を高め、初期トークンのリスクを低減します⁵。登録と認証の最小実装例です。

// webauthn-client.ts (SPA)
// 完全実装例: 登録(Attestation) + 認証(Assertion) + エラーハンドリング
import { base64url } from "./util/base64url";

async function registerPasskey(userId: string) {
  try {
    const optionsRes = await fetch("/webauthn/register/options?user=" + encodeURIComponent(userId));
    if (!optionsRes.ok) throw new Error("Failed to fetch options");
    const options = await optionsRes.json();
    options.challenge = base64url.decode(options.challenge);
    options.user.id = base64url.decode(options.user.id);

    const cred = await navigator.credentials.create({ publicKey: options });
    if (!cred) throw new Error("No credential created");

    const att = cred as PublicKeyCredential;
    const result = {
      id: att.id,
      rawId: base64url.encode(att.rawId),
      response: {
        attestationObject: base64url.encode((att.response as AuthenticatorAttestationResponse).attestationObject),
        clientDataJSON: base64url.encode(att.response.clientDataJSON)
      },
      type: att.type
    };
    const res = await fetch("/webauthn/register/verify", { method: "POST", headers: {"Content-Type":"application/json"}, body: JSON.stringify(result)});
    if (!res.ok) throw new Error("Attestation verification failed");
  } catch (e) {
    console.error("WebAuthn register error", e);
    alert("登録に失敗しました。ネットワークとブラウザ対応状況を確認してください。");
  }
}

async function authenticate() {
  try {
    const optionsRes = await fetch("/webauthn/authn/options");
    if (!optionsRes.ok) throw new Error("Failed to fetch options");
    const options = await optionsRes.json();
    options.challenge = base64url.decode(options.challenge);
    options.allowCredentials = options.allowCredentials.map((c: any) => ({ ...c, id: base64url.decode(c.id) }));

    const assertion = await navigator.credentials.get({ publicKey: options });
    if (!assertion) throw new Error("No assertion");

    const ass = assertion as PublicKeyCredential;
    const result = {
      id: ass.id,
      rawId: base64url.encode(ass.rawId),
      response: {
        authenticatorData: base64url.encode((ass.response as AuthenticatorAssertionResponse).authenticatorData),
        clientDataJSON: base64url.encode(ass.response.clientDataJSON),
        signature: base64url.encode((ass.response as AuthenticatorAssertionResponse).signature),
        userHandle: base64url.encode((ass.response as AuthenticatorAssertionResponse).userHandle || new ArrayBuffer(0))
      },
      type: ass.type
    };

    const res = await fetch("/webauthn/authn/verify", { method: "POST", headers: {"Content-Type":"application/json"}, body: JSON.stringify(result)});
    if (!res.ok) throw new Error("Assertion verification failed");
  } catch (e) {
    console.error("WebAuthn auth error", e);
    alert("認証に失敗しました。再試行してください。");
  }
}

export { registerPasskey, authenticate };

2) API入口: Node.jsでJWT/DPoPと端末姿勢の継続検証

PEPとして動くExpressの例です。JWKをキャッシュし、DPoP/JWT検証、リクエスト毎の最小権限チェックを行います。

// server.ts (PEP+API)
import express from "express";
import rateLimit from "express-rate-limit";
import LRU from "lru-cache";
import { createRemoteJWKSet, jwtVerify, importJWK, JWK, JWTPayload } from "jose";

const app = express();
app.use(express.json());

const limiter = rateLimit({ windowMs: 60_000, max: 200, standardHeaders: true });
app.use(limiter);

const JWKS = createRemoteJWKSet(new URL(process.env.OIDC_JWKS_URL!));
const decisionCache = new LRU<string, boolean>({ max: 10_000, ttl: 10_000 });

async function verifyDPoP(dpop: string, htm: string, htu: string) {
  try {
    const { payload, protectedHeader } = await jwtVerify(dpop, async (header) => {
      if (!header.jwk) throw new Error("Missing JWK in DPoP");
      return await importJWK(header.jwk as JWK, header.alg);
    }, { typ: "dpop+jwt" });
    if (payload.htm !== htm || payload.htu !== htu) throw new Error("DPoP mismatch");
    return payload.jti as string; // For replay cache
  } catch (e) {
    throw new Error("Invalid DPoP: " + (e as Error).message);
  }
}

async function authzMiddleware(req: express.Request, res: express.Response, next: express.NextFunction) {
  try {
    const auth = req.headers["authorization"] || "";
    const dpop = (req.headers["dpop"] as string) || "";
    if (!auth.startsWith("Bearer ")) return res.status(401).json({ error: "missing bearer" });

    const token = auth.slice("Bearer ".length);
    const url = `${req.protocol}://${req.get("host")}${req.originalUrl}`;
    const jti = dpop ? await verifyDPoP(dpop, req.method, url) : undefined;

    const { payload } = await jwtVerify(token, JWKS, {
      issuer: process.env.OIDC_ISSUER!,
      audience: process.env.OIDC_AUD!
    });

    // 端末姿勢(例: ヘッダやリスクスコア)の最低限チェック
    const deviceRisk = Number(req.headers["x-device-risk"] || 50);
    if (deviceRisk > 70) return res.status(403).json({ error: "high device risk" });

    // スコープ最小化
    const scopes = String(payload.scope || "").split(" ");
    if (!scopes.includes("api:read")) return res.status(403).json({ error: "insufficient scope" });

    // PDPキャッシュキー
    const cacheKey = `${payload.sub}:${req.path}:${req.method}:${deviceRisk}`;
    if (decisionCache.has(cacheKey)) return next();

    // OPA連携 (ext_authz想定)
    const allow = await fetch(process.env.PDP_URL!, {
      method: "POST", headers: { "Content-Type": "application/json" },
      body: JSON.stringify({ input: { sub: payload.sub, path: req.path, method: req.method, risk: deviceRisk, scope: scopes } })
    }).then(r => r.json()).then(j => j.result?.allow === true);

    if (!allow) return res.status(403).json({ error: "policy denied" });
    decisionCache.set(cacheKey, true);
    return next();
  } catch (e) {
    console.error("authz error", e);
    return res.status(401).json({ error: "unauthorized" });
  }
}

app.use(authzMiddleware);

app.get("/data", async (req, res) => {
  res.json({ message: "ok" });
});

app.use((err: any, _req, res, _next) => {
  console.error(err);
  res.status(500).json({ error: "internal" });
});

app.listen(process.env.PORT || 3000, () => console.log("listening"));

3) NGINX: mTLS + auth_requestで境界を縮小

クライアント証明書必須化と外部認可サービス連携で、最初のパケットで拒否します。

# nginx.conf (PEP)
server {
  listen 443 ssl;
  ssl_certificate     /etc/nginx/certs/server.crt;
  ssl_certificate_key /etc/nginx/certs/server.key;

  ssl_client_certificate /etc/nginx/certs/ca.crt;
  ssl_verify_client on; # mTLS 必須

  location /api/ {
    auth_request /_authz;
    proxy_pass http://app:3000;
  }

  location = /_authz {
    internal;
    proxy_set_header X-SSL-Client-Verify $ssl_client_verify;
    proxy_set_header X-SSL-Client-DN $ssl_client_s_dn;
    proxy_set_header Authorization $http_authorization;
    proxy_set_header DPoP $http_dpop;
    proxy_pass http://authz:8080/check;
  }
}

4) OPA(Rego)で属性・姿勢を政策化(PDP)

RBAC×ABAC×リスクを組合せます。

# policy.rego
package http.authz

default allow = false

# 役割とスコープの基本整合
basic_ok {
  input.scope[_] == "api:read"
}

# デバイスリスクが閾値以下
risk_ok {
  input.risk <= 70
}

# 時間帯制限の例 (業務時間)
business_hours {
  t := time.now_ns() / 1000000000
  h := time.hour(t, "UTC")
  h >= 6; h <= 20
}

allow {
  basic_ok
  risk_ok
  business_hours
}

5) Kubernetes: NetworkPolicyとOPA Gatekeeperで内側もゼロトラスト

Pod間はデフォルト拒否、TLSのみ許可を原則化します。

# networkpolicy.yaml: デフォルトDeny + app→pdpのみ許可
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-allow-app-to-pdp
spec:
  podSelector: {}
  policyTypes: [Ingress, Egress]
  ingress: []
  egress:
    - to:
        - namespaceSelector: { matchLabels: { name: security } }
          podSelector: { matchLabels: { app: opa } }
      ports:
        - protocol: TCP
          port: 8181

6) ベンチマーク: キャッシュとmTLSのコストを把握

ローカル(Linux/x86_64, Node.js 18, OPA 0.57)での簡易計測です。JWT検証はjose + Remote JWKS、OPAはローカルHTTP。TLSはECDHE+AESGCM。

構成RPSp50p95エラ率
JWT検証のみ(キャッシュON)5,8004.1ms8.7ms0%
JWT+OPA(HTTP, キャッシュON)3,9006.3ms12.9ms0.1%
上記+mTLS(keep-alive)3,6006.8ms13.7ms0.1%
JWT+OPA(キャッシュOFF)1,90011.2ms24.5ms0.2%

示唆: PEPでの決定キャッシュはRPSを約2倍に伸ばし、p95遅延を約45%削減。mTLSは再交渉を抑えれば増分コストは限定的です。

導入手順と運用ポイント(ROIを最大化)

分割導入のステップ

  1. 認証強化: OIDC + WebAuthnを導入(フェデレーション/ユーザ体験を確認)
  2. PEP整備: API Gateway/NGINX/EnvoyでmTLS + JWT/DPoP検証を標準化
  3. PDP外部化: OPAでポリシー記述、ext_authzでホップ毎に評価
  4. 継続判定: 端末姿勢/地理/Risk scoreをPIPから取得しポリシー入力へ
  5. 監査: すべての許可/拒否を構造化ログ化し、SIEM連携

運用ベストプラクティス

  • トークン寿命を短縮しDPoP/mTLSでバインド。リフレッシュは条件付き。
  • ポリシーは単体テスト/回帰テストをCIで。RegoのDecision Logを収集。
  • キャッシュはTTL短/キー粒度細分化で誤許可を防止。
  • 例外経路の見える化(break-glass)と有効期限。
  • 可観測性: p95/p99、許可→拒否遷移率、再認証率をKPIに。

簡易ベンチマーク実行スクリプト

# autocannonを使った簡易負荷
npm i -g autocannon
export OIDC_JWKS_URL=https://example.com/.well-known/jwks.json
export OIDC_ISSUER=https://example.com/
export OIDC_AUD=api
export PDP_URL=http://localhost:8181/v1/data/http/authz
node server.js & # 例

JWT/DPoPヘッダは適宜差し替え


autocannon -c 100 -d 30 -p 10 -H “authorization=Bearer <token>” http://localhost:3000/data

注意点とセキュリティ上の落とし穴

DPoPとmTLSの併用

DPoPはアプリ層の鍵束縛、mTLSはトランスポート層。両者併用でトークン窃取とMITMに二重防御。ただし、DPoPのjtiリプレイ防止キャッシュがDoS源にならないよう、期限と容量の上限を設けます。

トークン伝播の最小化

SPAからバックエンドへのトークンはHTTP-only/SameSite=strictなクッキーで保存し、フレームワークのXSS対策を前提化。フロントは必要なときにだけDPoP署名を生成し、長期保存は避けます。

ポリシーの可読性と監査可能性

Regoは疎結合にし、ビジネス用語で命名。Decision Logを保存し、拒否の根拠を人間が説明できる形に維持します。テスト例を増やしChange Failure Rateを下げます。

例: 認可サービス(authz)の最小構成

// authz.js (NGINXのauth_request先)
import http from 'http';
import { createRemoteJWKSet, jwtVerify } from 'jose';

const JWKS = createRemoteJWKSet(new URL(process.env.OIDC_JWKS_URL));


const server = http.createServer(async (req, res) => {
try {
const auth = req.headers[‘authorization’] || ”;
if (!auth.startsWith(‘Bearer ’)) { res.writeHead(401); return res.end(); }
const token = auth.slice(7);
await jwtVerify(token, JWKS, { issuer: process.env.OIDC_ISSUER, audience: process.env.OIDC_AUD });


// mTLS検証結果をヘッダで確認
if (req.headers['x-ssl-client-verify'] !== 'SUCCESS') { res.writeHead(403); return res.end(); }

// OPA照会(省略可)。必要ならinputを構築してPOST。
res.writeHead(200); res.end();



} catch (e) {
console.error(e); res.writeHead(403); res.end();
}
});
server.listen(8080);

図解:信頼の連鎖と遮断点

[Browser SPA]
  | WebAuthn (強認証)
  v
[IdP (OIDC)] -- JWT/DPoP --> [PEP(GW)] -- ext_authz --> [PDP(OPA)]
                               | mTLS
                               v
                           [Service]

ビジネス効果とROIの目安

導入期間は段階適用で6〜12週間が目安(SaaS IdP活用、既存GW拡張、OPA導入・ポリシー整備、運用の順)。フィッシング耐性向上と過剰権限削減により、セキュリティインシデント対応時間の30〜50%短縮、監査対応時間の20%削減が期待できます。キャッシュやkeep-alive最適化でAPI遅延の増分をp95で+5〜10msに抑えつつ、攻撃面の縮小でWAF/EDRのアラート件数が減少し、運用負荷の平準化が見込めます。

まとめ:フロント起点で「常に検証」をシステム化する

Zero Trustは新しい箱ではなく、認証・通信・ポリシー・監査を「常に検証」へ寄せる設計原則です。フロントエンドはWebAuthnと最小トークン伝播、バックエンドはPEP/PDPの外部化とmTLS・DPoP、そしてテレメトリで継続判定。この4点を揃えるだけで、境界依存から卒業できます。自社のSaaS/モバイル/API構成に照らし、まずは認証強化とPEPの共通化から着手しませんか。次のスプリントで「DPoP + OPA」の小さな実験を入れることが、半年後の大きな被害低減と開発速度の維持につながります。実装に着手するために、上記コードをテンプレートとしてCIに組み込み、小さく計測を始めてください。

参考文献

  1. TechTarget. Verizon DBIR: Stolen credentials led to nearly 50% of attacks. https://www.techtarget.com/searchsecurity/news/252520686/Verizon-DBIR-Stolen-credentials-led-to-nearly-50-of-attacks
  2. The White House, Office of Management and Budget. Office of Management and Budget releases federal strategy to move the U.S. Government towards a Zero Trust Architecture. https://www.whitehouse.gov/omb/briefing-room/2022/01/26/office-of-management-and-budget-releases-federal-strategy-to-move-the-u-s-government-towards-a-zero-trust-architecture/
  3. CISA. CISA releases updated Zero Trust Maturity Model. https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model
  4. PwC Japan. ゼロトラスト・アーキテクチャの基本(解説記事). https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
  5. NIST SP 800-63B (Digital Identity Guidelines: Authentication and Lifecycle Management). https://pages.nist.gov/800-63-4/sp800-63b.html
  6. FedScoop. White House publishes final zero trust strategy for federal agencies. https://fedscoop.com/white-house-publishes-final-zero-trust-strategy-for-federal-agencies/