社内ネットワークセキュリティの徹底解説 — ゼロトラスト／SASE時代の設計・実装・運用ポイント —

本記事は、社内ネットワークセキュリティを「基本概念→実装パターン→可視化と運用→設計時にハマりやすいポイント→導入ロードマップ」の順で整理し、現実的に段階導入するための実務ガイドです。
多拠点・リモート・SaaS利用が前提の環境で、性能（体感）と統制（セキュリティ）を両立する考え方をまとめます。

社内ネットワークのセキュリティは「強化したいのに、体感が落ちる」問題に直面しがちです。
SaaS（Microsoft 365等）とリモートワークが当たり前になった今、従来の境界防御で通信を本社集約すると、遅延・混雑・障害時の影響が大きくなり、運用の例外対応も増えやすくなります。

さらに、攻撃面は端末・ID・クラウド設定まで広がり、「境界を固めるだけ」では追いつきません。本記事では、ゼロトラスト／SASEの考え方を起点に、LBO×SWG、DNSフィルタ、ZTNA、ログ統合と運用までを「段階導入できる形」で整理します。

1. 基本概念：境界防御からゼロトラストへ

1-1 境界型の限界とリモート／SaaS時代の課題

従来の境界防御（社内＝安全／社外＝危険、出口にFW・プロキシで集約）は、働き方とIT利用形態の変化により限界が顕在化しています。

• テレワーク・外出先・サテライト・BYODで「社内」の境界が曖昧
• Microsoft 365などSaaSが通信の中心になり、インターネット前提に
• 全通信の本社集約は遅延・輻輳・障害の影響範囲が大きい
• 攻撃面が端末・ID・クラウド設定・サプライチェーンまで拡大

1-2 ゼロトラストの骨子（ID／端末／アプリ／ネットワークの統合）

ゼロトラストの要点は「常に検証し、最小権限で許可する」ことです。ID・端末・アプリ・ネットワーク・可視化を整合させます。

• 誰が（ID）：多要素認証、条件付きアクセス、リスクベース認証
• どの端末で（デバイス）：準拠状態（パッチ、暗号化、EDR稼働）
• 何に（アプリ／データ）：アプリ単位の最小権限、データ分類、DLP
• どの経路で（ネットワーク）：LBO、SWG、ZTNA、セグメンテーション
• 何が起きているか（可視化）：ログ統合、相関、アラート、対応自動化

図A：境界防御→ゼロトラスト（概念図）

1-3 SASEの要素（SWG・CASB・ZTNA・FWaaS・DNSフィルタ）

SASEはネットワークとセキュリティをクラウド側で統合して提供する考え方です。要素を役割で捉えると設計が整理しやすくなります。

• SWG：Webアクセス制御、URL/カテゴリ制御、マルウェアブロック（必要に応じてTLS復号）
• CASB：SaaS利用の可視化（Shadow IT）、DLP、設定不備の検知
• ZTNA：VPN代替。アプリ単位でIDと端末状態に基づきアクセス許可
• FWaaS：クラウド側のファイアウォールで出口を標準化
• DNSフィルタ：悪性ドメイン遮断・フィッシング対策など入口対策

図B：SASEの要素（役割で理解する）

2. 社内ネットワークにおける実装パターン

2-1 ブランチのLBO×近傍SWG（クラウドプロキシ）

SaaS時代の基本は、拠点からSaaSへ直近の経路で出す（LBO）こと。直出し＝無防備ではなく、近傍のSWGへ寄せて統制をかけるのが定石です。

• 拠点→（LBO）→SWG（近傍PoP）→インターネット/SaaS
• 社内システムは本社/DC経由またはZTNAでアプリ単位接続
• M365/会議系は検査過多で品質劣化しやすく、カテゴリ分けと例外設計が重要

図C：ブランチLBO×近傍SWG（実装パターン）

2-2 DNSフィルタ／DoH/DoT運用と例外管理

DNSは攻撃の入口になりやすく、対策の費用対効果が高い領域です。DNSフィルタは「止めない運用（例外管理）」とセットで設計します。

• DNSフィルタで悪性ドメイン・フィッシング・C2通信の入口を遮断
• DoH/DoT（暗号化DNS）は統制を迂回することがあるため方針を明確化
• 例外は申請・期限・理由をセットで管理し、棚卸しで増殖を抑制

2-3 ZTNAによるアプリ別「最小権限化」

VPNは「ネットワークに入れる」ため横展開リスクが残りがちです。ZTNAは「アプリにだけ入れる」ことで、最小権限化と運用の整理に効果があります。

• アプリ単位でアクセス許可（人・端末・場所・時間・リスク）
• 必要な業務アプリだけを公開し、不要な内部到達性を持たせない
• アプリ追加・権限変更が「ネットワーク設定」から「アプリポリシー」に寄る

3. 可視化と運用：ログ基盤・相関分析・インシデント対応

3-1 ネットワーク×ID×端末のログ統合と相関

ゼロトラストの成否は運用に依存します。最低限、ネットワーク・ID・端末のログを同じ土俵で相関できる状態を作ると、原因特定と封じ込めが速くなります。

• ネットワーク：FW/SWG/DNS/プロキシ/ルータ/回線（通信先、遮断理由、帯域）
• ID：認証ログ（成功/失敗、MFA、条件付きアクセス、リスク評価）
• 端末：EDR検知、脆弱性、準拠状態、プロセス・通信の挙動
• アプリ：SaaS監査ログ（ファイル共有、管理者操作、API連携）

図D：ネットワーク×ID×端末のログ統合（相関分析）

3-2 脅威インテリジェンスの活用／自動封じ込め（SOAR連携）

運用を回すほど手作業は限界がきます。まずは「通知＋自動チケット化」から始め、誤検知傾向を掴んでから封じ込め自動化へ進めるのが安全です。

3-3 運用体制とSLA（内製／MSS／SOC連携）

運用の現実解は会社ごとに異なります。内製・MSS・SOC連携のいずれでも、責任分界とSLAを明確化することが重要です。

4. 設計時にハマりやすいポイント

4-1 PACファイル／プロキシとLBOの整合（DIRECT例外）

LBOを入れたのに「PACファイルやプロキシ強制で結局本社経由に戻る」— は典型的な失敗です。DIRECT例外設計とFW/SWG側の許可をセットで持ちます。

4-2 宛先の自動追従（M365/Zoom等）とポリシー更新

SaaSの宛先（FQDN/IP）は変化します。固定リスト運用は破綻しやすいため、API/自動更新で追従する仕組みを前提に設計します。

4-3 MTU/MSS/PMTUDとセキュリティ装置の相互作用

「遅い／途切れる」の原因がMTU/MSSやPMTUD不全（ICMP遮断など）のことがあります。PPPoEやトンネル、TLS復号が絡む場合はPoCで代表フローを通して検証します。

5. 導入ロードマップ（現実解）

5-1 現状把握→優先リスクの特定→段階的導入

最初にやるべきは製品選定ではなく優先順位付けです。現状把握→重要資産→優先リスク→段階導入の順で進めると、効果と合意形成が得やすくなります。

5-2 PoCで「体感」を測る（会議品質・SaaS遅延）

セキュリティは強くしても業務体感を落とすと現場が回りません。PoCでは会議品質（遅延/ジッタ/途切れ）やSaaS遅延を数値化します。

5-3 運用の磨き込み（監視・アラート・運用手順）

導入後は監視しきい値・一次対応Runbook・例外管理（期限/棚卸し）・変更管理を整備し、ログ相関と改善サイクルでポリシーを磨き込みます。

図E：導入ロードマップ（段階導入）

6. お問い合わせ：インターネットVPN「AtinaVPN」（BroadLine）