ゼロトラスト時代になぜ閉域網が見直されるのか?情シス担当者が知るべき3つの理由

投稿日
更新日
Index

クラウドサービスの利用やリモートワークの定着、サプライチェーン経由の攻撃増加など、企業ネットワークを取り巻くセキュリティ環境は急速に変化しています。警察庁の令和7年レポートではVPN機器経由がランサムウェア感染経路の最多を占め、IPA「情報セキュリティ10大脅威 2026」でも、サプライチェーン攻撃やリモートワークを狙った攻撃が上位に並んでいます。
こうしたなかで議論の中心となるのが、「ゼロトラスト」と「閉域網」という2つのアプローチです。「ゼロトラストがあれば閉域網は不要」と整理されるケースもありますが、現場では閉域網(IP-VPNや専用線)を「ゼロトラストの代替」ではなく、「ゼロトラストと組み合わせる土台」として捉え直す議論も見られます。

本記事では、情シス担当者が経営層や現場と議論する手がかりとして、ゼロトラスト時代に閉域網が見直される3つの理由と、閉域網を活かす3つの実践パターンを整理します。

NTTPCのAIエージェントが、ネットワーク運用の未来を変える。セキュリティもおまかせ!

NTTPCのAIエージェントが、ネットワーク運用の未来を変える。セキュリティもおまかせ!

ダッシュボードからトラフィックやセキュリティの見える化でき、トラブル原因を特定して迅速な復旧対応を実現。AIで運用業務を自動化し、攻めのDX推進にシフトできる企業向けネットワーク(VPN)&セキュリティサービス

ゼロトラストと閉域網、いま改めて整理しておきたい両者の関係

クラウドサービスの利用やリモートワークの拡大、委託先との接続増加に伴って、社内外の通信経路をどう守るかを改めて見直す企業が増えています。そうしたネットワーク・セキュリティ基盤の検討で必ず議論になるのが、ゼロトラストと閉域網という2つのアプローチです。両者は保護する対象も実装の仕組みも異なるため、それぞれの前提を押さえることが、自社環境に合った構成を選ぶ第一歩になります。

まずそれぞれの概念を整理しましょう。次の表にそれぞれの特徴を整理しました。

観点 ゼロトラスト 閉域網
対象とするレイヤー アクセス制御 通信経路
守る対象 誰が・どの端末で・何にアクセスするか どこからどこへ・何が通信されるか
基本のアプローチ ネットワーク上の位置を信頼の根拠とせず、ユーザー・端末・リソースごとに継続的に検証する インターネットから物理的・論理的に通信路を分離する
代表的な実装 ZTNA、SASE IP-VPN(MPLS網などのキャリア閉域網)、専用線
標準・出典 NIST「SP 800-207 Zero Trust Architecture」で体系化 通信事業者が提供するキャリアサービスとして実装

このように、ゼロトラスト(Zero Trust)は、ネットワーク上の位置(社内環境か、社外のインターネット環境か)を信頼の根拠とせず、ユーザー・端末・リソースごとに継続的に検証するセキュリティ対策の考え方です。ZTNA(Zero Trust Network Access)やSASE(Secure Access Service Edge)といったテクノロジーは、このゼロトラストをアクセス制御・セキュリティゲートウェイのレベルで実装したものといえます。

一方、閉域網は、インターネットから物理的・論理的に切り離された通信ネットワークを指します。代表的な実装は、通信事業者が提供するIP-VPN(MPLS網などを利用したキャリア閉域網)や、企業間の専用線です。インターネットVPNがインターネットを経由するのに対し、IP-VPNはインターネットを経由しないため、外部からの偵察や攻撃の対象になりにくいという特性があります。

このように、ゼロトラストと閉域網は役割が異なるため、単純に置き換えられるものではありません。そのため近年は、インターネットに外部公開されている機器を狙った攻撃の増加を背景に、閉域網とゼロトラストを組み合わせて利用する構成が改めて注目されています。

図:閉域網による経路制御と、ゼロトラストによるアクセス制御を組み合わせた構成例

図:閉域網による経路制御と、ゼロトラストによるアクセス制御を組み合わせた構成例
  左側の「閉域ネットワーク」が通信経路の分離、下部の「ユーザー・端末を都度確認」
  につながる経路がゼロトラストによる認証・アクセス制御を表す

ZTNAやSASE、SD-WANを含む統合ネットワークの基本概念や主要テクノロジーは、別記事で整理しています。
▶︎ 統合ネットワークの導入メリットと構築のポイント|クラウド時代のインフラ最適化を考える

ゼロトラスト時代に閉域網が見直される3つの理由

こうした再評価の背景にあるのは、現場の運用や最新の脅威動向を踏まえた、3つの実務的な理由です。

理由① サイバー攻撃の高度化

ひとつ目の理由は、サイバー攻撃の高度化が進んだことで、「インターネットVPNを導入していれば社外から安全に社内ネットワークへ接続できる」という従来の前提が成立しにくくなっていることです。警察庁が公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年3月公表)の統計編p.124「ランサムウェア感染経路」では、令和7年の有効回答92件のうち、VPN機器からの侵入が61件、リモートデスクトップからの侵入が19件と示されています。両者を合わせると80件で、全体の約87%を占めます。

引用:警察庁「令和7年における サイバー空間をめぐる脅威の情勢等について」

引用:警察庁「令和7年における サイバー空間をめぐる脅威の情勢等について

また、IPA「情報セキュリティ10大脅威 2026」(組織編)でも「リモートワーク等の環境や仕組みを狙った攻撃」が6年連続で選出されており、SSL-VPN装置やリモートアクセス機器のようなインターネットに外部公開しているインターネットVPNなどのリモートアクセス基盤が侵入経路の中心になっています。


攻撃側で起きている主な変化は次の3点に整理できます。

  • ランサムウェア攻撃の組織化・継続化
    警察庁の同レポートでは、ランサムウェアの開発・運営グループが、攻撃の実行者にランサムウェアやリークサイトなどの攻撃基盤を提供するRaaS※1が確認されていると説明されています。こうした分業型の仕組みにより、高度な技術的専門知識を持たない実行者でも攻撃に加わりやすくなっています
  • 脆弱性悪用の高速化
    特定ベンダーのVPN製品で重大な脆弱性が公表された直後に、未パッチの装置が広範に侵害される事例が繰り返されています。装置を設置するだけでなく、脆弱性公表後の対応スピードが侵害可否を左右する局面が増えています
  • 認証情報を狙った侵入の常態化
    警察庁は侵入の原因として、ID・パスワードが安易であったこと、運用上不要なアカウントが残っていたこと、脆弱性へのパッチ適用が遅れていたことなどを挙げています。インターネット側に認証ゲートウェイを公開する構成自体が、攻撃者にとって優先度の高い標的になっています

このように、攻撃側の高度化に追従しながらインターネットVPN中心の構成を維持し続けることは、運用負荷とリスクの両面で年々難しくなっています。ゼロトラスト導入の有無にかかわらず、外部に公開する経路そのものを最小化する発想が求められており、閉域網は「攻撃面を抑えやすくする」という観点で再評価されています。

ランサムウェア被害を起点に、ゼロトラストと多層防御をどう設計するかについては、別記事で整理していますのでご参照ください。
▶︎ ランサムウェア攻撃の被害から学ぶ多層防御のススメ~ゼロトラストセキュリティ対策の始め方~

※1 RaaS(Ransomware as a Service):ランサムウェアの開発・運営者が、攻撃の実行者にランサムウェアや攻撃基盤を提供し、得られた身代金の一部を受け取る形態。

理由② ゼロトラストと閉域網の違いと両立

ふたつ目の理由は、ゼロトラストと閉域網が対立する考え方ではないためです。ゼロトラストとは、社内外を区別せずにセキュリティ対策を講じるセキュリティ対策の考え方です。米国国立標準技術研究所(NIST)が公表したゼロトラストアーキテクチャの基本文書「SP 800-207 Zero Trust Architecture」では、「ネットワーク上の位置情報のみをもって信頼を与えない」という考え方が、ゼロトラストの基本原則の1つとして示されています。つまり、「社内ネットワークにいるから安全」とはみなさず、アクセスごとにユーザーや端末の状態を継続的に検証する考え方です。また、同文書では、ネットワークを細かく分離して通信範囲を制限する「マイクロセグメンテーション」も、ゼロトラストを実現する要素の1つとして挙げられています。つまり、ゼロトラストは「ネットワーク分離を不要にする考え方」ではありません。アクセス時の認証・検証を重視しながら、必要に応じて通信経路自体も分離・制限する構成が想定されています。

このように、ゼロトラストと閉域網は役割が異なります。そのため、「ゼロトラストか閉域網か」という二者択一ではなく、異なるリスクを補完する仕組みとして組み合わせて利用する考え方が実務上は重要になります。

理由③ サプライチェーン攻撃の急増

3つ目の理由は、自社のセキュリティ対策だけでは防ぎきれない、取引先・委託先を経由した間接的な侵入が増えていることです。IPA「情報セキュリティ10大脅威 2026」(組織編)では「サプライチェーンや委託先を狙った攻撃」が2位にランクインし、8年連続で10大脅威に選出されています。

出典:IPA「情報セキュリティ10大脅威 2026」

出典:IPA「情報セキュリティ10大脅威 2026」

サプライチェーン攻撃の特徴は、標的企業を直接攻撃するのではなく、多くのIT投資予算を割くことが出来ず、相対的にセキュリティが手薄な取引先・委託先を踏み台にして侵入する点にあります。標的企業からは「信頼しているはずの相手からの通信」に紛れて攻撃者に侵入されるため、自社内に備えたID基盤やEDRだけでは対策が遅れてしまうことが発生します。つまりセキュリティ対策の対象は、自社のリモートアクセス基盤だけでなく、取引先・委託先との接続経路にまで広げる必要があります。

こうしたサプライチェーン上の「他社とのつなぎ目」を管理する観点で、閉域網が改めて評価されています。インターネット経由のVPNではなく、契約・物理単位で接続点が確定する閉域経路に寄せることで、取引先のセキュリティ対策基準や運用品質に左右されにくい接続構成を作りやすくなるためです。

サプライチェーン攻撃の仕組みや、経済産業省・内閣官房が整備を進めるセキュリティ対策評価制度については、次の記事で詳しく解説しています。
▶︎ サプライチェーン攻撃、自社だけの対策では防げない?経産省のセキュリティ対策評価制度と企業が取るべきセキュリティ対策

ゼロトラスト時代に閉域網を活かす3つの実践パターン

ここまで、3つの理由から閉域網が見直されている背景を整理しました。では実際に、自社の環境にどう組み込めばよいのか。代表的な3つの実践パターンを紹介します。

パターン1:基幹システム・OTは「閉域+ZTNA」の二段防御

ERP(基幹業務システム)、生産管理、工場の制御系(OT:Operational Technology)など、停止や改ざんが事業継続に直結するシステムでは、閉域網による経路分離と、ZTNAによるアクセス制御を組み合わせる構成が現実的です。具体的には、本社・拠点・データセンター間をIP-VPNや専用線で接続し、その閉域空間内にZTNAゲートウェイを配置します。リモートアクセスについても、まず閉域ネットワーク側へ接続させたうえで、ZTNAによって「誰が・どの端末で・どのシステムへ」アクセスできるかを最小権限で制御します。

この構成では、VPNゲートウェイのような外部公開機器をインターネット側へ直接設置しないため、外部からの探索や脆弱性悪用の対象になりにくいという特徴があります。また、ZTNAによってアクセス範囲を細かく制御できるため、万一内部で侵害が発生した場合でも、ラテラルムーブメントのようなネットワークを横移動して被害を拡大させるリスクを抑えやすくなります。

パターン2:SASEと閉域接続の使い分け

Microsoft 365やSalesforceなど、クラウドサービス利用が業務の中心となっている領域では、すべての通信を閉域に閉じ込めるのは現実的ではありません。この場合は、業務特性に応じてSASEと閉域接続を使い分ける構成が現実的な選択肢の1つになります。

具体的には、一般的なSaaSへのアクセスはセキュアWebゲートウェイのようなSASEゲートウェイ経由(必要に応じて拠点からのローカルブレイクアウトを併用)でゼロトラスト型に保護し、基幹システム連携やデータセンター内サービスへの通信は閉域網経由とする、というハイブリッドな経路設計です。これにより、SASEによるゼロトラスト的な検証と、閉域網による経路保護を、用途ごとに切り分けて適用できます。

パターン3:委託先・取引先接続は「閉域+ID境界」

サプライチェーン攻撃対策の観点では、委託先や取引先との接続経路を、インターネットVPNではなくIP-VPNなどの閉域経路で構成するパターンも採用されます。さらに、閉域経路上でも「誰が・どのシステムに」アクセスできるかをID単位で制御することで、接続先のセキュリティ運用に依存しすぎない構成を取りやすくなります。

3つのパターンに共通するのは、閉域網は「すべての通信を閉域に閉じ込めるもの」ではなく、「守るべき経路だけを選択的に閉域化し、それ以外はゼロトラストで保護する」というハイブリッド構成のなかで活用するという考え方です。

なお、閉域網を導入する際に検討しておきたい具体的なポイント(回線種別の選び方、運用設計、コスト比較など)は、次の記事に整理していますのでご参照ください。
▶︎ 社内ネットワークをもっと安全に!閉域網導入で押さえるべき4つのポイント

NTTPCの閉域網・統合ネットワークサービス「Prime ConnectONE®」

ここまで述べてきた「閉域+ゼロトラスト」のハイブリッド構成を、単一のサービスとしてまとめて提供しているのが、NTTPCの統合ネットワークサービス「Prime ConnectONE®」です。
Prime ConnectONE®は、IP-VPNによる閉域網を基盤としつつ、ウェブセキュリティやクライアントセキュリティといったセキュリティ機能、AIOps(AIを活用したIT運用)による運用支援を組み合わせた、企業向けのネットワーク&セキュリティサービスです。

NTTPCの閉域網・統合ネットワークサービス「Prime ConnectONE®」

主な特長は次の通りです。

  • IP-VPNを土台とした閉域ネットワーク
    拠点間・データセンター間・クラウド接続を、インターネットを介さない閉域経路で構成できます。サプライチェーン攻撃や外部からの攻撃面を抑えやすい基盤として機能します
  • ウェブセキュリティ・クライアントセキュリティの提供
    拠点からのクラウド向け通信や、リモートアクセスについて、ウェブセキュリティやクライアントセキュリティといった機能を組み合わせて利用できます。閉域網を土台に、クラウド利用やリモートワークの安全性を高める構成を整えやすくなります
  • AIOpsによる運用効率化
    AIエージェントが障害発生時の原因特定や、マルウェア感染端末の自動隔離をサポートします。閉域網の運用負荷を軽減し、情シス担当者がより戦略的な業務に注力できる環境を整えます

以下より、お問い合わせ可能ですので検討中の担当者の方はお気軽にご相談ください。
▶︎ Prime ConnectONE®の製品詳細はこちら
▶︎ Prime ConnectONE®に関するお問い合わせ

まとめ:閉域網を否定せず、ゼロトラストとレイヤー別に組み合わせる

本記事では、ゼロトラスト時代において、なぜ閉域網が改めて見直されているのかを整理しました。重要なのは、「閉域網かゼロトラストか」という二者択一で考えないことです。閉域網は、通信経路そのものを制御することで、インターネット公開機器を起点とした攻撃リスクを抑える役割を持ちます。一方、ゼロトラストは、ユーザーや端末を継続的に検証し、アクセス権限を最小化する考え方です。両者は役割が異なるため、相互に置き換えるものではなく、組み合わせて利用することで効果を発揮します。基幹システム、OT、委託先接続、クラウド利用、リモートワークなど、領域ごとに適した方式を選択することが重要です。

NTTPCの「Prime ConnectONE®」は、IP-VPN閉域網を土台に、ウェブセキュリティ・クライアントセキュリティといったセキュリティ機能とAIOpsによる運用支援を組み合わせた、企業向けの統合ネットワークサービスです。
閉域網とゼロトラストの両立を含めたネットワーク刷新をご検討の際は、お気軽にお問い合わせください。

NTTPCのAIエージェントが、ネットワーク運用の未来を変える。セキュリティもおまかせ!

NTTPCのAIエージェントが、ネットワーク運用の未来を変える。セキュリティもおまかせ!

ダッシュボードからトラフィックやセキュリティの見える化でき、トラブル原因を特定して迅速な復旧対応を実現。AIで運用業務を自動化し、攻めのDX推進にシフトできる企業向けネットワーク(VPN)&セキュリティサービス

※「Prime ConnectONE」は、NTTPCコミュニケーションズの登録商標です。

※本記事の情報は2026年5月時点のものです。各機関の公表資料やサービス内容は変更される場合があります。最新情報は各公式サイトをご確認ください。