/ ゼロトラスト ネットワーク アクセスとは
ゼロトラスト ネットワーク アクセスとは
ゼロトラスト ネットワーク アクセス(ZTNA)は、ソフトウェア定義の境界(SDP)とも呼ばれ、社内アプリケーションへの安全なアクセスをリモート ユーザーに提供する一連の技術や機能を指します。ZTNAは信頼付与の適応型モデルで動作します。このモデルでは、信頼が暗黙の了解で与えられるのではなく、きめ細かいポリシーによって定義されている、各ユーザーが知る必要がある最小限の範囲内でアクセスが許可されます。また、リモート ユーザーをネットワーク上に配置したり、プライベート アプリをインターネットに露出させたりすることなく、プライベート アプリへの安全な接続を提供します。
ZTNAの仕組み
近年、ゼロトラスト セキュリティは大きな注目を集めています。多くの組織がゼロトラストの採用を優先事項とするなか、ゼロトラスト ネットワーク アクセス(ZTNA)は効果的なゼロトラスト モデルを実現する戦略として活用できます。
ゼロトラスト実現への道のりは曖昧になりがちですが、ZTNAは組織が従うべき明確に定義されたフレームワークを提供します。これはセキュア アクセス サービス エッジ(SASE)のセキュリティ モデルのコンポーネントでもあります。SASEは、ZTNAに加えて次世代ファイアウォール(NGFW)やSD-WAN、およびクラウド ネイティブのプラットフォーム内のその他のサービスで構成されます。
リモート ワーカーのセキュリティ確保が非常に重要になっている一方で、仮想プライベート ネットワーク(VPN)やファイアウォールなどのネットワーク中心のソリューションは、悪用される可能性のある攻撃対象領域を生み出します。ZTNAは、以下の4つの基本原則に基づいて、根本的に異なるアプローチをとることで内部アプリケーションへの安全なリモート アクセスを提供します。
- ZTNAでは、アプリケーションへのアクセスの提供をネットワークへのアクセスと完全に分離します。これによって、侵害されたデバイスによる感染などのネットワークへのリスクを軽減し、認証された承認済みのユーザーのみに特定のアプリケーションへのアクセスを許可できます。
- ZTNAはアウトバウンドのみの接続を確立し、ネットワークやアプリケーション インフラストラクチャーのいずれをも未承認のユーザーに対して不可視化します。IPがインターネットに公開されることはなく、「ダークネット」と呼ばれる発見不能なネットワークを形成できます。
- ZTNAのネイティブ アプリのセグメンテーションでは、承認を受けたユーザーがアプリケーションへのアクセスを1対1ベースで許可されます。アクセスできるのはネットワーク全体ではなく、特定のアプリケーションに限定されます。セグメンテーションは、必要以上のアクセス許可を防止するとともに、マルウェアなどの脅威のラテラル ムーブメントのリスクを防ぎます。
- ZTNAでは、従来のネットワーク セキュリティの代わりに、ユーザーとアプリケーションを直接接続するアプローチをとります。ネットワークは重要ではなくなり、MPLSの代わりにエンドツーエンドの暗号化されたTLSマイクロ トンネルを用いることで、インターネットを新たな企業ネットワークとして使用します。
ZTNAは、アーキテクチャーの観点でも、ネットワーク中心のソリューションとは根本的に異なります。ZTNAは、ユーザーのアイデンティティーに基づいて社内アプリケーションにアクセスを割り振るソフトウェア定義の境界(SDP)上で動作します。これにより、アプライアンス管理のオーバーヘッドを排除します。また、ZTNAはVPNやVPNコンセントレーター、DDoS防御、グローバル負荷分散、ファイアウォール アプライアンスが不要になるため、インバウンド スタックを簡素化することができます。
ZTNAには、2つの重要なアーキテクチャー モデルが存在します。この記事では、サービスを起点とするZTNAアーキテクチャーについて説明します。
詳細については、Gartner Market Guide to Zero Trust Network Accessをご確認ください。
VPNとZTNAの違い
VPNは、現在最も一般的なセキュリティ ソリューションの1つです。エンド ユーザーにネットワークへの安全なアクセスを許可し、組織のリソースにアクセスできるようにすることで、アクセス管理を簡素化します。指定されたトンネルを使用し、通常はシングル サインオン(SSO)によってアクセス許可を行います。
1~2日のリモート ワークが必要な従業員に対しては、VPNは長年にわたり十分に機能してきました。しかし、より長期にわたるリモート ワークが広がるなかで、拡張性に欠けコストやメンテナンスの負担が大きいVPNは、効果的なソリューションではなくなっていきました。さらに、パブリック クラウドの採用が急速に進んだことで、リモート ワーカーへのセキュリティ ポリシーの適用は従来以上に困難になり、ユーザー エクスペリエンスも損なわれていきました。
そして何より重大な問題が、VPNの使用によって生まれる攻撃対象領域です。SSOの認証情報さえあれば、あらゆるユーザーやエンティティーがVPNにログ オンし、ラテラル ムーブメントによってネットワーク内を自由に移動して、本来VPNが保護するはずのすべてのリソースやデータにアクセスできます。
ZTNAは、最小特権の原則に基づいて許可を行うことで、ユーザーによるアクセスを保護します。ゼロトラストでは、認証情報を基に信頼することなく、ユーザー、アイデンティティー、デバイス、場所といったすべての情報の整合性を確認し、コンテキストが適切な場合にのみアクセスを許可します。
また、ZTNAはネットワーク アクセスではなく、きめ細かいアクセスを提供します。ユーザーは、必要なアプリケーションやデータに直接かつ安全に接続されるため、悪意のあるユーザーによるラテラル ムーブメントを阻止できます。さらには、ユーザーが直接接続されるため、ZTNAフレームワークの活用によってエクスペリエンスが大幅に向上します。
ZTNAのメリット
現在、多くの組織がZTNAモデルのメリットをこれまでにないほど認識しています。企業がZTNAへの移行を行う理由として特に一般的なものは以下のとおりです。
- 従来型のアプライアンスの排除:ZTNAを採用することで、VPNなどの従来型のリモート アクセス アプライアンスを取り除き、100%ソフトウェアベースのアクセス ソリューションを活用できます。
- シームレスなユーザー エクスペリエンス:ZTNAでは、ユーザー トラフィックがデータ センター経由でバックホールされることはなく、ユーザーは目的のアプリケーションに迅速かつダイレクトにアクセスできるようになります。
- 簡単な拡張:クラウドZTNAサービスでは、ライセンスを追加するだけで簡単にキャパシティーを拡張できます。
- 迅速な展開:展開に数週間から数か月かかる他のソリューションとは異なり、ZTNAはどこからでも数日で導入できます。
ZTNAのセキュリティ上の利点
ZTNAは、以下のようなことを実現して、ビジネス柔軟性を高めるだけでなく、全体的なセキュリティ態勢も大幅に改善します。
- インフラストラクチャーの不可視化:ZTNAを使用することで、ユーザーは企業ネットワークに接続せずにアプリケーションにアクセスできます。これによってインフラストラクチャーを完全に不可視化し、ネットワークへのリスクを排除できます。
- 制御と可視性の強化:ZTNAソリューションは、きめ細やかな制御を備える一元的な管理ポータルを通じて容易に管理できます。すべてのユーザーとアプリケーションのアクティビティーをリアルタイムで監視し、ユーザー グループまたは個別のユーザー向けのアクセス ポリシーを作成します。
- アプリのセグメンテーションの簡素化:ZTNAはネットワークに紐付けられていないため、個別のアプリケーションのレベルでアクセスのセグメンテーションを、複雑なネットワーク セグメンテーションなしで実行できます。
ZTNAの主なユース ケース
ZTNAには、クラウド セキュリティのユース ケースが数多く存在しますが、多くの企業では以下の4つのいずれかが出発点となります。
VPNのリプレース
VPNは、ユーザーにとっては不便なソリューションであり、十分な速度を提供できません。安全性が低く管理も難しいため、VPNへの依存を低減または排除したいと考える組織は少なくありません。Gartnerは「2023年までに、60%の企業がリモート アクセスVPNのほとんどを段階的に廃止し、ZTNAを支持するようになる」と予測しています。
マルチクラウド アクセスの保護
ハイブリッド クラウドやマルチクラウドへのアクセスの保護は、組織がZTNAへの移行にあたり最初に取り組む領域として、最も一般的なものです。クラウド アプリケーションやクラウド サービスを採用する企業が増えるなか、セキュリティとアクセス制御を目的に、37%の企業がZTNAの導入に乗り出し、マルチクラウド戦略に活用しようとしています。
サードパーティーのリスク軽減
サードパーティー ユーザーの多くは過剰な特権アクセスを付与されているほか、多くの場合、管理対象外デバイスを使用してアプリケーションにアクセスしています。これは、いずれもリスクを招きます。ZTNAでは、外部ユーザーが決してネットワークにアクセスできないようにし、承認されたユーザーだけが許可されたアプリケーションのみにアクセスできるようにすることで、サードパーティー リスクを大幅に軽減します。
M&Aに伴う統合の加速
一般的に、M&Aではネットワークの集約や重複IPの処理が必要となり、統合に数年を要する場合もあります。ZTNAを利用することで、M&Aに要する時間を短縮するとともに、管理を簡素化し、ビジネス上の価値を速やかに実現できます。
ZTNAの種類
ZTNAは柔軟に展開できるため、ビジネスのすべての重要要素を保護する形で拡張することが可能です。ZTNAの各モデルについて、詳しく見ていきみましょう。
- ユーザー保護のためのZTNA:ユーザーがアプリケーションに接続する際、インターネットや潜在的に有害な脅威に接触することなく、直接パスで通信が行われます。接続は、ユーザーが確立された認証基準を満たしている場合にのみ許可されます。
- ワークロード保護のためのZTNA:セキュリティは、アプリケーションの構築や通信フレームワークの確立の際に見落とされがちです。ZTNAは、脅威のラテラル ムーブメントや情報漏洩が発生しないようにすることでこうしたワークロードの侵害を防ぎ、ビルドから実行に至るまでのアプリの保護と安全な通信を可能にします。
- デバイス保護のためのZTNA:BYODの出現により、エンドポイントはこれまで以上に大きな脅威にさらされています。包括的なZTNAフレームワークを利用することで、デバイスが送受信するデータを通信経路全体にわたって保護し、脅威の侵入を防ぐことができます。
ZTNAの実装方法
ゼロトラスト トランスフォーメーションは時間のかかるプロセスですが、今日のハイブリッドな組織には不可欠です。ここで、ゼロトラストの実装において核となる3つの要素を見ていきましょう。
- 知識と信念:コストや複雑性を軽減し、目標を達成するために、技術をより効果的に利用できる新しい方法を理解する。
- 革新的なテクノロジー:過去30年間におけるインターネット、脅威、働き方の変化に対応できない従来型のソリューションから脱却する。
- 文化やマインドセットの変化:チームを1つにまとめることで成功を促進する。IT担当者にもゼロトラストのメリットを理解してもらい、協力体制を確立します。
ZTNAに関する検討事項
Gartner Market Guide for Zero Trust Network Accessでは、Steve Riley氏、Neil MacDonald氏、Lawrence Orans氏が、組織がZTNAソリューションを選択する際に考慮すべきいくつかの事項を概説しています。
- エンドポイント エージェントのインストールは必要か、サポートされているのはどのOSやモバイル デバイスか、そのエージェントは他にエージェントが存在する場合にどの程度適切に機能するか。注:クライアントレスでの利用がサポートされていないZTNAテクノロジーの多くは、管理対象外デバイスのユース ケース(サードパーティー アクセス、BYODなど)をサポートしていません。
- サポートされるのはWebアプリケーションのみか、従来の(データ センターの)アプリケーションでも同一のセキュリティ効果が得られるのか。
- サービスの提供形態は、組織のセキュリティ要件や所在地の要件を満たしているか(一部のZTNA製品は部分的または完全にクラウドベースのサービスとして提供される)。注:導入の容易さ、可用性の高さ、DDoS攻撃に対するセキュリティに優れていることから、GartnerはZTNAをサービスとして提供するベンダーを企業に推奨しています。
- 分離されたアプリケーションのセキュリティ要件として、部分的または完全なクローキング、インバウンド接続の許可または禁止がどの程度求められているか。
- トラスト ブローカーはどのような認証標準をサポートしているか、オンプレミス ディレクトリーまたはクラウドベースのアイデンティティー サービスとの統合は利用できるか、トラスト ブローカーは組織の既存のアイデンティティー プロバイダーと統合できるか。
- データの出入り口(エッジ ロケーションやプレゼンス ポイントと呼ばれる)は世界中でどの程度地理的に分散しているか。
- ユーザーやユーザー デバイスが認証をパスした後も、トラスト ブローカーがデータ パス上に残るか。
- 統合エージェント管理(UEM)プロバイダーと統合可能なサービスか、ローカル エージェントがデバイスの健全性とセキュリティ態勢を判断してアクセス可否の決定を行えるか、どのUEMベンダーと提携しているか。
これらはすべて、現在および将来の目標とビジョンの実現に向けてZTNAベンダーを選ぶ際に、企業が検討すべき重要な点です。ZTNAに関する詳細は、Zscalerの代表的なZTNAサービスであるZscaler Private Accessをご確認ください。
Zscalerのゼロトラスト ネットワーク アクセス
世界で最も広く展開されているZTNAプラットフォームであるZscaler Private Access™は、Zscaler独自のゼロトラスト アーキテクチャーを基に構築されています。ZPAは最小特権の原則を適用して、ユーザーにプライベート アプリケーションへの安全な直接接続を提供する一方で、承認されていないアクセスやラテラル ムーブメントを排除します。クラウド ネイティブなサービスであるZPAは数時間で展開することができ、従来型のVPNとリモート アクセス ツールを総合的なゼロトラスト プラットフォームに置き換えます。
Zscaler Private Accessには、次のような特徴があります。
- 従来のVPNやファイアウォールを超える卓越したセキュリティ:ユーザーをネットワークではなくアプリに直接接続することで、攻撃対象領域を最小限に抑えてラテラル ムーブメントを排除できます。
- プライベート アプリの侵害を防止:インラインでの侵害防止、デセプション、脅威の分離を実現する初のアプリ保護機能により、ユーザーへの侵害のリスクを最小限に抑えます。
- 現在のハイブリッド ワーカーに優れた生産性を提供:リモート ユーザーをはじめ、本社や支店、サード パーティーのパートナーに対し、プライベート アプリへの超高速アクセスをシームレスに提供します。
- ユーザー、ワークロード、デバイス向けの統合型ZTNAを提供:最も総合的なZTNAプラットフォームを活用することで、従業員とパートナーはプライベート アプリ、サービス、OT/IoTデバイスに安全に接続できます。
![backgroundImage promotional background](/_next/image?url=https%3A%2F%2Fwww.zscaler.jp%2Fsites%2Fdefault%2Ffiles%2Fimages%2Fpromotions%2Fmagic-quadrant-bg-desktop.jpg&w=1920&q=75)