ブログ > 会社情報

「ZTNA」テクノロジの説明、今すぐ採用すべき理由、選択の基準

ゼロトラストネットワークアクセスはVPNに代わる新たな選択肢

Published on:

Authored by:

Christopher Hines

「ZTNA」テクノロジの説明、今すぐ採用すべき理由、選択の基準

ガートナーは、2023年までに60%の企業がほとんどのリモートアクセス仮想プライベートネットワーク(VPN)を段階的に廃止し、ゼロトラストネットワークアクセス(ZDNA)ソリューションに移行すると予測しています。また、40%が、VPNの置き換え以外にも、サードパーティアクセス、マルチクラウドアクセス、合併・買収・売却に関連する活動を推進する手段として、ZTNAを採用するようになると予測しています。

SDP(Software-Defined Perimeter)サービスと呼ばれることも多いZTNAは、ユーザをネットワークに接続したり、アプリをインターネットに外部に公開したりすることなく、プライベートアプリケーションへのシームレスで安全な接続を提供します。このテクノロジはその名のように、組織がモビリティでクラウドファーストの世界を前提に構築されたゼロトラストセキュリティモデルを採用するニーズの高まりによって、大きく注目されるようになっています。このモデルでは、場所やデバイスに関係なく、IPアドレスではなくユーザとアプリケーションに基づいてセキュリティが提供されます。  

IPアドレスは、セキュリティではなく接続の手段として登場したものであるため、基本的に弱いセキュリティ識別子です(残念ながら事実です)。しかしながら、ネットワーク接続の手段として長く使用されています。IPアドレスの使用は、デフォルトである「許可」の状態が暗黙のトラストにつながり、サイバー犯罪者によって悪用される可能性があるため、問題となります。自らのネットワークがインターネットに接続できる境界点が必要であることに企業が気付いたことから、ファイアウォールの導入が始まり、30年以上にわたってファイアウォールがさまざまな環境に導入されてきました。
 

このことが重要である理由

ZTNAテクノロジは、「信頼(トラスト)されている」、「信頼されていない」という概念に大きな誤りがあること、また、このようなインバウンドゲートウェイファイアウォールをすべて廃止すべきである理由を浮き彫りにしており、なぜなら、ゼロトラストの概念によって「信頼されている」という概念が完全に無効になってしまうからです。さらには、外部システムを「信頼されていない」ものとして処理し、デフォルトでブロックすることは、古い時代には十分に有効な方法でしたが、今は、外部ユーザがリモートアクセスVPNとDMZを使用して自社ネットワークのアプリに接続する手段を企業が提供しなければならなくなっています。次のような状況ではどうでしょうか。VPNによって、ファイアウォールを通過し、内部ネットワークへの接続が許可されると、DMZによって、善良なユーザだけでなく、悪意のある人物にもプライベートへのアクセスが許可され、公開され、WAFもまたこのような状況を防ぐことはできません。これは大きな問題です。

マルチクラウドやハイブリッドの環境で動作するプライベートアプリが増え、従来の境界の外にあるデバイスから接続する従業員やサードパーティのユーザが増える状況で、従来型テクノロジをそのまま使用しようとすると、セキュリティの確保がますます困難になります。ユーザやアプリの増加に対応するには、より多くのアプライアンスが必要になり、外部に公開されるIPアドレスが増えます。バックホールやホップの増加によって、ユーザエクスペリエンスが低下します。ZTNAは、エンタープライズチームがこの両方の課題を解決する手段となります。

他のすべての新しいテクノロジと同様、ZTNAもこれらの古くからあるアプローチを単に改良したり「常時オン」にしたりするのではなく、その概念から完全に脱却することを目指しています。ZTNAは、従来のVPNインバウンドゲートウェイスタックとFWアプライアンスから組織を解放します。ZTNAでは、IPアドレスに基づいてアクセスを許可する代わりに、クラウドでホスティングされる、グローバルに分散するシンプルなポリシーを使用し、それらのポリシーがローカルで適用されるようにします。ZTNAによって、許可された特定のユーザにのみプライベートアプリが公開され、アクセスが許可されますが、内部ネットワーク全体に対するアクセスが許可されることはなく、すべてのアクセスがコンテキストに沿って進行します。ZTNAは、インターネットを事実上の新しい企業ネットワークとして利用し、エンドツーエンドの暗号化されたマイクロトンネルを作成し、そのマイクロトンネルによって、ユーザとアプリケーションの間にセキュアセグメント(別名マイクロセグメンテーション)が作成されます。管理者は、以前は見つかることのなかったアプリケーションも発見し、それらのアプリケーションにきめ細かいアクセスコントロールを設定することもできます。

ZTNAテクノロジは大きな注目を集めていますが、すべてのソリューションが同じように作成されているわけではありません。ZTNAの導入にあたっては、どのような基準でソリューションを選択すれば良いのでしょうか。客観的に判断するため、ガートナーの意見を参考にしたいと思います。

 

ZTNAに関する8つの検討事項

In Gartner’s recent Market Guide on Zero Trust Network Access, Steve Riley, Neil MacDonald, and Lawrence Orans outline several things to think about when choosing a ZTNA solution. Below, I list those I think enterprises should prioritize:
 

  1. エンドポイントエージェントのインストールするようベンダが要求しているか?サポートしているOSは何か?サポートしているモバイルデバイスは何か?他のエージェントが存在する場合も、そのエージェントは問題なく動作するか?注:クライアントレスの使用をサポートしないZTNAテクノロジは、多くの場合に、サードパーティアクセス、BYODなどの管理対象外デバイスのユースケースをサポートできません。

  2. そのソリューションは、Webアプリケーションのみをサポートしているのか? あるいは、従来型(データセンタ)アプリケーションにも同じセキュリティのメリットが提供されるのか?

  3. ZTNA製品の中には、部分的または全体的にクラウドベースのサービスとして提供されるものがある。これは、組織のセキュリティや提供される形態の要件を満たしているか?注:ガートナーは、サービスの導入ができるだけ簡単で、可用性が高く、DDoS攻撃からの保護が強化されるという点から、ZTNAをサービスとして提供するベンダを優先するよう推奨している。

  4. 分離されたアプリケーションのセキュリティ要件の一部である、部分的または全体的なクローキング、またはインバウンド接続の許可または禁止の程度はどれ位か?

  5. トラストブローカがサポートしている認証標準は何か?オンプレミスのディレクトリやクラウドベースのアイデンティティサービスと統合できるか?トラストブローカは組織の既存のIDプロバイダと統合されるか?

  6. ベンダの入口ポイントと出口ポイント(エッジロケーションまたはプレゼンスポイントと呼ばれる)は地理的にどれ位分散しているか?

  7. ユーザとデバイスが認証に通った後に、トラストブローカがデータパスに引き続き常駐するか?

  8. そのソリューションは、UEM(統合エンドポイント管理)プロバイダと統合されるのか? あるいは、ローカルエージェントがアクセス決定の要素としてデバイスの正常性やセキュリティ状態を判断できるのか?そのZTNAベンダはどのようなUEMベンダと提携しているのか?

 

Keep this list top of mind when the next ZTNA vendor comes calling so you can be sure to choose the solution that fits your needs. Who knows, it might even be Zscaler
 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 

Chris Hinesは、Zscaler Private AccessおよびZ Appの製品マーケティング責任者です。



お勧めのブログ