リソース > セキュリティ用語集 > ゼロトラスト アーキテクチャーとは

ゼロトラスト アーキテクチャーとは

ゼロトラスト アーキテクチャーの定義

ゼロトラスト アーキテクチャーは、ゼロトラストの中核的な原則に基づき、ネットワークの攻撃対象領域の縮小、脅威の水平移動の防止、データ侵害のリスクの軽減に向けて構築されたセキュリティ アーキテクチャーです。ゼロトラストの概念に従い、暗黙の信頼がユーザーやデバイスに付与されることはありません。

ゼロトラスト セキュリティ モデルでは、すべてのデバイスとユーザーが信頼され、幅広いアクセス許可が付与される従来型の「ネットワーク境界」に代わり、最小特権のアクセス制御やきめ細かいマイクロセグメンテーション、多要素認証(MFA)が採用されています。
 

ゼロトラスト アーキテクチャーゼロトラスト ネットワーク アクセス

さまざまなゼロトラスト アーキテクチャーを掘り下げる前に、関連性の高いこれら2つの用語の違いを整理しましょう。

  • ゼロトラスト アーキテクチャー(ZTA)は、隙のないアクセス管理、厳格なデバイスとユーザーの認証、強力なセグメンテーションなどといった、ゼロトラストの原則をサポートする構造です。これは、ネットワーク内にあるものはデフォルトで信頼する「城と堀」のアーキテクチャーとは明確に異なり、多くの面においてこれを置き換えるように構築されています。
  • ゼロトラスト ネットワーク アクセス(ZTNA)は、ユーザーやアプリ、データが従来型のセキュリティ境界内にない場合にも、アプリケーションとデータへの安全なアクセスをユーザーに提供するためのゼロトラストのユース ケースです。クラウドとハイブリッド ワークの時代の到来とともに、普及が進んでいます。

これらの2つをまとめると、組織がZTNAを導入し、場所や時間、デバイスを問わずシステム、サービス、API、データ、プロセスにアクセスできるようにするためには、ゼロトラスト アーキテクチャーが基盤として必要であるといえます。

ゼロトラスト アーキテクチャーのメリット

ゼロトラスト アーキテクチャーは、マルウェアやその他のサイバー攻撃からユーザーとデータを保護しながら、現代のビジネスを求められるスピードに必要となる、正確かつコンテキストに応じたユーザー アクセスを提供します。ZTNAの基盤として、効果的なゼロトラスト アーキテクチャーは以下をサポートします。

  • 従業員やパートナーを含め、リモート ワーカーが場所を問わずデータやアプリケーションに安全かつ高速にアクセスできるようにし、ユーザー エクスペリエンスを改善。
  • 信頼性の高いリモート アクセスを提供しつつ、VPNなどの従来型のテクノロジーよりも簡単かつ一貫してセキュリティ ポリシーを管理、適用。
  • 暗号化や認証などの厳格なセキュリティ制御により、オンプレミスやクラウド環境、転送中または保存中の機密データやアプリを保護
  • ネットワーク境界内のユーザー、デバイスにデフォルトで暗黙的な信頼を与えないことで、内部の脅威を阻止
  • きめ細かなアクセス ポリシーにより、リソース レベルで水平方向の移動を制限し、侵害の可能性を低減
  • 成功してしまった侵害に関し、より迅速かつ効果的な検出、対応、回復を行うことで影響を軽減。
  • ユーザーとエンティティーのアクティビティーの内容やタイミング、方法ならびに場所をより深く可視化し、セッションや実行されたアクションの詳細な監視とログを実現。
  • 詳細な認証ログ、デバイスとリソースの正常性チェック、およびユーザーとエンティティーの動作分析などを使用し、リアルタイムでリスクを評価

(NIST特別出版物「ゼロトラスト アーキテクチャーの実装」から一部翻案)

ゼロトラスト アーキテクチャー仕組み

詳細を深掘りする前に、従来型のネットワーク アーキテクチャーの仕組みを確認しましょう。

従来型のワイド エリア ネットワーク(WAN)は、ハブ&スポーク型の構造を使用して構築されており、リモート オフィスをデータ センター内のアプリケーションに接続します。信頼されたネットワーク上のアプリケーションにアクセスするには、ユーザーは境界ファイアウォールで保護されている境界内にいるだけで良いため、「城と堀」という表現が用いられます。

現在、場所を問わない働き方が普及し、アプリケーションはSaaSとパブリック クラウドに移行しました。しかし従来型のアーキテクチャーでは、クラウド内にあるものであっても、アプリにアクセスするためには、ユーザーがローカルまたはVPN経由で企業ネットワーク上にいる必要があります。一方、パブリック クラウドを使用すると攻撃対象領域とリスクが拡大してしまい、境界ファイアウォールを通過するすべてのトラフィックをバックホールすると、ネットワーク セキュリティのボトルネックが発生し、スピードが落ちるだけでなく、最悪の場合は保護が不十分になってしまいます。

現代の組織にゼロトラスト アーキテクチャーが必要な理由は、まさにこの点にあります。簡単な概要を解説するこちらの短い動画もご覧ください。

ゼロトラスト アーキテクチャーはZTNAを提供し、ネットワーク セグメンテーションやその他の従来型モデルとは根本的に異なる方法でアクセスを保護する、ユーザーとアプリ間におけるセグメンテーションを実現します。ZTNAがどのように実装、提供されるかを詳しく見てみましょう。

ゼロトラスト ネットワーク アクセスを実装する2つのアプローチ

ゼロトラスト ソリューションのプロバイダーは、異なる2つの方法でZTNAの実現をサポートします。

エンドポイントを起点とするZTNA

このアプローチでは、エンドポイントまたはエンドユーザーがアプリケーションへのアクセス起点となります。エンドポイントにインストールされた軽量エージェントが、コントローラーとの通信を行います。このコントローラーは、ユーザーのアイデンティティーを認証し、アクセスを許可されている特定のアプリケーションへの接続をプロビジョニングします。モバイル デバイスや管理対象外のBYOD/IoTデバイスにエージェントやその他のローカル ソフトウェアをインストールする必要があるため、エンドポイントを起点とするZTNAの実装が困難になったり、場合によっては不可能になる可能性もあります。

サービスを起点とするZTNA

このアプローチでは、ブローカーがユーザーとアプリケーション間の接続起点となります。データ センターまたはクラウドに存在するコネクターが、ビジネス アプリケーションからブローカーへの接続を確立します。ユーザーの認証後、トラフィックはZTNAサービスを通過してユーザーのエンドポイントに直接届きます。エンドポイント エージェントは不要なため、管理対象外のデバイスを保護し、パートナーや顧客にアクセスを付与するうえで役立ちます。サービスを起点とする一部のZTNAでは、ウェブ アプリへのブラウザーベースのアクセスを使用できます。

ゼロトラスト ネットワーク アクセスの2つの提供モデル

実装モデルを越えたレベルで、ZTNAをスタンドアロン製品、またはサービスとして採用することができます。各アプローチには独自の特性があり、組織固有のニーズやセキュリティ戦略、ならびにエコシステムを踏まえることで、最終的に最適な選択肢が決まります。
 

スタンドアロン製品としてのZTNA

スタンドアロンZTNAの場合、お客様が製品のすべての要素を展開して管理する必要があります。インフラストラクチャーは、データ センターあるいはクラウドにあるお客様の環境のエッジに配置され、ユーザーとアプリケーション間の安全な接続を仲介します。またサービス プロバイダーとしてのクラウド インフラストラクチャーの中には、ZTNA機能を備えているものもあります。

特徴

  • 使用する組織が、ZTNAインフラストラクチャーの展開、管理、保守に100%の責任を持ちます。
  • ベンダーの中には、スタンドアロンとクラウド サービス両方のZTNAをサポートしているものもあります。
  • クラウド化に否定的な企業には、スタンドアロンでの展開が適切です。
エンドポイントを起点とするZTNAの概念モデル

クラウドサービスとしてのZTNA

クラウドでホストされるサービスとしてのZTNAでは、セキュリティ ポリシーの適用においてベンダーのインフラストラクチャーを使用することになります。この場合、お客様はユーザー ライセンスを購入し、すべての環境でアプリケーションの前面に設置される軽量コネクターを展開し、ベンダーは接続やキャパシティー、ならびにインフラを提供します。ユーザーとアプリケーションの間に仲介された接続によってアクセスが確立されるため、アプリケーション アクセスがネットワーク アクセスから分離され、IPがインターネットに露出されることはありません。

特徴

  • インフラストラクチャーを必要としないため、導入が比較的容易です。
  • 単一の管理ポータルでグローバルに適用できるなど、管理は簡素化されます。
  • 世界中のすべてのユーザーに対して、最も高速なアクセスを可能にする最適なトラフィック経路を自動的に選択できます。
エンドポイントを起点とするZTNAの概念モデル

 

クラウド提供型サービスの中には、ソフトウェア パッケージをオンプレミスで展開できるものもあります。ソフトウェアはお客様のインフラ上で動作しますが、サービスの一部として提供され、ベンダーによって管理されます。

詳しくはオンプレミスZTNAを参照してください。

ゼロトラスト アーキテクチャーについて

 
Zscalerゼロトラスト ネットワーク アクセス

世界で最も導入されているZTNAプラットフォーム、Zscaler Private Access™(ZPA)は、Zscaler独自のゼロトラスト アーキテクチャーを基に構築されています。ZPAは最小特権の原則を適用し、ユーザーにプライベート アプリケーションへの安全な直接接続を提供しつつ、承認されていないアクセスや水平移動を排除します。クラウド ネイティブなサービスであるZPAは数時間で導入することができ、従来型のVPNとリモート アクセス ツールを総合的なゼロトラスト プラットフォームに置き換えます。

Zscaler Private Accessには以下の特徴があります。

従来型のVPNファイアウォールを超えた、卓越したセキュリティを実現

ユーザーはネットワークではなくアプリに直接接続されるため、攻撃対象領域を最小限に抑えられ、水平移動が排除されます。

プライベート アプリへの侵害を防止
インラインの対策、デセプション、脅威の分離の機能を備えた他に類を見ないアプリ保護機能により、侵害されたユーザーによるリスクを最小限に抑えます。

現在のハイブリッド ワークに向けた優れた生産性をサポート
プライベート アプリへの超高速アクセスを、リモート ユーザー、本社、支店、サードパーティー パートナー向けにシームレスに拡張します。

ユーザー、ワークロード、およびデバイス向けの統合型ZTNAを提供
最も総合的なZTNAプラットフォームにより、従業員とパートナーはプライベート アプリ、サービス、OT/IoTデバイスに安全に接続できます。

詳細を知りたい、またはZscaler Private Accessが実際に稼働する様子を確認したい場合は、カスタム デモをリクエストしてください。