ZTNAとは?
ゼロトラストセキュリティの概念が、数年前から大きく注目されるようになりました。多くの組織がゼロトラストの採用を優先事項と考えるようになりましたが、ゼロトラストネットワークアクセス(ZTNA)は、真のゼロトラストモデルを実現するテクノロジです。
ZTNA(ゼロトラストネットワークアクセス)(SDP(Software-Defined Perimeter)と呼ぶこともあります)は、適応型のトラストモデルで動作する一連のテクノロジであり、暗黙的なトラストではなく、きめ細かいポリシーで定義される、「知る必要があるものだけ」という最小限の特権ベースでアクセスを許可します。ZTNAは、プライベートアプリケーションへのシームレスなセキュア接続をユーザに提供し、ユーザがオンネットワークになったり、アプリがインターネットに公開されたりすることはありません。
概念としてのゼロトラストへの道は漠然としているものの、ZTNAは、明確で定義された、組織が従うべきフレームワークを提供します。
ZTNAの仕組みは?
ZTNAは、VPNやFWなどのネットワーク中心のソリューションとはまったく異なるアプローチを採用し、次の4つの中核となる原則に基づいて内部アプリケーションへのアクセスを保護します。
- ZTNAは、アプリケーションへのアクセスをネットワークアクセスから完全に分離します。この分離によって、ネットワーク内で攻撃を受けた感染デバイスなどによるリスクが軽減され、承認されたユーザだけにアプリケーションアクセスが許可されます。
- ZTNAはアウトバウンドのみの接続を確立することで、ネットワークとアプリケーションの両方のインフラストラクチャを許可されていないユーザから見えないようにします。IPがインターネットに公開されないため、「ダークネット」が形成されネットワークが外部から検出されなくなります。
- ZTNAのネイティブアプリセグメンテーションによって、ユーザの承認後に、アプリケーションアクセスが1対1で許可されるため、承認されたユーザには、ネットワークへの完全アクセスではなく、特定のアプリケーションにのみへのアクセスが許可されます。
- ZTNAは、ネットワーク中心のセキュリティではなく、「ユーザ対アプリケーション」のアプローチを採用しています。ネットワーク中心のアプローチから脱却し、MPLSの代わりにエンドツーエンドの暗号化されたTLSマイクロトンネルを活用して、インターネットを新たな企業ネットワークとして利用できるようになります。
ZTNAは、アーキテクチャの観点でも、ネットワーク中心のソリューションとは根本的に異なります。ZTNAは多くの場合に100% SD(Software-Defined)であるため、アプライアンスの管理に伴うオーバーヘッドを排除できます。さらには、VPN、DDoS、グローバルロードバランシング、FWアプライアンスが必要なくなるため、インバウンドスタックの簡素化につながります。ZTNAには、2つの重要なアーキテクチャモデルがあります。以下に、サービス起動型ZTNAアーキテクチャの概要を説明します。詳細については、ガートナーのZTNAマーケットガイドを参照してください。
ZTNAのユースケース
ZTNAには多くのユースケースがありますが、ほとんどの組織では、次の4つのいずれかの分野から開始することを選択します。
- VPNの置き換え
企業は、VPNの利用を廃止あるいは削減したいと考えています。VPNは、ユーザにとっては遅く、安全性が低く、管理も困難であるため、ガートナーは「2023年までに60%の企業がリモートアクセスVPNのほとんどを廃止してZTNAを採用するだろう」と予測しています。
- マルチクラウドへのアクセスの保護
ハイブリッドクラウドやマルチクラウドのアクセスの保護は、組織がZTNAへの移行を開始する最も一般的な分野です。クラウドを採用する企業が増加し、その37%が、近い将来、ZTNAに移行し、マルチクラウド戦略を実現すると考えています。
- サードパーティのリスクの低減
ほとんどのサードパーティユーザに過剰な特権アクセスが付与されていることで、セキュリティギャップが生まれています。ZTNAは、外部のユーザがネットワークへのアクセスを手に入れるのを防止し、許可されたユーザだけが許可されたアプリケーションにアクセスできるようにすることで、サードパーティのリスクを大幅に軽減します。
- 合併・買収に伴う統合の高速化
合併・買収には古くから時間がかかり、ネットワークのコンバージェンスや重複するIPの解決などで統合に数年を要することもありました。ZTNAは、合併・買収の成功に必要な時間と管理を削減、簡略化し、直ちにビジネスに価値をもたらします。
ZTNAに関する検討事項
ガートナーが最近発表した「ゼロトラストネットワークアクセス市場ガイド」で、Steve Riley氏、Neil MacDonald氏、Lawrence Orans氏は、ZTNAソリューションを選択する際に組織が考慮すべきいくつかの注意点を概説しています。
- エンドポイントエージェントのインストールするようベンダが要求しているか?サポートしているOSは何か?サポートしているモバイルデバイスは何か?他のエージェントが存在する場合も、そのエージェントは問題なく動作するか?注:クライアントレスの使用をサポートしないZTNAテクノロジは、多くの場合に、サードパーティアクセス、BYODなどの管理対象外デバイスのユースケースをサポートできません。
- そのソリューションは、Webアプリケーションのみをサポートしているのか? あるいは、従来型(データセンタ)アプリケーションにも同じセキュリティのメリットが提供されるのか?
- ZTNA製品の中には、部分的または全体的にクラウドベースのサービスとして提供されるものがある。これは、組織のセキュリティや提供される形態の要件を満たしているか?注:ガートナーは、サービスの導入ができるだけ簡単で、可用性が高く、DDoS攻撃からの保護が強化されるという点から、ZTNAをサービスとして提供するベンダを優先するよう推奨している。
- 分離されたアプリケーションのセキュリティ要件の一部である、部分的または全体的なクローキング、またはインバウンド接続の許可または禁止の程度はどれ位か?
- トラストブローカがサポートしている認証標準は何か?オンプレミスのディレクトリやクラウドベースのアイデンティティサービスと統合できるか?トラストブローカは組織の既存のIDプロバイダと統合されるか?
- ベンダの入口ポイントと出口ポイント(エッジロケーションまたはプレゼンスポイントと呼ばれる)は地理的にどれ位分散しているか?
- ユーザとデバイスが認証に通った後に、トラストブローカがデータパスに引き続き常駐するか?
- そのソリューションは、UEM(統合エンドポイント管理)プロバイダと統合されるのか? あるいは、ローカルエージェントがアクセス決定の要素としてデバイスの正常性やセキュリティ状態を判断できるのか?そのZTNAベンダはどのようなUEMベンダと提携しているのか?
これらはすべて、組織の現状と将来に向けた目標とビジョンを補完するZTNAベンダを選定する際の重要な考慮事項です。ZTNAテクノロジの詳細を知るには、市場をリードするZTNAサービスであるZPAを体験するのが近道です。ZPAを無料で7日間体験できます!
Cybersecurity Insidersの2019年ゼロトラスト導入レポート
レポート全文を読む
ネットワークアーキテクト向けZTNA導入ガイド
ガイドを読むリーダーに求められるゼロトラストネットワークアクセス(ZTNA)戦略
ホワイトペーパーを読む(英語)