ZTNAとは?
Zero Trust Network Access (ZTNA) は、Software-Defined Perimeter (SDP) とも呼ばれ、リモートユーザーが社内アプリケーションに安全にアクセスするための技術や機能の集合体を指します。ZTNAが採用する適応的信頼モデルは決して暗黙的な信頼を与ず、きめ細かいポリシーで定義された知る必要がある最小限のアクセスを付与している。ZTNAは、プライベートアプリケーションをネットワーク上に配置したりインターネットに公開したりすることなく、リモートユーザーにシームレスかつ安全な接続を提供します。
ゼロトラストセキュリティ は最近、注目の話題になっています。多くの組織がゼロトラストをするた採用めに優先順位を調整している中、Zero Trust Network Access (ZTNA)は、効果的なゼロトラストモデルを実現する戦略です。
ゼロトラストへの道は概念としては漠然としているため、ZTNAは組織が従うべき明確に定義されたフレームワークを提供します。またそれは セキュアアクセスサービスエッジ(SASE )というセキュリティモデルの構成要素でもあり、ZTNAに加え、次世代ファイアウォール(NGFW)やSD-WANなどのサービスをクラウドネイティブなプラットフォームで構成しています。
ZTNAの仕組みは?
リモートで働く従業員を保護する必要性は非常に重要になりましたが、仮想プライベートネットワーク(VPN)やファイアウォールといったネットワーク中心のソリューションでは悪用されかねない攻撃対象領域を作り出してしまいます。ZTNAはこの4つの基本原則に基づき、社内アプリケーションへの安全なリモートアクセスを提供するために根本的に異なったアプローチをとっています。
- ZTNAは、アプリケーションへのアクセス提供作業そのものをネットワークアクセスから完全に分離します。このように分離することで、危険なデバイスによる感染などのネットワーク上でのリスクを軽減し、認証された正規のユーザーのみに特定のアプリケーションへのアクセスを許可するようになっています
- ZTNAはアウトバウンドのみの接続を確立することで、ネットワークとアプリケーションの両方のインフラストラクチャを許可されていないユーザーから見えないようにします。IPがインターネットに公開されないため、ネットワーク上では発見困難な「ダークネット」が形成されます。
- ZTNAのネイティブアプリセグメンテーション機能によって、ユーザー承認を経た後アプリケーションアクセスが1対1で許可されることを保証します。承認されたユーザーには、ネットワークへの完全なアクセスではなく、特定のアプリケーションへのアクセスに限ってが許可されます。セグメンテーションは、過度に許可されたアクセスや、マルウェアなどの脅威の横流しリスクを事前に防ぎます。
- ZTNAは従来のネットワークセキュリティの代わりに、ユーザーからアプリケーションへアクセスするアプローチを採用しています。ネットワーク中心のアプローチから脱却し、MPLSの代わりにエンドツーエンドの暗号化されたTLSマイクロトンネルを活用して、インターネットを新たな企業ネットワークとして利用できるようになります。
ZTNAは、アーキテクチャの観点でも、ネットワーク中心のソリューションとは根本的に異なります。ZTNAは大半の場合、100%ソフトウェアで定義されるため、アプライアンスの管理にかかるオーバーヘッドを回避できます。また、ZTNAはVPNやVPNコンテンブレータ、DDoS防御、グローバルロードバランシング、ファイアウォールアプライアンスが不要になるため、インバウンドスタックを簡素化することができます。
ZTNAには、2つの重要なアーキテクチャモデルがあります。本稿では、以下のようなサービス起動型ZTNAアーキテクチャを紹介します。詳しくは、 GartnerのZTNAマーケットガイド をご覧ください。
ZTNAの主なユースケース
ZTNAは、多くのクラウドセキュリティのユースケースがあります。多くの企業は、これら4つのうち1つから始めることにしています。
VPNの置き換え
VPNはユーザーにとって不便で時間がかかり、セキュリティ性も低く管理も難しいため、組織はVPNへの依存を減らすか完全に回避したいところです。「2023年までに、60%の企業がリモートアクセス用VPNのほとんどを段階的に廃止し、ZTNAを採用するだろう。」とGartnerは予測しています。
安全なマルチクラウドアクセス
ハイブリッドクラウドやマルチクラウドへのアクセスに対する保護は、組織がZTNAへの移行を始める際の最も一般的な応用分野です。クラウドアプリケーションやサービスを採用する企業が増える中、37%の企業がマルチクラウド戦略のためのセキュリティとアクセスコントロールにZTNAを利用しています。
サードパーティーリスクの低減
大半のサードパーティユーザーは過剰な特権アクセスを与えられており、それらは一般に管理されていないデバイスを使用してアプリケーションにアクセスすることが多く、どちらもリスクをもたらすものです。ZTNAは、外部ユーザーがネットワークへのアクセスを獲得のを防止し、許可されたユーザーだけが許可対象のアプリケーションのみにアクセスできるようにすることで、サードパーティリスクを大幅に軽減します。
合併・買収に伴う統合の高速化
典型的なM&Aは長時間を要し、ネットワークのコンバージェンスや重複IPの解決などのため統合に数年かかることもあります。ZTNAはM&Aの成功に必要な時間と管理コストを削減・簡略化し、即座にビジネス上の価値を実現します。
ZTNAに関する検討事項
ガートナーが最近発表した「ゼロトラストネットワークアクセス市場ガイド」で、Steve Riley氏、Neil MacDonald氏、Lawrence Orans氏は、ZTNAソリューションを選択する際に組織が考慮すべきいくつかの注意点を概説しています。
- ベンダーは、エンドポイントエージェントのインストールを求めるか?サポートしているOSは?サポートしているモバイルデバイスは?他のエージェントが存在する場合も、本エージェントは問題なく動作するか?注:クライアントレスでの使用をサポートしないZTNAテクノロジーは、多くの場合管理されていないデバイスのユースケース(サードパーティーアクセス、BYODなど)をサポートできなません。
- そのソリューションは、Webアプリケーションのみをサポートしているのか? あるいは、従来型(データセンタ)アプリケーションにも同じセキュリティのメリットが提供されるのか?
- 注:クライアントレスでの使用をサポートしないZTNAテクノロジーは、多くの場合管理されていないデバイスのユースケース(サードパーティーアクセス、BYODなど)をサポートできなません。これらは組織のセキュリティやレジデンシー要件を満たしているか?注:Gartnerは、ZTNAをサービスとして提供しているベンダーを優先利用することを推奨していますが、その理由としてサービスの導入が容易で、利用できる可能性も高く、またDDoS攻撃に対するセキュリティも高いという点が挙げられます。
- 分離されたアプリケーションのセキュリティ要件の一部である、部分的または全体的なクローキング、またはインバウンド接続の許可または禁止の程度はどれ位か?
- トラストブローカがサポートしている認証標準は何か?オンプレミスのディレクトリやクラウドベースのアイデンティティサービスと統合できるか?トラストブローカは組織の既存のIDプロバイダと統合されるか?
- ベンダの入口ポイントと出口ポイント(エッジロケーションまたはプレゼンスポイントと呼ばれる)は地理的にどれ位分散しているか?
- ユーザーとユーザーデバイスが認証を受けた後も、トラストブローカーはデータ経路に常駐しているか?
- そのソリューションは、UEM(統合エンドポイント管理)プロバイダと統合されるのか? あるいは、ローカルエージェントがアクセス決定の要素としてデバイスの正常性やセキュリティ状態を判断できるのか?そのZTNAベンダはどのようなUEMベンダと提携しているのか?
これらはすべて、現在および将来の目標とビジョンを実現するためにZTNA ベンダーを選ぶ際に企業にとって重要な検討事項です。ZTNAの詳細については、当社の代表的なZTNAサービスであるZscaler Private Access をご確認ください。ZPAを7日間無料でお試しいただくことも可能です。
Cybersecurity Insidersの2019年ゼロトラスト導入レポート
レポートを読む
ネットワークアーキテクト向けZTNA導入ガイド
ガイドを読むリーダーに求められるゼロトラストネットワークアクセス(ZTNA)戦略
ホワイトペーパーを読むZscaler Security Service Edge (SSE)のインフォグラフィック
詳細はこちら