ゼロトラストネットワークアクセス (ZTNA) とは

ZTNAは、アーキテクチャの観点でも、ネットワーク中心のソリューションとは根本的に異なります。ZTNAは大半の場合、100%ソフトウェアで定義されるため、アプライアンスの管理にかかるオーバーヘッドを回避できます。また、ZTNAはVPNやVPNコンテンブレータ、DDoS防御、グローバルロードバランシング、ファイアウォールアプライアンスが不要になるため、インバウンドスタックを簡素化することができます。

ZTNAには、2つの重要なアーキテクチャモデルがあります。本稿では、以下のようなサービス起動型ZTNAアーキテクチャを紹介します。詳しくは、 GartnerのZTNAマーケットガイド をご覧ください。

VPNとZTNAの相違点

現在使用されている最も一般的な従来型セキュリティソリューションの1つであるVPNは、エンドユーザにネットワークへの安全なアクセスを許可して、決められたトンネル、通常はシングルサインオン（SSO）を使用して会社のリソースにアクセスできるようにすることで、アクセス管理を簡素化します。

VPNは長年にわたり、1～2日程度のリモートワークを必要とする従業員に大きな問題なく利用されてきましたが、世界中で長期にわたってリモートワークで働く従業員が増加したことで、スケーラビリティが欠如し、運用に大量のメンテナンス作業（およびコスト）が必要が必要であることから、その有効性が失われることになりました。さらには、パブリッククラウドの採用が急速に進んだことで、新たに加わったリモートワークの多様なユーザにセキュリティポリシーを適用するのがこれまで以上に困難になっただけでなく、ユーザエクスペリエンスが悪化することにもなりました。

しかしながら、VPNの最大の問題は、VPNによって生まれる攻撃対象領域です。必要なSSO認証情報を知るすべてのユーザあるいはエンティティがVPNにログオンし、ネットワークのあらゆる場所に水平移動して、VPNで保護されるはずだったすべてのリソースとデータにアクセスできます。

ZTNAは、ユーザアクセスを最小権限の原則に基づいて付与することで、ユーザアクセスを保護します。ゼロトラストは、認証情報を条件にトラストを付与することなく、コンテキストが正しい（すなわち、ユーザ、アイデンティティ、デバイス、および場所がすべて一致する）場合のみ、アクセスを許可します。

また、ZTNAは、ネットワークアクセスではなく、きめ細かいアクセスを提供します。ユーザは、必要なアプリケーションやデータにダイレクトかつ安全に接続されるため、不正ユーザによる水平移動の可能性がなくなります。さらには、ユーザがダイレクト接続されるため、ZTNAフレームワークの活用によってエクスペリエンスが大幅に向上します。

ZTNAの主なユースケース

ZTNAは、多くのクラウドセキュリティのユースケースがあります。多くの企業は、これら4つのうち1つから始めることにしています。

VPNの置き換え

VPNはユーザーにとって不便で時間がかかり、セキュリティ性も低く管理も難しいため、組織はVPNへの依存を減らすか完全に回避したいところです。「2023年までに、60%の企業がリモートアクセス用VPNのほとんどを段階的に廃止し、ZTNAを採用するだろう。」とGartnerは予測しています。

安全なマルチクラウドアクセス

ハイブリッドクラウドやマルチクラウドへのアクセスに対する保護は、組織がZTNAへの移行を始める際の最も一般的な応用分野です。クラウドアプリケーションやサービスを採用する企業が増える中、37%の企業がマルチクラウド戦略のためのセキュリティとアクセスコントロールにZTNAを利用しています。

サードパーティリスクの低減

大半のサードパーティユーザーは過剰な特権アクセスを与えられており、それらは一般に管理されていないデバイスを使用してアプリケーションにアクセスすることが多く、どちらもリスクをもたらすものです。ZTNAは、外部ユーザーがネットワークへのアクセスを獲得のを防止し、許可されたユーザーだけが許可対象のアプリケーションのみにアクセスできるようにすることで、サードパーティリスクを大幅に軽減します。

合併・買収に伴う統合の高速化

典型的なM&Aは長時間を要し、ネットワークのコンバージェンスや重複IPの解決などのため統合に数年かかることもあります。ZTNAはM&Aの成功に必要な時間と管理コストを削減・簡略化し、即座にビジネス上の価値を実現します。