リソース > セキュリティ用語集 > ゼロトラストネットワークアーキテクチャとは

ゼロトラストネットワークアーキテクチャとは?

ゼロトラストネットワークアーキテクチャとは?

さまざまなゼロトラストネットワークアーキテクチャを理解するには、セキュリティフレームワークとしてのゼロトラストネットワークアクセス(ZTNA)の背景を理解する必要があります。ゼロトラストネットワークアクセスは、以前はSD(Software-Defined)境界と呼ばれていましたが、最近はユーザもアプリケーションもオフネットワークになる場合が多くなり、ユーザをアプリケーションやデータに接続する方法を模索する企業が増えていることから、注目されるようになりました。これをデジタルで可能にするには、システム、サービス、API、データ、プロセスを、時間や場所を問わず、インターネットのあらゆるデバイスからアクセスできるようにする必要があります。これを安全に可能にするため、組織は、ZTNAを利用することで、攻撃者からサービスを保護しつつ、コンテキストに合わせて必要なアクセスを過不足なく提供するようになっています。ZTNAには、ユーザエクスペリエンス、アジリティ、適応性、容易なポリシー管理という点で大きなメリットがあり、クラウド提供型のZTNAには、スケーラビリティと導入の容易さという付加的メリットがあります。

ガートナー社が開発したZTNAは、VPNなどの従来のテクノロジを利用してアプリケーションやデータに接続する際に、従業員やパートナーに付与される過度の信頼を解消するモデルを提供します。ZTNAモデルは、「信頼できると証明されるまで何も信頼しない」という考えに基づき、信頼の確立後も、ユーザの場所、デバイス、アプリケーションなどのコンテキストが変化するたびに信頼を継続的に再評価する必要があります。

 

ゼロトラストネットワークアーキテクチャの2つのアプローチ

ZTNAの提供にあたっては、エンドポイントを起点とするZTNAとサービスを起点とするZTNAという2つの異なるアーキテクチャがあります。エンドポイントを起点とするゼロトラストネットワークアーキテクチャは、エンドポイントまたはエンドユーザがアプリケーションへのアクセスを開始することを意味します。このアプローチは、当初のSDP(Software-Defined Perimeter)仕様に最も近いモデルです。このモデルでは、エージェント(軽量のソフトウェアアプリケーション)がエンドユーザデバイスにインストールされ、エージェントがコントローラと通信し、コントローラがユーザを認証することで、アクセスが許可されたアプリケーションへの接続がユーザに提供されます。エンドポイントを起点とするZTNAは、何らかのエージェントやローカルソフトウェアをインストールする必要があるため、管理対象外デバイスへの実装は不可能ではないものの困難です。

サービスを起点とするゼロトラストネットワークアクセスアーキテクチャでは、ZTNAブローカがユーザとアプリケーションの間の接続を開始します。このモデルでは、軽量のZTNAコネクタが、顧客のデータセンタやクラウドに置かれたビジネスアプリケーションの前に存在し、要求されたアプリケーションからZTNAサービスブローカへのアウトバウンド接続を確立します。アプリケーションにアクセスしようとするユーザがプロバイダによって認証されると、トラフィックがZTNAサービスプロバイダに渡され、プロキシがアプリケーションをダイレクトアクセスから隔離します。サービスを起点とするZTNAのメリットは、エンドユーザデバイスにエージェントが不要である点にあり、管理対象外(BYOD)デバイスや、パートナーや顧客のアクセスに適したアプローチと言えます。サービスを起点とするZTNAサービスであっても、ブラウザベースでWebアプリケーションにアクセスできるものがあります。

ゼロトラストネットワークアクセスの2つの提供モデル

エンドポイントを起点とするゼロトラストネットワークアクセスアーキテクチャとサービスを起点とするゼロトラストネットワークアクセスアーキテクチャは、お客様がZTNAをスタンドアロン製品として導入するか、サービスとして導入するかという点が異なります。ガートナーは、サービスベースモデルを推奨しており、以下の簡単な説明を参考にすることで、それぞれのZTNA戦略に最適な選択が可能になります。

 

スタンドアロン製品としてのZTNA

スタンドアロンZTNAの場合、顧客が製品のすべての要素を展開し、管理する必要があります。さらには、IaaSクラウドプロバイダが自社の顧客に対し、ZTNA機能を提供している場合もあります。ZTNAは、データセンタあるいはクラウドのどちらであっても、環境のエッジに置かれ、ユーザとアプリケーションの間のセキュア接続を仲介します。

 

メリットとデメリット:

  • お客様が100%の所有者として、ZTNAインフラストラクチャを導入、管理、メンテナンスする必要がある​​​
  • クラウドに前向きではない企業に適したスタンドアロンのソリューション
  • 一部のベンダはスタンドアロンとクラウドサービスの両方のZTNAをサポートしている
エンドポイントを起点とするZTNAの概念モデル

クラウドサービスとしてのZTNA

もう1つは、サービスとしてのZTNAというオプションです。クラウドホスティング型のZTNAでは、顧客がベンダのクラウド環境を利用してポリシーを適用します。この方法では、顧客である企業がユーザライセンスを購入し、すべての環境でアプリケーションのフロントエンドとなる軽量のコネクタを展開し、顧客が必要とする接続、容量、環境をベンダが提供します。ユーザとアプリケーションの間の仲介された「内側から外側」への接続によってアクセスが確立されるため、アプリケーションアクセスがネットワークアクセスから分離され、IPがインターネットに公開されることはありません。

 

メリットとデメリット:

  • お客様がインフラストラクチャを用意する必要がないため、容易に導入できる
  • クラウドサービスZTNAでは、ITの管理が簡素化される。単一の管理ポータルで管理でき、ZTNAクラウドサービス経由で適用される。
  • クラウド提供型のZTNAは、トラフィックの最適パスがグローバルで選択されるため、すべてのリモートユーザとローカルユーザに最速アクセスが保証される。
エンドポイントを起点とするZTNAの概念モデル

クラウド提供型サービスで、ソフトウェアパッケージをオンプレミスで展開できるものもあります。このソフトウェアは、お客様が提供するインフラストラクチャで動作しますが、ZTNAサービスの一部として提供され、ZTNAベンダによって管理されます。オンプレミスZTNAの詳細を参照してください。

お客様からいただくご意見などから判断すると、スタンドアロンよりサービスを選択するお客様が増えており、ガートナーの推定によると、90%以上の顧客がaaS(as-a-service)を選択しています。

ガートナーのZTNAの市場ガイド、2020年6月8日

ゼロトラストネットワークアーキテクチャの導入にあたってのガートナーの推奨事項

ガートナーが最近発表した「ゼロトラストネットワークアクセス市場ガイド」で、Steve Riley氏、Neil MacDonald氏、Lawrence Orans氏は、ZTNAソリューションを選択する際に組織が考慮すべきいくつかの要素を概説しています。

  1. エンドポイントエージェントのインストールするようベンダが要求しているか?どのようなOSに対応しているか?サポートしているモバイルデバイスは何か?他のエージェントが存在する場合も、そのエージェントは問題なく動作するか?
  2. そのソリューションは、Webアプリケーションのみをサポートしているのか? あるいは、従来型(データセンタ)アプリケーションにも同じセキュリティのメリットが提供されるのか?
  3. ZTNA製品の中には、部分的または全体的にクラウドベースのサービスとして提供されるものがある。これは、組織のセキュリティや提供される形態の要件を満たしているか?注:ガートナーは、サービスの導入ができるだけ簡単で、可用性が高く、DDoS攻撃からの保護が強化されるという点から、ZTNAをサービスとして提供するベンダを優先するよう推奨している。

     

  4. 分離されたアプリケーションのセキュリティ要件の一部である、部分的または全体的なクローキング、またはインバウンド接続の許可または禁止の程度はどれ位か?

     

  5. トラストブローカがサポートしている認証標準は何か?オンプレミスのディレクトリやクラウドベースのアイデンティティサービスと統合できるか?トラストブローカは組織の既存のIDプロバイダと統合されるか?

     

  6. ベンダの入口ポイントと出口ポイント(エッジロケーションまたはプレゼンスポイントと呼ばれる)は地理的にどれ位分散しているか?

     

  7. ユーザとデバイスが認証に通った後に、トラストブローカがデータパスに引き続き常駐するか?

     

  8. そのソリューションは、UEM(統合エンドポイント管理)プロバイダと統合されるのか? あるいは、ローカルエージェントがアクセス決定の要素としてデバイスの正常性やセキュリティ状態を判断できるのか?そのZTNAベンダはどのようなUEMベンダと提携しているのか?

    ガートナーが推奨するゼロトラストネットワークアーキテクチャの理解: