VPNの脆弱性に関する不安が広がっています。ZPAの60日間無料トライアルを利用して、VPNからの移行のメリットをお確かめください。

エキスパートに相談する

ゼロトラスト アーキテクチャーとは

ゼロトラスト アーキテクチャーはゼロトラスト セキュリティ モデルに基づき、ネットワークの攻撃対象領域の縮小、脅威のラテラル ムーブメントの防止、データ侵害のリスクの軽減に向けて構築されたセキュリティ アーキテクチャーです。このモデルでは、境界の内側にあるすべてのデバイスとユーザーが信頼され、広範囲にわたってアクセス許可が付与される従来型の「ネットワーク境界」アプローチの代わりに、最小特権のアクセス制御、きめ細かなマイクロセグメンテーション、そして多要素認証(MFA)が採用されます。

ゼロトラスト アーキテクチャーの7つの要素
見る

ゼロトラスト アーキテクチャーとゼロトラスト ネットワーク アクセスの違い

ゼロトラスト アーキテクチャーについて掘り下げる前に、関連性の高いこれらの2つの用語の違いを整理しましょう。

  • ゼロトラスト アーキテクチャー(ZTA)は、隙のないアクセス管理、厳格なデバイスとユーザーの認証、強力なセグメンテーションなどといった、ゼロトラストの原則をサポートする構造です。これは、ネットワーク内にあるものをデフォルトで信頼する「城と堀」のアーキテクチャーとは明確に異なります。
  • ゼロトラスト ネットワーク アクセス (ZTNA)は、ユーザー、ワークロード、データが従来の境界内に存在しない可能性がある場合にアプリやデータへの安全なアクセスをユーザーに提供します。これは、クラウドやハイブリッド ワークが普及した現代では一般的なゼロトラストのユース ケースになります。

両者を組み合わせることで、ゼロトラスト アーキテクチャーはZTNAの基盤を提供し、場所や時間やデバイスを問わず、組織のシステム、サービス、API、データ、プロセスにアクセスできるようになります。

ゼロトラスト アーキテクチャーのニーズ

過去数十年にわたり、多くの組織は複雑かつ広範囲にわたるハブ&スポーク型のネットワークの構築と再構成を行ってきました。こうした環境では、ユーザーや拠点からデータ センターへの接続は、プライベート接続で行われます。必要なアプリケーションにアクセスするには、ユーザーはネットワーク上に存在する必要があります。ハブ&スポーク型ネットワークは、「城と堀」のネットワーク セキュリティとして知られるアーキテクチャーを使用しており、VPNや「次世代ファイアウォール」などのアプライアンス スタックで保護されます。

このアプローチは、アプリケーションがデータ センターに存在する場合には効果的でしたが、クラウド サービスが普及し、データ セキュリティに関する懸念が増大するなか、組織の足を引っ張る存在となっています。

現在、アジリティーや競争力を高めるべく、多くの組織がクラウド テクノロジーやモバイル テクノロジー、AI、IoT、運用テクノロジー(OT)を導入しており、デジタル トランスフォーメーションが加速しています。ユーザーはあらゆる場所に存在するようになり、組織のデータはもはや自社のデータ センターだけに存在するものではなくなりました。コラボレーションや生産性維持のためには、ユーザーが場所や時間を問わずアプリケーションに直接アクセスできる必要があります。

トラフィックをデータ センターにルーティングすることでクラウド内のアプリケーションに安全にアクセスする方法は合理的ではありません。これこそ、組織がハブ&スポーク型モデルからクラウドへの直接接続を提供するゼロトラスト アーキテクチャーに移行している理由です。

こちらの動画は、セキュア デジタル トランスフォーメーションについて簡潔に説明したものです。

Zscalerの最高経営責任者
見る

ゼロトラストの核となる原則

ゼロトラストは、ユーザーのアイデンティティー、セグメンテーション、セキュア アクセスを組み合わせただけのものではなく、完全なセキュリティ エコシステムを構築するためのセキュリティ戦略です。その核となるのが以下3つの原則です。

  1. すべての接続の中断:従来のテクノロジー(ファイアウォールなど)に共通するパススルー検査とは違い、効果的なゼロトラスト アーキテクチャーでは、すべての接続を中断し、インライン プロキシ アーキテクチャーによってあらゆるトラフィック(暗号化されたトラフィックを含む)を宛先に到達する前にリアルタイムで検査します。
  2. きめ細かなコンテキストベースのポリシーによるデータの保護:ゼロトラストのポリシーでは、アクセス要求やアクセス権限を、ユーザーのアイデンティティー、デバイス、場所、コンテンツの種類、要求されたアプリケーションなどのコンテキストに基づいて検証します。ポリシーは適応性を備えているため、妥当性やユーザーのアクセス権はコンテキストの変化に応じて継続的に再評価されます。
  3. 攻撃対象領域の排除によるリスクの低減:ゼロトラスト アプローチでは、ユーザーは必要なアプリやリソースに直接接続し、ネットワークには接続しません(ZTNAを参照)。直接接続によってラテラル ムーブメントのリスクが排除され、侵害されたデバイスが他のリソースに感染することを防ぎます。さらに、ユーザーやアプリはインターネットから不可視化されており、発見されたり攻撃されたりすることはありません。

ゼロトラスト アーキテクチャーの5つの柱

ゼロトラストの5つの「柱」を最初に示したのは、米国サイバーセキュリティおよびインフラ セキュリティ庁(CISA)です。政府機関(およびその他の組織)がゼロトラスト戦略に求めるべき重要機能についての指針として提示されました。

この5つの柱の内容は以下のとおりです。

  • アイデンティティー:アイデンティティー管理は、最小特権アクセスのアプローチに移行すること。
  • デバイス:サービスおよびデータへのアクセスに使用するデバイスの整合性を担保すること。
  • ネットワーク:ネットワークのセグメンテーションと保護を、従来のネットワーク セグメンテーションで当然となっていた暗黙の信頼ではなく、アプリケーション ワークフローのニーズに応じて調整すること。
  • アプリケーションとワークロード:保護機能をアプリケーション ワークフローとより緊密に統合し、アイデンティティー、デバイス コンプライアンス、その他の属性に基づいてアプリケーションへのアクセスを提供すること。
  • データ:データ アセットの特定、分類、インベントリー作成から取りかかり、サイバーセキュリティをデータ中心のアプローチに移行すること。

各機能の整備はそれぞれのスピードで進行し、成熟度にばらつきが出ることもあるため、どこかの時点でそれぞれの柱の間での調整(特に相互運用性と依存関係)を行い、整合性を担保する必要があります。これによりゼロトラストへの段階的な進化が可能になり、コストや労力を長期に分散させることができます。

ゼロトラスト アーキテクチャーの仕組み

ゼロトラストの土台となっているのは、「決して信頼せず常に検証する」というシンプルな考え方です。原則として、ネットワーク上に存在するものはすべて悪意を持っているか侵害されていると仮定します。ユーザーのアイデンティティー、デバイス ポスチャー、ビジネス コンテキストを検証し、ポリシー チェックを適用して初めてアプリケーションへのアクセスが許可されます。すべてのトラフィックのログの作成とインスペクションが必須となり、従来のセキュリティ制御では実現不能な水準の可視性が求められます。

真のゼロトラスト アプローチを実装するには、ユーザーをネットワークではなくアプリケーションに直接接続し、接続が許可またはブロックされる前に追加の制御を適用できるようにする、プロキシベースのアーキテクチャーが最適です。

ゼロトラスト アーキテクチャーでは、すべての接続が以下の3段階のプロセスを経たうえで確立されます。

  1. アイデンティティーとコンテキストの検証。ユーザー、デバイス、ワークロードまたはIoT/OTが接続をリクエストするたびに、基盤となるネットワークに関係なくゼロトラスト アーキテクチャーは最初に接続を終了し、「誰が、何を、どこで」リクエストしたかを把握することでアイデンティティーとコンテキストを検証します。
  2. リスクの制御。リクエスト元となるエンティティーのアイデンティティーとコンテキストが検証され、セグメンテーション ルールが適用されると、ゼロトラスト アーキテクチャーは接続リクエストに関連するリスクを評価します。また、サイバー脅威や機密データに関してもトラフィックを検査します。
  3. ポリシーの適用。最後に、ユーザー、ワークロード、デバイスのリスク スコアが算出され、許可するか制限するかを判断します。許可された場合、ゼロトラスト アーキテクチャーによって、インターネットやSaaSアプリ、IaaS/PaaS環境への安全な接続が確立されます。

Zscalerの新興技術担当主任であるNathan Howeが、効果の高いゼロトラスト アーキテクチャーに必須の要素についてこちらの動画で詳しく解説しています。

ゼロトラスト アーキテクチャーのメリット

ゼロトラスト アーキテクチャーは、マルウェアやその他のサイバー攻撃からユーザーとデータを保護しつつ、現代のビジネスを求められるスピードに求められる正確かつコンテキストに応じたユーザー アクセスを提供します。ZTNAの基盤として、効果的なゼロトラスト アーキテクチャーは以下をサポートします。

  • 従業員やパートナーを含め、リモート ワーカーが場所を問わずデータやアプリケーションに安全かつ高速にアクセスできるようにし、ユーザー エクスペリエンスを改善。
  • 信頼性の高いリモート アクセスを提供しつつ、VPNなどの従来型のテクノロジーよりも簡単かつ一貫した方法でセキュリティ ポリシーを管理、実行。
  • 暗号化や認証などの厳格なセキュリティ制御により、オンプレミスやクラウド環境内、転送中または保存中の機密データアプリケーション保護
  • ネットワーク境界内のユーザー、デバイスにデフォルトで暗黙的な信頼を与えないことで、内部の脅威を阻止
  • きめ細かなアクセス ポリシーにより、リソース レベルでラテラル ムーブメントを制限し、侵害の可能性を低減
  • 成功してしまった侵害に関し、より迅速かつ効果的な検出、対応、回復を行うことで影響を軽減。
  • ユーザーとエンティティーのアクティビティーの内容やタイミング、方法ならびに場所をより深く可視化し、セッションや実行されたアクションの詳細な監視とログを実現。
  • 詳細な認証ログ、デバイスとリソースの正常性チェック、およびユーザーとエンティティーの動作分析などを使用し、リアル タイムでリスクを評価

(アメリカ国立標準技術研究所(NIST)特別出版物「Implementing a Zero Trust Architecture」から翻案)

ゼロトラスト アーキテクチャーが従来のセキュリティ モデルと比べて優れている点

ゼロトラスト アーキテクチャーは、プロアクティブで適応性を備えたデータ中心のアプローチによって、従来のセキュリティ モデルより優れた効果を発揮します。従来のモデルは境界による防御に依存していますが、ゼロトラストでは脅威がネットワークの外部だけでなく内部にも存在することを前提に、ユーザーおよびデバイスのアイデンティティーとセキュリティ態勢を継続的に検証します。

ゼロトラストでは、きめ細かな最小特権アクセス制御を適用することにより、ユーザーとデバイスに必要最小限のアクセスのみを許可します。また継続的なモニタリング、MFA、行動分析により、脅威をリアルタイムで検出し、攻撃の被害を未然に防ぎます。この適応性はゼロトラストのアジリティーをいっそう高めており、現在のリモート ワークやクラウド主導の世界に必ずつきまとう膨大な攻撃対象領域や新たな脆弱性から組織を守るうえで、従来のモデルより適したものになっています。

ゼロトラストが保護するのはネットワークではなくデータであり、データの場所(ネットワーク、クラウド、リモート デバイス、クラウドなど)を問わず保護を適用できるという点が非常に重要です。

真のゼロトラスト アーキテクチャー:Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™は、最小特権アクセスの原則と、どのユーザー、ワークロード、デバイスも本質的に信頼できないという考えの上に構築された、統合されたクラウド ネイティブなプラットフォームです。アイデンティティーをはじめ、デバイスの種類、場所、アプリケーションやコンテンツなどのコンテキストに基づいて、ゼロトラスト アクセスを付与します。また、ネットワークや場所を問わず、ユーザーやワークロード、デバイス間の安全な接続をビジネス ポリシーに基づいて仲介します。

Zero Trust Exchangeは、以下の点において組織をサポートします。

  • インターネットの攻撃対象領域脅威のラテラル ムーブメントの排除。ユーザー トラフィックがネットワークに接続されることはありません。代わりに、ユーザーは1対1で暗号化されたトンネルを経由してアプリケーションに直接接続し、検出や標的型攻撃を防げます。
  • ユーザー エクスペリエンスの向上。データを処理センターにバックホールする「フロント ドア」を備えた、静的な従来型のネットワーク アーキテクチャーとは異なり、Zero Trust Exchangeは、任意のクラウドまたはインターネットの宛先へのダイレクト接続をインテリジェントに管理、最適化し、適応型ポリシーと保護を可能な限りユーザーに近いエッジでインラインで施行します。
  • 主要なクラウド、アイデンティティー、エンド ポイント保護、SecOpsプロバイダーとシームレスに統合当社の包括的なプラットフォームは、中核となるセキュリティ機能(SWG、DLP、CASB、ファイアウォール、サンドボックスなど)と、ブラウザー分離、デジタル エクスペリエンス モニタリング、ZTNAなどの新興のテクノロジーを組み合わせ、機能を網羅したクラウド セキュリティ スタックを提供します。
  • コストと複雑さの削減。Zero Trust Exchangeは、VPNや複雑なネットワーク境界でのファイアウォール ポリシーを必要とせず、展開と管理が簡単です。
  • 一貫したセキュリティを大規模に実現。Zscalerは、世界中の150か所を超えるデータ センターに分散された世界最大のセキュリティ クラウドを運用し、ピーク時には2,400億件を超えるトランザクションを処理し、毎日84億件の脅威をブロックしています。

真のゼロトラストを体験しましょう。Zscaler Zero Trust Exchangeの詳細はこちら

おすすめのリソース

よくある質問

ゼロトラストと

ゼロトラストは、どのユーザーやアプリケーションもデフォルトで信頼されるべきではないとするセキュリティ フレームワークです。ゼロトラスト アーキテクチャーは、コンテキスト(例:ユーザーのアイデンティティーや場所、エンド ポイントのセキュリティ態勢、リクエストされているアプリまたはサービスなど)に基づいて信頼を確立し、各ステップでポリシーのチェックを行う最小特権のアクセス制御を適用します。既知の個人ユーザーからのリクエストであっても、厳密な認証プロセスを通過するまでアクセスは許可されません。

ゼロトラストがセキュリティの未来を担う存在であると言われるのはなぜですか?

ゼロトラストがセキュリティの将来を担う存在であると言われる背景には、クラウド コンピューティングやリモート ワークの台頭と、それに伴う従来のセキュリティ境界の信頼性低下があります。ゼロトラスト アーキテクチャーは、厳格なアクセス制御、継続的なモニタリング、データ中心のセキュリティによって、現代の流動的なビジネス環境に対応し、内部脅威や現在の高度なサイバー攻撃技術に対してより強力かつ適応性に優れたプロアクティブな防御を提供します。

ゼロトラスト セキュリティを実装するにはどうすればよいですか?

ゼロトラスト セキュリティの導入には時間がかかりますが、現代の組織が生き残り発展を遂げるうえでは必要不可欠です。Zscalerでは、ゼロトラスト化への道のりを4つの段階に分けて考えています。

  1. 従業員の環境を整備し、保護する
  2. クラウド ワークロード内のデータを保護する
  3. IoT/OTセキュリティを近代化する
  4. 顧客とサプライヤーを安全に結び付ける

これらに1つずつ取り組み、ネットワークとセキュリティを変革することで、ユーザー、デバイス、アプリケーションをあらゆるネットワークで安全に接続するゼロトラスト アーキテクチャーを実現できます。

詳細については、このテーマを掘り下げた記事「ゼロトラストを実装するには」でご確認ください。