リソース > セキュリティ用語集 > ゼロトラストネットワークアーキテクチャとは

ゼロトラストネットワークアーキテクチャとは?

ゼロトラストネットワークアーキテクチャとは?

基本的に、ゼロトラストネットワークアーキテクチャは、Forrester ResearchのJohn Kindervag氏が最初に発案した ゼロトラスト アプローチの核心にある考え方に基づいて、ネットワークの攻撃対象を減らし、脅威の横方向への移動を防ぐために構築されたセキュリティアーキテクチャです。

ゼロトラストセキュリティモデルでは、「ネットワーク境界」(その内側では、すべてのデバイスとユーザが信頼できるとみなされ、広範なアクセス許可が与えられています)という考え方を捨てています。その代わりに、利用者の機密データは、最小権限のアクセス制御、きめ細かなマイクロセグメンテーション、多要素認証(MFA)によって保護され、ユーザやデバイスに暗黙の信頼を与えることはありません。このように、アクセス管理を大幅に強化することで、企業のデータ漏えいのリスクを大幅に低減することができます。

さまざまな ゼロトラストアーキテクチャを詳しく見る前に、ネットワークセキュリティフレームワークとしての ゼロトラストネットワークアクセス (ZTNA) の背景をまとめておきます。初期の段階では Software-Defined Perimeter (SDP)と呼ばれていたZTNAが普及したのは、ユーザやアクセスしたいアプリケーションやデータが従来のセキュリティ境界内にない場合でも、企業はユーザにアプリケーションやデータへの安全なアクセスを提供する必要があったからです(従来のファイアウォールではこれはできません)。リモートワーカーが増えている現在、これは特に重要になっています。この安全なアクセスを可能にするために、企業は、システム、サービス、API、データ、およびプロセスを、インターネット上のあらゆるデバイスから、時と場所を選ばずアクセスできるようにする必要があります。

ゼロトラストネットワークアーキテクチャは、このために必要な正確でコンテクストのあるユーザアクセスを提供しますが、その間ハッカーやマルウェアからサービスを保護します。こうして、ユーザエクスペリエンスの改善、敏捷性と適応性の向上、ポリシー管理の簡素化を実現しています。クラウドベースのZTNAは、大規模なスケーラビリティや導入のしやすさなど、さらに多くの魅力を備えています。

Gartnerは、 ZTNAを、VPNなどの従来の技術を用いてアプリケーションやデータに接続する際に従業員やパートナーに与えられる過剰な信頼を解消するモデルを提供すると定義しています。ZTNAでは、信頼できることが証明されるまでは何も信用されません。また、信用された後でも、コンテキスト(ユーザの位置、デバイス、アプリケーションなど)の変化に応じて、信頼度がリアルタイムに再検証されます。

 

ゼロトラストネットワークアーキテクチャを導入するための2つのアプローチ

ZTNAの提供にあたっては、エンドポイントを起点とするZTNAとサービスを起点とするZTNAという2つの異なるアーキテクチャがあります。

ンドポイントを起点とするZTNAは、エンドポイントまたはエンドユーザがアプリケーションへのアクセスを開始するものです。このアプローチは、当初のSDP仕様に最も近いモデルです。エンドユーザのデバイスにインストールされたエージェント(軽量のソフトウェアアプリケーション)は、コントローラと通信し、コントローラがユーザのアイデンティティを認証することで、そのユーザにアクセスが許可されたアプリケーションへの接続が提供されます。エンドポイントが起点のZTNAは、何らかのエージェントやローカルソフトウェアをインストールする必要があるため、管理対象外のデバイス(特にIoTデバイス)への導入は困難、あるいは不可能な場合があります。

サービスを起点とするZTNAでは、ZTNAブローカがユーザとアプリケーション間の接続を開始します。このモデルでは、軽量のコネクタが、顧客のデータセンタやクラウドに置かれたビジネスアプリケーションの前に存在し、要求されたアプリケーションからブローカへのアウトバウンド接続を確立します。ユーザーがプロバイダによって認証されると、トラフィックはZTNAサービスプロバイダを通過し、プロキシ経由の直接アクセスからアプリケーションを隔離します。このアプローチでは、エンドユーザのデバイス上にエージェントを必要としないため、管理対象外デバイス(BYOD)のセキュリティ確保や、パートナーや顧客へのアクセス権の付与に有効です。サービスを起点とするZTNAサービスの中には、Webアプリのためにブラウザベースのアクセスを使用できるものがあります。

ゼロトラストネットワークアクセスの2つの提供モデル

エンドポイント起点 とサービス起点のアーキテクチャの違いを超えて、ZTNAをスタンドアロン製品またはサービスとして採用することができます。Gartnerはサービスベースのモデルを推奨していますが、それぞれのアプローチには独自の特徴があります。最終的には、利用する組織固有のニーズ、セキュリティ戦略、エコシステムによって最適な選択が決まります。

スタンドアロン製品としてのZTNA

スタンドアロンZTNAの場合、お客様が製品のすべての要素を展開し、管理する必要があります。このインフラは、データセンタあるいはクラウドのどちらであっても、お客様の環境のエッジに設置され、ユーザとアプリケーション間の安全な接続を仲介します。また、クラウドインフラストラクチャ・アズ・ア・サービスのプロバイダーの中には、ZTNAの機能を提供しているところもあります。

特徴

  • お客様がZTNAのインフラの導入、管理、メンテナンスを100%コントロール
  • 一部のベンダーはスタンドアロンとクラウドサービスの両方のZTNAをサポート
  • クラウドに前向きでない企業には、スタンドアロンでの展開が適切
エンドポイントを起点とするZTNAの概念モデル

クラウドサービスとしてのZTNA

クラウドサービスとしてのZTNAでは、ベンダのクラウドインフラを利用してポリシーを適用します。ユーザライセンスを購入し、すべての環境でアプリケーションの前に設置される軽量のコネクタを展開し、ベンダが接続、容量、インフラを提供します。ユーザとアプリケーションの間の仲介された「内側から外側」への接続によってアクセスが確立されるため、アプリケーションアクセスがネットワークアクセスから分離され、IPがインターネットに公開されることはありません。

特徴

  • インフラを必要としないため、導入が容易です。
  • 管理はシンプルで、クラウドサービスを介してグローバルに適用するための管理ポータルは1つです。
  • 自動化により、世界中のすべてのユーザに最も迅速にアクセスできる最適なトラフィック経路が選択されます。
エンドポイントを起点とするZTNAの概念モデル

 

クラウド提供型サービスの中には、ソフトウェアパッケージをオンプレミスで展開できるものもあります。ソフトウェアはお客様のインフラ上で動作しますが、サービスの一部として提供され、ベンダによって管理されます。

オンプレミスZTNAの詳細を参照してください。

お客様からいただくご意見などから判断すると、スタンドアロンよりサービスを選択するお客様が増えており、ガートナーの推定によると、90%以上の顧客がaaS(as-a-service)を選択しています。

Gartner『ゼロトラストネットワークアクセスに関するマーケットガイド』2020年6月8日

ゼロトラストネットワークアーキテクチャの導入に際するGartnerの推奨事項

Gartnerの2020年『ゼロトラストネットワークアクセスに関するマーケットガイド』では、ZTNAソリューションを選択する際に組織が考慮すべきいくつかの要素を概説しています。ここでは、関連性の高いものをまとめておきます:

  1. ベンダーはエンドポイントエージェントのインストールを要求しているか?そうであれば、他のエージェントが存在する場合に、そのエージェントはどのように動作するか?対応するOSやモバイル端末は?
  2. その製品はWebアプリケーションだけをサポートするのか、それともレガシー(データセンター)アプリケーションもサポートするのか?
  3. サービス提供方法は、お客様のセキュリティやデータレジデンシーの要件を満たしているか?
  4. 分離されたアプリケーションのセキュリティ要件の一部である、部分的もしくは全体的クローキング、またはインバウンド接続の許可若しくは禁止がどの程度含まれているのか?
  5. トラストブローカーがサポートしている認証標準は何か?オンプレミスのディレクトリやクラウドベースのアイデンティティサービスとの統合は可能か?既存のIDプロバイダーとの統合は可能か?
  6. 世界各地にあるベンダーの拠点は、地理的にどれくらい分散しているか?
  7. ユーザとデバイスが認証を通過した後、トラストブローカーはデータパスに残るのか?
  8. 統合エンドポイント管理プロバイダーとの統合や、ローカルエージェントがデバイスの健全性やセキュリティの状態をアクセスの判断に反映させることができるか?そのZTNAベンダはどのようなUEMベンダーと提携しているのか?

    Gartnerが推奨するゼロトラストネットワークアーキテクチャの理解