ZTNA:ゼロトラストネットワークアクセス

ZTNA:ゼロトラストネットワークアクセス

ZTNA(ゼロトラストネットワークアクセス)とは?

ゼロトラストネットワークアクセスは、SDP(ソフトウェア定義の境界)とも呼ばれる、オフィスまたは外出先からのアプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAの仕組みはシンプルです。明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限できます。

VPNに基づく従来のネットワークソリューションでは、許可されたユーザーが、同じサブネット上のすべてに暗黙的にアクセスできます。許可されていないユーザーのリソースへのアクセス防止を、パスワードのみに頼っています。ZTNAは、これを革新します。ユーザーは、企業のセキュリティポリシーで明示的に許可された特定のアプリケーションやリソースのみに「アクセス」できます。

VPN-VS-ZTNA

ZTNAのユースケース

ZTNAには多くのユースケースがあります。ここでは、最も一般的なケースをいくつか紹介します。:

  • VPNの代替手段 – レガシーVPNよりも安全なモバイルおよびリモートユーザー接続。ZTNAは、より拡張性が高く、あらゆる場所で単一のセキュリティポリシーを提供し、ハイブリッドIT全体にわたって機能し、より細密なアクセスを提供します。ガートナー社は、60%の企業が2023年までにVPNからZTNAへ切り替ると予測しています。
  • サードパーティによるリスクの軽減 – 契約業者、ベンダー、その他のサードパーティに、特定の社内アプリケーションへのアクセスのみを許可。機密性の高いアプリケーションを非表示 – 許可されていないユーザーやデバイスには、アプリケーションが「表示されません」。ZTNAは、社内の脅威によるリスクを大幅に軽減できます。
  • 安全なM&A統合 – ZTNAは、M&Aを成功させるために必要な時間を短縮および管理を簡略化して、即座にビジネス価値を提供します。

ZTNAの仕組み?

ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。従来のネットワークは、信頼できるユーザーは社内、信頼できないユーザーは社外にいると想定した、安全面のネットワーク境界を想定しています。今日、この境界線はなくなっています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。

ZTNAにより、ユーザーのID、場所、デバイスの状態などに基づいて、アプリケーションアクセスを動的に調整できます。ZTNAは、管理対象および管理されていないデバイスの両方からの接続を許可してIDを検証し、オンプレミスのデータセンターやクラウドのIT資産へのアクセスを承認する、クラウドベースのサービスです。

ZTNA

ZTNAの4つの機能

ZTNAは、4つの重要な機能:

  • ID – ユーザーがリモートからアクセスする必要がある、すべてのシステム、アプリケーションおよびリソースをマッピングします。
  • 適用 – 特定のユーザーが特定のリソースへアクセスできる、あるいはできないアクセス条件ポリシーを定義します。
  • 監視 – リモートユーザーのリソースへのすべてのアクセス試行を記録および分析して、ビジネス要件に従ってポリシーを適用します。
  • 調整 – 設定ミスを修正。アクセス特権を増やす、または減らして、リスクと漏洩を最小限に抑え、生産性を最大限に高めます。

ZTNAのユーザーフロー

ZTNAのユーザーワークフロー:

  1. 安全なチャネルを介して、ユーザーはゼロトラストコントローラー(またはコントローラー機能)に接続し、それに対して認証します。 セキュリティを強化するためにMFA(多要素認証)が使用されます。
  2. コントローラーが必要なセキュリティポリシーを適用します。これにより、デバイスの証明書や最新のアンチウイルスの有無など、デバイスのさまざまな属性およびユーザーの位置情報などのリアルタイム属性がチェックされます。
  3. ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。

WHAT-IS-ZTNA

 

ZTNAの導入方法?

ZTNAの導入には、主に2つの方法があります。エージェントベースとサービスベースです。

エージェントベースのZTNA

エージェントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。このコンテキストには通常、位置情報、日付、時刻などの要素の他に、より詳細な情報(デバイスがマルウェアに感染しているか否かなど)が含まれます。コントローラーがデバイスのユーザーに認証情報の入力を指示します。

ユーザーとデバイスの両方が認証されると、コントローラーがゲートウェイを介してデバイスを接続します。ゲートウェイは、インターネットから直接アクセスされるアプリケーションおよび許可されていないユーザーやデバイスがアクセスするアプリケーションを保護します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

エージェントベースのZTNA概念モデルを下の図に示しています。

WHAT-IS-ZTNA
出典:ガートナー(2019年4月)、ID: 386774

 

サービスベースのZTNA

サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、シングルサインオンツールなどのID管理製品によって検証されます。アプリケーションのトラフィックは、プロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。

管理されていないデバイスからのアプリケーションへの接続およびアクセスを提供するのに適したオプションです。ユーザーのデバイスにエージェントは必要ありません。

サービスベースのZTNAの概念モデルを下の図に示しています。

WHAT-IS-ZTNA
出典:ガートナー(2019年4月)、ID: 386774

ZTNAとSASE

SASE(セキュアアクセスサービスエッジ)は、ZTNAのコントローラー機能がSASE PoPの一部に含まれているため、SDPコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーにはSASEの次世代ファイアウォール(NGFW)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

これだけではありません。ZTNAはSASE(セキュアアクセスサービスエッジ)のごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WANの最適化、プライベートバックボーンなどのネットワークサービスをバンドルして、これらの課題に対応しています。

SASEを採用することで、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート(一揃い)を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。

ゼロトラストソリューション:5つのソリューションカテゴリーとその選択方法

ゼロトラストソリューションは、ネットワークのアクセス制御とセキュリティ対策を統合した、ゼロトラスト原則を導入するセキュリティツールキットです。「安全性が検証されるまで、すべてのユーザーおよびエンティティ(実体)を信用しない」というのがゼロトラストの原則です。ゼロトラストネットワークの導入には、多くの場合、複数のツールやプロセスの組み合わせが必要です。

ゼロトラストの導入方法:5つのステップと導入チェックリスト

ゼロトラストセキュリティモデルにより、データおよびITリソースのセキュリティを向上させると同時に、エコシステムの可視化を拡張できます。ゼロトラストの導入には、一般的にはネットワークへのマイクロセグメンテーションの追加、多要素認証の追加、エンドポイントデバイスの検証など、最低5つのステップが含まれます。

ゼロトラストネットワーク:必要な理由と5つの開始ステップ

従来のネットワークセキュリティは、主に境界線の防護に基づいています。つまり、ネットワークへの侵入を阻止するために、ファイアウォールや不正アクセス検知/防御システム(IDS/IPS)などのシステムがネットワークの境界線に導入されます。ゼロトラストネットワークでも、これらのツールは引き続き使用されますが、企業ネットワーク内に既に侵入している攻撃者を排除する高度な手段が補完されます。

ゼロトラストセキュリティの進化と5つの重要な要素

リモートワークへの移行やサプライチェーン攻撃の増加など、最近のセキュリティ環境の変化が、ゼロトラストの必要性に拍車をかけています。ゼロトラストセキュリティの主な推進要因およびゼロトラストセキュリティスタックを構成する主な技術について説明します。

テレワークの保護:ゼロトラストアクセスの導入

Global Workplace Analyticsは、2021年末までに通勤者の25~30%が在宅勤務(週のうち何日か)になると予測しています。このため、従業員のリモートアクセスによる影響を考慮して、安全性の高いアクセスをすべてのリモートワーカーに迅速かつ容易に提供する調整が必要です。

ゼロトラスト原則:ゼロトラストとは?

ゼロトラストは、企業のサイバーセキュリティとネットワーク可視化を促進する機能として広く知られています。ゼロトラストは、IT資産へのアクセスをケースバイケースで適正なユーザーにのみ許可するという原則に基づいています。ここでは、ゼロトラスト原則と、ゼロトラスト戦略を組織に導入する方法について説明します。

ゼロトラストフレームワーク

ゼロトラストネットワークは、ゼロトラストセキュリティモデルを適用し、ロールベースのアクセス制御により、企業リソースへのアクセスをケースバイケースで許可または拒否します。ゼロトラストネットワークの展開には複数の段階が伴います。これには、「保護する攻撃対象」の特定、ネットワーク機能の決定、ゼロトラストポリシーを適用するマイクロセグメンテーションの導入などが含まれます。

ゼロトラストアーキテクチャとは?

ゼロトラストアーキテクチャは、細密なアクセス制御により、特定のリソースへのアクセスを明示的に許可されたエンドポイントのみを信頼する、ゼロトラスト原則に基づいています。ゼロトラストアーキテクチャは、インターネットベースのVPNアプライアンスによるリモートネットワークアクセスなど、従来の「城と堀」型のソリューションとは根本的に異なります。従来のソリューションでは、エンドポイントを認証すると、そこから同じネットワークセグメントのすべてにアクセスすることができます。これをブロックできるのは、アプリケーションレベルのセキュリティのみです。ゼロトラストアーキテクチャと仕組みについて、こちらをご覧ください。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。