ZTNA:ゼロトラストネットワークアクセス

ゼロトラストネットワーク:必要な理由と5つの開始ステップ

ゼロトラストネットワークとは?

ゼロトラストセキュリティモデルは、組織の内外を問わず、すべてのユーザーおよびエンティティを信頼しないことを原則とします。ネットワークの境界線ではなく、特定のシステムのマイクロペリメーターにそれぞれ独自のセキュリティポリシーが適用されます。各ユーザやエンティティには、それぞれのロールに必要な最小限のアクセスのみが許可されます。

従来のネットワークセキュリティは、主に境界線の防御に基づいています。つまり、ファイアウォールや不正侵入検知/防御システム(IDS/IPS)などのシステムをネットワークの境界線に展開して、ネットワークへの侵入を阻止します。これらのツールは、ゼロトラストネットワークにも引き続き使用されますが、すでに企業ネットワーク内にいる間に攻撃者を阻止するための高度な対策で補完されます。

ゼロトラストネットワークは、マイクロセグメンテーションにより、大規模な企業ネットワークを複数の小規模なネットワークに分割し、ネットワーク間での重複を最小限に抑えます。これにより、攻撃者がネットワークの一部を侵害した場合でも、他のシステムへの横方向の移動を阻止します。異常な行動を監査および特定するために、ネットワークへのトラフィックやネットワークセグメント間のトラフィックを監視して可視化する必要があります。

従来のネットワークセキュリティモデルの課題

ネットワークの境界内にあるエンティティを信頼する、従来のネットワークセキュリティモデルは、これまでにも支障がありましたが、近年のIT環境の変化により、問題が深刻化しています。テレワークの急増、クラウドリソースの利用拡大、IoT(モノのインターネット)デバイスなど、企業システムへのリモート接続が増えています。

企業ネットワークへのリモートアクセスは、もはや例外ではなく、一般化しています。リモートアクセスにより、内部のIPアドレスが脅威にさらされ、新たな攻撃対象になっています。攻撃者は、ソーシャルエンジニアリングを介してエンドユーザーのデバイスを簡単に侵害し、ネットワーク全体にアクセスする可能性があります。攻撃者は、設定ミスが生じやすいクラウドリソースやIoTデバイスを侵害して、ネットワークに侵入しています。

特に、仮想プライベートネットワーク(VPN)は、旧式の技術であり、セキュリティの確保や管理が困難です。多くの企業が、VPNが企業システムへのリモートアクセスを許可する有効な手段でなくなっていることを認識しています。

従来のネットワーク境界線が消失し、企業ネットワークの内外を問わず、ユーザーアカウントや接続をすべて信用せず、必ず検証するゼロトラストのコンセプトが注目を集めています。

ゼロトラストネットワークセキュリティの原則

ここでは、ネットワークのゼロトラストモデルへの移行に役立つ技術およびベストプラクティスについて説明します。

  • 最小特権アクセス – ネットワークのすべてのユーザーのアクセスを実際に必要なアプリケーションや機能にのみ許可します。これにより、システム間で横方向へ移動する攻撃を制限し、侵入による被害を軽減できます。
  • マイクロセグメンテーション – ネットワークをアクセス認証が異なる別々のネットワークセグメントに分割します。これにより、保護を補強して、ネットワークセグメントが侵害された場合に、別のネットワークセグメントへ移動する攻撃を阻止できます。
  • データ使用の制御 – 許可されたユーザーが、データを使用できる範囲を制限します。これにより、例えば財務部従業員の退職時に、財務データへのアクセス許可を動的に取り消すことができます。
  • 継続的な監視 – ユーザーやエンティティのデータおよびシステムとのやり取りを特定します。これにより、違反行為をセキュリティチームに通知できます。アラートや手動による対処だけでなく、監視をアダプティブセキュリティ管理に接続して、疑わしい行動への自動的な対処を行うことができます。

ゼロトラストネットワークソリューションのタイプ

ゼロトラストネットワークアクセス(ZTNA)は、ゼロトラストネットワーク導入の主要な技術ソリューションです。ガートナーは、ベンダーがZTNAソリューションの開発に使用すべき、2つのアプローチを特定しています:エンドポイント主導型ZTNAとサービス主導型ZTNA。

エンドポイント主導型ZTNA

このタイプのソリューションは、クラウドセキュリティアライアンス(CSA)のソフトウェア定義の境界(SDP)仕様に準拠する、初期のゼロトラストネットワーク標準です。一般的なプロセスは、以下のとおりです:

  1. エージェントを認証されたエンドユーザのデバイスにインストールし、セキュリティコンテキストに関する情報をコントローラに送信します。
  2. コントローラがデバイスのユーザに認証を要求し、許可されたアプリケーションのリストを返します。
  3. コントローラーがデバイスからゲートウェイを介した接続を提供し、インターネットへの直接アクセスによるサービス、サービス拒否(DoS)攻撃および公共のネットワークを介したその他の脅威から保護します。
  4. コントローラーが接続を確立すると、一部の製品がデータパスに残されます。その他の製品は自動的に削除され、デバイスとサービスが直接やり取りすることを許可します。

メリットとデメリット

このタイプのZTNAのメリットは、接続するデバイスのコンテキストに関する詳細な情報を提供することです。また、デバイスのヘルスチェックを行い、デバイスが更新されていること、マルウェアがスキャンされていることを確認することもできます。

デメリットは、マネージドデバイスのみが対象となることです。このため、私用デバイスへの導入は極めて困難です。BYOD(私用デバイス)ポリシーを採用している場合や従業員が自宅やモバイルデバイスからサービスにログインする場合などへの使用に限定されます。

場合によっては、ZTNAプロセスのエージェント機能を果たす、統合エンドポイントセキュリティ(UES)を私有デバイスに導入することで、この課題を解消できます。

サービス主導型ZTNA

このタイプは、Google BeyondCorpフレームワーク(Googleが組織にゼロトラストを導入するために作成したパターン)に合わせたソリューションです。 その仕組みは、以下のとおりです:

  1. アプリケーションと同じネットワークにインストールされたコネクタが、クラウドサービスプロバイダーへのアウトバウンド接続を確立および維持します。
  2. ユーザーがクラウドサービスに接続し、クラウドサービスが企業のID管理技術を介してユーザーを認証します。
  3. クラウドプロバイダーが、保護されたアプリケーションにアクセスするユーザ認証を確認します。
  4. 認証および認可された場合のみ、トラフィックがクラウドサービスからファイアウォールの背後にあるアプリケーションに送られます。

このアーキテクチャは、アプリケーションをプロキシを介した直接アクセスから隔離します。インバウンドトラフィックの企業ファイアウォールは必要ありません。ただし、サービスプロバイダーのネットワークに依存するため、プロバイダーが十分なレベルのセキュリティを提供していることを確認する必要があります。

メリットとデメリット

サービス主導型ZTNAのメリットは、各エンドユーザーデバイスにエージェントを必要としないため、管理されないデバイスには有効な方法です。

このソリューションのデメリットは、ZTNAソリューションの一部では、アプリケーションのプロトコルがHTTP/HTTPSに基づく必要があるため、Webアプリケーションに限定されることです。セキュアシェル(SSH)やリモートデスクトッププロトコル(RDP) などのプロトコルを使用するアプリケーションには対応していない場合があります。

ゼロトラストネットワークを構築する5つのステップ

ゼロトラストネットワークは、特定のハードウェアに依存せず、新しいセキュリティ手法に基づきます。既存のインフラを以下のようにゼロトラストネットワークに移行できます:

  1. 資産のインベントリを作成:ミッションクリティカルなアプリケーション、機密データ、知的財産などの企業資産の価値と脆弱性を評価し、資産のインベントリを作成します。
  2. アカウント、ユーザおよびデバイスの検証:多くの場合、なりすましデバイスや漏洩アカウントが侵害に利用されます。ゼロトラストを維持するには、デバイスやユーザのIDとプロパティを証明する必要があります(例えば、未知のデバイスが安全であることを確認)。検証は、多要素認証(MFA)、挙動分析、エンドポイントエージェント、デバイス基準の分析によって行われます。
  3. 許可されるワークフローの定義:通常のビジネスプロセスの一環として、アセットにアクセスするユーザー、アクセスを付与する時間、方法、理由を特定します。
  4. ポリシーの定義と自動化 – デバイス、場所、ソース、時間など、利用できるメタデータおよび最近の行動やMFAの結果などのコンテキストに基づいて、認証ポリシーを定義します。ZTNAは、これらのプロセスの自動化を支援します。
  5. テスト、監視、メンテナンス – 脅威モデルにより、アクセス制限すべき場所を特定し、最も関連する脅威を排除し、生産性への影響を最小限に抑えることができます。セキュリティチームが、デバイスの行動を継続的に監視して異常を検出し、新たな脅威を防止するポリシーを積極的に調整する必要があります。

Cato SASE Cloudによるゼロトラストネットワーク

Catoのゼロトラストソリューション、Cato SDPは、あらゆるデバイスからオンプレミスやクラウドアプリケーションへ安全にアクセスするゼロトラストネットワークを提供します。Catoクライアントまたはクライアントレスのブラウザアクセスで、強力な多要素認証を使用して、ユーザーを最寄りのCato PoPに安全に接続します。

Cato SASEプラットフォームに組み込まれるCato SDPは、以下の主な機能を提供します:

  • 拡張性:Cato SDP は、インフラを追加することなく、最適化された安全なアクセスを即座に拡張して、無制限数のユーザー、デバイス、場所をサポートできます。
  • アクセスと認証:Cato SDPは、多要素認証ときめ細かいアプリケーションアクセスポリシーを適用し、オンプレミスとクラウドの両方で承認されたアプリケーションへのアクセスを制限します。 ユーザーはネットワーク層にアクセスできないため、リスクが大幅に軽減されます。
  • 脅威を回避:Cato SDPは、すべてのトラフィックにディープパケットインスペクション(DPI)を適用して、脅威を継続的に回避します。脅威に対する保護を、オンプレミスまたはクラウドの両方で、インターネットやアプリケーションへのアクセスにシームレスに拡張します。
  • パフォーマンス:Cato SDPは、予測できない公共のインターネットではなく、グローバルなプライベートバックボーンを介してリモートユーザーをビジネスリソースにアクセスさせます。これにより、一貫した最適な環境をあらゆる場所のすべてのユーザーに提供します。

 

関連コンテンツ:SASE(Secure Access Service Edge)とは?

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。