ZTNA:ゼロトラストネットワークアクセス

ゼロトラストセキュリティの進化と5つの重要な要素

ゼロトラストセキュリティとは?

ゼロトラストセキュリティの出発点は、すべてのアクセスを制御して、デフォルトでアクセスを拒否することです。ゼロトラストは、「脅威がすでにネットワーク内に侵入してアカウントやデバイスにアクセスできる」ことを前提とした、絶対的な信頼に基づかないセキュリティ管理です。

かつては、ほとんどの組織が企業ネットワークを信頼し、従業員はオンプレミスのワークステーションやVPNを介してリモート接続していました。外部からの接続は信頼できないが、ネットワークへのアクセスが許可されているアカウントは信頼できるものとみなされていました。この考え方は、今日の分散されたIT環境では、もはや有効ではありません。ゼロトラストは、ネットワーク境界内のどのエンティティも絶対的に信頼できるものではないという考え方に基づきます。

テレワークへの移行やサプライチェーン攻撃の増加など、最近のセキュリティ環境の変化が、ゼロトラストの必要性に拍車をかけています。これまで信頼されていた組織内の従業員やIT管理コンポーネントなどが、今は攻撃者の足掛かりとなる標的となっています。このため、ゼロトラストセキュリティモデルとそれを支える技術ソリューション、特にゼロトラストネットワークアクセス(ZTNA)の採用が必要になっています。

ゼロトラストセキュリティを導入する理由?

従来のセキュリティ技術は、物理的な場所を信頼の基準としていました。つまり、出社した従業員が、IDチェックを受けて職場に入り、正規の認証情報を入力してネットワークに接続することで、絶対的な信頼が確保されていました。組織およびそのネットワークの境界内にあるものはすべて信頼できるが、それ以外はすべて脅威とみなされていました。

現在の脅威は、ネットワークに侵入し、横方向に移動しています。攻撃者は、ユーザーアカウントを侵害し、それを足掛かりにして、境界線内のシステムに侵入し、その他のアカウントやシステムへアクセス範囲を広げていきます。ソーシャルエンジニアリング、マルウェア、社内の脅威が、ネットワークの境界線を突破して攻撃を仕掛け、絶対的な信頼に基づくモデルを侵害しています。

攻撃者が社内に潜んでいる可能性は、以前から指摘されていましたが、現代のIT環境では、これがより深刻な問題となっています。また、クラウドサービス、モバイルアプリケーション、テレワークの導入により、従来の境界線に基づくセキュリティモデルがさらに脆弱になっています。

関連コンテンツ:ゼロトラスト原則に関するガイド

ゼロトラストセキュリティの採用要因

ここでは、ゼロトラストセキュリティモデルの採用の要因となっている、現代のIT環境のいくつかの傾向について説明します。

クラウドの採用

当初、クラウドへの移行には重大なセキュリティ課題が伴いました。社内での管理が疎かになることを懸念して、ITインフラを第三者に外注することが躊躇されました。

しかし今日、機密性の高いミッションクリティカルなワークロードもクラウドに移行されています。特にCOVID-19をきっかけに、クラウドの採用が増え続けています。調査によると、ほとんどの企業がテレワークへの移行に伴い、クラウドの利用を増やしています。

クラウドコンピューティングが、企業のアクセスとセキュリティの様相を変えています。インフラの分散により、周辺機器やエンドポイントに基づく、セキュリティ技術がもはや通用しなくなっています。アプリケーションが企業ネットワークでホストされておらず、サーバも組織の管理外にあり、ファイアウォールでSaaSアプリケーションを保護できません。セキュリティとアクセス制御を、データ、ユーザー、デバイスがある場所に導入する必要があります。

BYOD

BYODとは、従業員が私物の端末を職務に使用することを許可する方針を意味します。BYODには、Eメール送受信、企業ネットワークへの接続、企業アプリケーションやデータへのアクセスなどが含まれます。

私物の端末には、ノートパソコン、スマートフォン、その他のモバイルデバイス、およびUSBメモリや外付けハードドライブなどのストレージが含まれます。BYODは、従業員(使い慣れた私物の端末による生産性向上)と企業(ハードウェア購入維持コスト削減)の双方にとって大きなメリットがあります。しかし、BYODは重大なセキュリティリスクをもたらします。

BYODを導入する企業は、私物の端末を使用するユーザーを認証し、アクセス要求の状況に応じて評価を行う、堅牢な方法を講じる必要があります。例えば、職場ではワークステーションから午後2時に接続していたユーザーが、午前3時に私物の端末から接続している場合などは注意が必要です。

ゼロトラストは、BYODのユースケースに非常に適しています。管理に伴う間接費を削減しながら、アプリケーションへの綿密かつ安全なリモートアクセスを提供します。ゼロトラストネットワークアクセス(ZTNA)は、私物デバイスのセキュリティ、管理、ユーザー環境の課題に対応する、セキュリティソリューションです。

最新のモビリティ

今日、職場以外のどの場所でも働くことができるようになっています。従業員が勤務時間外に仕事をすることも当たり前になっています。これにより、生産性は向上しますが、セキュリティとアクセスが複雑化しています。

企業ネットワークの境界を越えて、脅威とみなされるネットワークにアクセスしている従業員が攻撃者の標的になっています。企業リソースへ安全にリモートアクセスするには、何が必要なのでしょうか?

一般的には、仮想プライベート・ネットワーク(VPN)、リモートデスクトップサービス(RDS)、仮想デスクトップインフラ(VDI)、DaaS(Desktop as a Service)などのリモートアクセスサービスが利用されています。しかし、これらのソリューションは、モバイル優先の環境には適合していないため、セキュリティを十分に確保できません。

ZTNAなどのゼロトラストソリューションは、リモートアクセスの制御および標準化に役立ちます。一方で、扱いにくい仮想デスクトップなど、特定のインターフェースに束縛されずに、いつでもどこからでもネットワークにアクセスできる柔軟性を従業員に提供します。従業員のスマート認証により、リスクのある状況での機密リソースへのアクセスを制限できます。

ゼロトラストセキュリティアーキテクチャの主な5つの構成要素

ゼロトラストの提唱者は、ゼロトラストは技術ではなく、枠組みであることを強調しています。組織に応じて、ゼロトラストの導入方法は異なりますが、ゼロトラストに必須な要素として、5つの共通する技術コンポーネントがあります。

1ゼロトラストネットワークアクセス(ZTNA)

ZTNAソリューションは、企業ネットワーク全体にゼロトラスト戦略を導入および適用することを目的としています。ユーザーが職務遂行のためにアクセスが必要な場合のみ、組織のシステムやアプリケーションへの接続が許可されます。

ZTNAのいくつかの形態:

  • ゲートウェイ統合 – ZTNAの機能をネットワークゲートウェイの一部として導入できます。ネットワークの境界を越えるトラフィックが、定義されたアクセス制御ポリシーに従ってゲートウェイでフィルタリングされます。
  • SD-WAN – エンタープライズWAN全体にわたってネットワーキングを最適化。安全なSD-WANソリューションにより、完全なセキュリティスタックをネットワークインフラに統合して、ZTNA機能を導入できます。ZTNAビルトインSD-WANは、高度な一元化されたアクセス制御を提供します。
  • セキュアアクセスサービスエッジ(SASE) – SASEはセキュアWebゲートウェイ(SWG)、サービスとしてのファイアウォール(FWaaS)、クラウドセキュリティアクセスブローカー(CASB)、ZTNAを含む、広範なソリューションです。SASEは、企業ネットワーキングの包括的なソリューションを提供し、ゼロトラストモデルを強力にサポートします。

2 多要素認証

MFAは、アクセスを許可する前に、複数の認証により、ユーザーの身元を検証します。MFAには、セキュリティ質問、Eメールによる検証、テキストメッセージ、セキュリティトークン、生体認証などが含まれます。ネットワークへのトラフィックとネットワーク内の接続の両方において、すべてのアクセスポイントへのMFA導入が、ゼロトラストの基盤となります。

3リアルタイムモニタリング

リアルタイムモニタリングは、ネットワークを継続的に評価して、侵入を検出し、内部システムが侵害された場合の被害を軽減します。効果的なモニタリングにより、アプリケーションやデバイスに侵入した攻撃者の横方向への移動を制限し、「ブレークスルータイム」(特権昇格に必要な時間)を抑えることができます。

ゼロトラストモニタリング戦略には、一般的には行動プロファイリングや異常の検出に基づくコンポーネント自動化、およびセキュリティ分析によるインシデントの迅速な選別と対応を含む必要があります。

4マイクロセグメンテーション

ゼロ トラストのもうひとつの重要な側面は、ネットワークのマイクロセグメンテーションです。マイクロセグメンテーションは、ネットワーク内に隔離された境界を設けて、各境界内でのみ接続を許可し、境界間のアクセスはブロックする機能です。つまり、ネットワークへのアクセスを許可されたユーザやエンティティの行動が特定の隔離スペースに限定され、横方向への移動や別のシステムへのアクセスが制限されます。

ゼロトラストソリューションによる、マイクロセグメンテーションの自動化および一元的な制御は、重要なポイントです。ゼロトラスト技術は、セキュリティポリシーの変更や現在のセキュリティ状況に応じて、マイクロセグメンテーションを動的に調整します。

5トラストゾーンとデフォルトのアクセス制御

TIC(Trusted Internet Connection)3.0は、外部ネットワーク接続管理の標準化を目的とする、米国連邦政府による最新のイニシアチブです。TICは、組織内のネットワークをトラストゾーンに分割し、ユーザーがゾーン内でデータを共有できるようにし、デフォルトのアクセス制御を一元的に定義し、ゾーン間のアクセスを禁止します。

すべてのネットワークトラフィックが暗号化され、すべてのシステムへのアクセスがゼロトラストソリューションによって一元的に制御されている場合のみ、トラストゾーンを利用できます。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。