ゼロトラストアーキテクチャとは?

ZTNA:ゼロトラストネットワークアクセス

ゼロトラストは、ネットワークセキュリティで最も注目されている機能のひとつです。しかし、その実態と実際の価値を見極めることが重要です。ゼロトラストに関する、多数の資料を利用できます。

今年初め、National Cybersecurity Center of Excellenceは、ゼロトラストアーキテクチャを導入する標準ベースのアプローチとして、Implementing a Zero Trust Architectureプロジェクトを発表しました。

ここでは、ゼロトラストの実態および企業のニーズを満たすソリューションを見極める方法について説明します。

ゼロトラストアーキテクチャとは? 速成です。

ゼロトラストは、「細密なアクセス制御を適用し、特定のリソースへのアクセスを明示的に許可されていない限り、どのエンドポイントも信頼しない」という原則に基づきます。ゼロトラストネットワークアーキテクチャとは、ゼロトラストの原則に基づき、ゼロトラストネットワークアクセス(ZTNA)実装を構築することです。

ゼロトラストアーキテクチャは、インターネットベースのVPNアプライアンスによるリモートネットワークアクセスなど、従来の「城と堀」型のソリューションとは根本的に異なります。従来のソリューションでは、認証されたエンドポイントから、同じネットワークセグメントのすべてにアクセスできるため、アプリケーションレベルのセキュリティでのみ脅威が回避されます。

つまり、従来のソリューションは、デフォルトでは内部ネットワークのすべてを信頼するモデルです。しかしながら、このモデルは現代のデジタルビジネスには当てはまりません。企業のネットワークが過去10年間、特にこの半年間でさらに大きく変化していることが、ゼロトラストが必要になっている理由です。

テレワークが一般的となり、重要なデータが複数のパブリッククラウド間でやり取りされ、BYOD(私物のデバイス)が使用されているため、WANの境界線がこれまで以上に変動しています。つまり、企業ネットワークの攻撃対象が拡大しており、侵入を防止するだけでなく、侵入が発生した場合に滞留時間や横方向への移動を制限することが必要になっています。ゼロトラストアーキテクチャは、マイクロセグメンテーションとデバイスのマイクロペリメーターにより、この課題に対応します。

ゼロトラストアーキテクチャの仕組み

ゼロトラストアーキテクチャの導入に利用できるさまざまなツールがありますが、National Cybersecurity Center of Excellenceの「Implementing a Zero Trust Architecture」プロジェクトは、4つの重要な機能を提唱しています。

その4つの機能とは、まず特定です。システム、ソフトウェアおよびその他のリソースのインベントリおよび分類、異常検出ベースラインの設定がそれです。
そして保護。認証と認可の取り扱い。保護機能には、ゼロトラストに基づくリソースIDの検証と設定、ソフトウェア、ファームウェア、ハードウェアの整合性チェックが含まれます。
次が検出です。異常やその他のネットワークイベントを特定する検出機能。ここで重要なのは、潜在的な脅威をプロアクティブに検出する、継続的なリアルタイム監視です。
最後が対応です。検出された脅威の封じ込め、被害を軽減します。

ゼロトラストアーキテクチャは、これらの機能とアプリケーションレベルの細密なアクセスポリシーを組み合わて、拒否をデフォルトとします。

これにより、以下のようなワークフローが確立されます:

  • 安全なチャネルを介して、MFA(多要素認証)により、ユーザーを認証
  • ユーザIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスを許可
  • セッションを継続的に監視し、異常や悪意のある行動を監視
  • 悪意のある行動が検出された場合、リアルタイムで脅威に対応
  • 企業内のすべてのユーザーおよびリソースに同じ汎用モデルを適用し、真のマイクロセグメンテーションを実現できる環境を構築。

SDPとSASEによる、ゼロトラストアーキテクチャの構築

ZTNA(ゼロトラストネットワークアクセス)/SDP(ソフトウェア定義の境界)は、安全なリモートアクセスのためのソフトウェア定義のアプローチです。SDPは、強力なユーザー認証、アプリケーションレベルのアクセス権およびユーザーセッション中の継続的なリスク評価に基づきます。このように、SDPにより、ゼロトラストアーキテクチャを容易に構築できます。

SDPをより大規模なSASE(セキュアアクセスサービスエッジ)プラットフォームの一部に含むことで、セキュリティやパフォーマンス面でさらなるメリットがもたらされます。SDPとSASEを組み合わせて、各拠点にアプライアンスを導入する手間を省き、公共のインターネットに依存するネットワークバックボーンによる予測不可能なイベントを回避できます。さらに、SASEにより、高度なセキュリティ機能がネットワークインフラ基盤に組み込まれます。つまり、SDPは、SASEの一部として、ゼロトラストアーキテクチャの可能性を最大限に高めます。また、ZTNAによるテレワーク保護を簡素化します

例えば、Cato SASEプラットフォームは、ゼロトラストを適用して以下を提供します:

  1. 統合型クライアントベースまたはクライアントレスのブラウザベースのリモートアクセス
  2. 安全なMFAによる認証
  3. ユーザーIDに基づく、アプリケーションレベルのアクセスポリシーによる認証
  4. DPI(ディープパケットインスペクション)とインテリジェントなアンチマルウェアエンジンによる継続的な脅威に対する防御
  5. NGFW(次世代ファイアウォール)、IPS(不正侵入検知防御システム)、SWG(セキュアWebゲートウェイ)など、高度なセキュリティ機能
  6. オンプレミスおよびクラウドリソース向けに最適化されたエンドツーエンドのパフォーマンス
  7. すべてのネットワークエッジからアクセスできる、グローバルに分散されたクラウド規模のプラットフォーム
  8. 50ヵ所以上のPoP(プレゼンスポイント)および99.999%の稼働率がSLAで保証されているネットワークバックボーン

SDP、SASE、ゼロトラストアーキテクチャの詳細について、今すぐ弊社宛にお問い合わせください。またはCato SASEプラットフォームのデモをご依頼ください

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。