ゼロトラストフレームワーク

ZTNA:ゼロトラストネットワークアクセス

ゼロトラストフレームワークの説明

従来のネットワークセキュリティモデルは、境界線に焦点を当て、信頼に大きく依存していました。基本的な考え方は、すべての脅威はネットワークの外部から発生し、ネットワーク境界の内側にいる人は信頼できるインサイダーであるというものでした。企業は、ネットワーク境界に防御策を導入することで、マルウェアやその他の脅威を特定し、ネットワークへの侵入を防ごうとしていました。

このようなネットワークセキュリティのアプローチには、ネットワーク境界の消滅、インサイダー脅威の可能性、ネットワークセキュリティソリューションが不完全な保護を提供するという事実など、複数の問題があります。これらの問題に対処するため、当時フォレスター・リサーチ社の副社長兼主席アナリストのジョン・キンダーヴァーグ氏は、セキュリティポリシー内の信頼は潜在的な脆弱性であるという概念に基づき、ゼロトラストセキュリティ戦略というコンセプトを打ち出しました。

ゼロトラストセキュリティ戦略とは、暗黙の内部者を信頼し、外部者を信用しないという考え方から、誰に対しても信頼を自動的に拡大しないことへと移行するものです。その代わり、アクセスや許可は、ビジネスニーズと役割の要件に基づいてケースバイケースで付与されます。ゼロトラストアーキテクチャーを読むと、ゼロトラストについてよく分かります。

ゼロトラストネットワークとは?

組織の環境にゼロトラスト原則を導入するには、ゼロトラストネットワークを構築する必要があります。ゼロトラストネットワークとは、ゼロトラストネットワークアクセス(ZTNA)やソフトウェア定義境界(SDP)などのゼロトラストポリシーを、組織の環境全体で一貫して実装し、実施するものです。

以下では、レガシーな境界ベースのセキュリティモデルから、現代のサイバー脅威に対応・管理できるゼロトラストネットワークに移行する方法について説明します。

ステップ1:保護対象の特定

企業資産へのアクセスを管理することは、ゼロトラストセキュリティ戦略の中心的な考え方です。前述のとおり、ゼロトラストポリシーでは、ロールベースのアクセス制御により、ケースバイケースでリソースへのアクセスを提供します。そして、リソースへのアクセスを管理するために、企業はリソースが何であるかを知る必要があります。

ゼロトラストネットワークを構築する上で重要なのは、企業が保護したいリソースで構成される保護する面を定義することである。保護面は組織のDAASで構成されています。

  • データ :ゼロトラスト戦略を採用する最も一般的な理由の1つは、データ漏洩を回避し、データ保護規制のコンプライアンス要件を満たすためです。組織のデータを識別し、分類することは、これらのリソースへのアクセスを適切に管理するために不可欠です。
  • 資産:現代の企業は、従来のコンピュータ、モバイルデバイス、クラウドベースリソース、IoTデバイスなど、さまざまな企業資産を保有しています。リモートワークやモバイルデバイスの増加により、多くの企業が資産目録全体の可視性を維持することに苦労しています。このような可視性のギャップに対処することは、ゼロトラストの効果的な展開にとって非常に重要です。
  • アプリケーション:アプリケーションは、あらゆるビジネスにとって貴重な資源であり、サイバー攻撃の一般的なターゲットでもあります。アプリケーションの脆弱性を利用することで、攻撃者は貴重なデータへのアクセスや、他のターゲットへの攻撃の足がかりを得ることができます。企業は、自社のアプリケーションを保護するための戦略を策定するために、自社のアプリケーションを完全にリストアップする必要があります。
  • サービス:クラウドの普及は、多くの組織がクラウドベースのサービスを利用、または提供していることを意味します。これらのサービスは、サイバー犯罪者にとって潜在的な脆弱性や攻撃のベクトルでもあるため、同様に特定し保護する必要があります。

ステップ2:相互依存性の調査

ゼロトラストネットワークは、特権を最小にするという原則に基づいて運営されています。これは、ユーザーが自分の仕事をするために必要な権限だけを与えられることを意味します。

これらの権限を適切に割り当てるには、企業は従業員やIT資産がそれぞれの役割を果たすために必要なアクセスや権限を理解する必要があります。これを達成する最善の方法は、組織の日常業務でどのような活動が行われているかを監視することです。

企業ネットワークを監視することで、企業はDAAS、インフラ、サービス、およびユーザー間の通信と相互依存のマップを作成することができます。これらのネットワークフローを見ることで、ゼロトラストポリシーの一環としてどの通信を許可し、どれを不適切または不要としてブロックすべきかを決定することが可能です。

このように、組織のネットワーク内の依存関係と通信パターンを調べることは、ゼロトラスト戦略を展開するための準備に役立ちますが、メリットはこれだけではありません。異常なフローや疑わしいフローが検出された場合、インシデントレスポンス活動を開始し、企業がネットワーク内の感染を根絶するのに役立てることができるのです。

ステップ3:マイクロセグメンテーションの導入

アクセス制御は、通常、ネットワークセキュリティアプライアンスを経由してトラフィックがルーティングされるネットワーク境界で実施されます。ゼロトラストストラテジーを実現するためには、企業リソースのきめ細かい保護とアクセス制御を実現するために、このような境界を数多く設ける必要があります。

企業ネットワーク全体にネットワークの境界を設けるには、マイクロセグメンテーションを導入する必要があります。マイクロセグメンテーションは、企業の各資産を独自の境界内に配置し、レイヤー7でトラフィックの監視とフィルタリングを実行します。

このレイヤー7の監視は、ゼロトラストに必要な可視性を実現するために不可欠なものです。クラウドコンピューティングとサービスベースの配信モデルの台頭により、レイヤー3/4のトラフィック分析では、ネットワークトラフィックの目的を判断するために必要な粒度と可視性が得られなくなりました。レイヤー 7 解析を使用すると、企業はアプリケーション層のデータを表示し、アクセス制御の決定に含めることができます。

マイクロセグメンテーションポリシーを策定する場合、キプリング法は有用なリソースとなります。これは、以下の6つの質問に対する回答に基づいて、ゼロトラストポリシーを定義するものです。

  1. だれがリクエストしているのか?
  2. 要求されているリソースはなにか?
  3. リクエストはどこから来るのか?
  4. クエストはいつ行なわれたのか?
  5. なぜ、ユーザーはそのリソースにアクセスする必要があるのか?
  6. ユーザーはどのようにアクセスを要求しているか?

これらの質問に答えることで、企業は特定のリクエストが企業のセキュリティポリシーに準拠しているかどうかを判断することができます。例えば、あるリソースへのアクセスは特定のコンピュータからのみ許可されているにもかかわらず、リモートワーカーのデバイスからそのリソースへのアクセスが要求されることがあります。その作業員がリソースへの正当なアクセス権を持っていたとしても、リクエストが間違ったデバイスから来たものであれば、承認されるべきではありません。アクセス制御を正しく判断するためには、「誰が」「どこから」アクセスしたかを把握することが重要です。

ゼロトラストへの取り組みを開始する

最近の出来事から、従来のセキュリティ対策が通用しないことが明らかになりました。データ漏洩は日常茶飯事で、ランサムウェア攻撃は増加傾向にあり、その他のサイバー脅威もなくなっていません。企業にとって、遠隔地の従業員を保護する必要性はかつてないほど高まっています。

ゼロトラストネットワークの導入は多段階のプロセスですが、最も重要なステップは、企業のゼロトラストポリシーを実施するための適切なセキュリティソリューションを選択することです。従来のセキュリティソリューションは、ゼロトラストポリシーを実施するための範囲やセキュリティの粒度が不足しています。ZTNAは、ガートナーのSecure Access Service Edge(SASE)フレームワークに不可欠なコンポーネントであり、レガシーソリューションに代わる理想的な選択肢を提供するものです。

SASEは、ゼロトラストの導入をシンプルかつ容易にします。SASEでは、すべてのトラフィックがSASEのPoP(Point of Presence)を経由するため、レイヤー7のトラフィック解析とセキュリティポリシーの適用が可能です。また、SASEは、現代の企業にとってますます重要となっているZTNAによるリモートワーカーへのゼロトラストポリシーの適用も可能です。SASEのZTNA機能については、以下のリンクで詳細をご覧ください。

Cato Networksは、SASE分野のリーダーであり、ガートナーのZTNA Market Guideにおいて、今後企業が必要とするネットワーキングとセキュリティのソリューションを提供する企業として、複数回評価されています。SASEを利用したゼロトラストの導入方法については、弊社までお問い合わせください。または、デモをご依頼いただき、Cato SASE Cloudの機能をご自身でお確かめいただくことも可能です。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。