ZTNA:ゼロトラストネットワークアクセス

ZTNA:ゼロトラストネットワークアクセス

ゼロトラストソリューション:5つのソリューションカテゴリーとその選択方法

ゼロトラストソリューションは、ネットワークのアクセス制御とセキュリティ対策を統合した、ゼロトラスト原則を導入するセキュリティツールキットです。「安全性が検証されるまで、すべてのユーザーおよびエンティティ(実体)を信用しない」というのがゼロトラストの原則です。ゼロトラストネットワークの導入には、多くの場合、複数のツールやプロセスの組み合わせが必要です。

ゼロトラストの導入方法:5つのステップと導入チェックリスト

ゼロトラストセキュリティモデルにより、データおよびITリソースのセキュリティを向上させると同時に、エコシステムの可視化を拡張できます。ゼロトラストの導入には、一般的にはネットワークへのマイクロセグメンテーションの追加、多要素認証の追加、エンドポイントデバイスの検証など、最低5つのステップが含まれます。

ゼロトラストネットワーク:必要な理由と5つの開始ステップ

従来のネットワークセキュリティは、主に境界線の防護に基づいています。つまり、ネットワークへの侵入を阻止するために、ファイアウォールや不正アクセス検知/防御システム(IDS/IPS)などのシステムがネットワークの境界線に導入されます。ゼロトラストネットワークでも、これらのツールは引き続き使用されますが、企業ネットワーク内に既に侵入している攻撃者を排除する高度な手段が補完されます。

ゼロトラストセキュリティの進化と5つの重要な要素

リモートワークへの移行やサプライチェーン攻撃の増加など、最近のセキュリティ環境の変化が、ゼロトラストの必要性に拍車をかけています。ゼロトラストセキュリティの主な推進要因およびゼロトラストセキュリティスタックを構成する主な技術について説明します。

テレワークの保護:ゼロトラストアクセスの導入

Global Workplace Analyticsは、2021年末までに通勤者の25~30%が在宅勤務(週のうち何日か)になると予測しています。このため、従業員のリモートアクセスによる影響を考慮して、安全性の高いアクセスをすべてのリモートワーカーに迅速かつ容易に提供する調整が必要です。

ゼロトラスト原則:ゼロトラストとは?

ゼロトラストは、企業のサイバーセキュリティとネットワーク可視化を促進する機能として広く知られています。ゼロトラストは、IT資産へのアクセスをケースバイケースで適正なユーザーにのみ許可するという原則に基づいています。ここでは、ゼロトラスト原則と、ゼロトラスト戦略を組織に導入する方法について説明します。

ゼロトラストフレームワーク

ゼロトラストネットワークは、ゼロトラストセキュリティモデルを適用し、ロールベースのアクセス制御により、企業リソースへのアクセスをケースバイケースで許可または拒否します。ゼロトラストネットワークの展開には複数の段階が伴います。これには、「保護する攻撃対象」の特定、ネットワーク機能の決定、ゼロトラストポリシーを適用するマイクロセグメンテーションの導入などが含まれます。

ゼロトラストアーキテクチャとは?

ゼロトラストアーキテクチャは、細密なアクセス制御により、特定のリソースへのアクセスを明示的に許可されたエンドポイントのみを信頼する、ゼロトラスト原則に基づいています。ゼロトラストアーキテクチャは、インターネットベースのVPNアプライアンスによるリモートネットワークアクセスなど、従来の「城と堀」型のソリューションとは根本的に異なります。従来のソリューションでは、エンドポイントを認証すると、そこから同じネットワークセグメントのすべてにアクセスすることができます。これをブロックできるのは、アプリケーションレベルのセキュリティのみです。ゼロトラストアーキテクチャと仕組みについて、こちらをご覧ください。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。