ZTNA：ゼロトラストネットワークアクセス

ゼロトラストネットワーク：必要な理由と5つの開始ステップ

ゼロトラストネットワークとは?

ゼロトラストセキュリティモデルは、組織の内外を問わず、すべてのユーザーおよびエンティティを信頼しないことを原則とします。ネットワークの境界線ではなく、特定のシステムのマイクロペリメーターにそれぞれ独自のセキュリティポリシーが適用されます。各ユーザやエンティティには、それぞれのロールに必要な最小限のアクセスのみが許可されます。

従来のネットワークセキュリティは、主に境界線の防御に基づいています。つまり、ファイアウォールや不正侵入検知/防御システム（IDS/IPS）などのシステムをネットワークの境界線に展開して、ネットワークへの侵入を阻止します。これらのツールは、ゼロトラストネットワークにも引き続き使用されますが、すでに企業ネットワーク内にいる間に攻撃者を阻止するための高度な対策で補完されます。

ゼロトラストネットワークは、マイクロセグメンテーションにより、大規模な企業ネットワークを複数の小規模なネットワークに分割し、ネットワーク間での重複を最小限に抑えます。これにより、攻撃者がネットワークの一部を侵害した場合でも、他のシステムへの横方向の移動を阻止します。異常な行動を監査および特定するために、ネットワークへのトラフィックやネットワークセグメント間のトラフィックを監視して可視化する必要があります。

従来のネットワークセキュリティモデルの課題

ネットワークの境界内にあるエンティティを信頼する、従来のネットワークセキュリティモデルは、これまでにも支障がありましたが、近年のIT環境の変化により、問題が深刻化しています。テレワークの急増、クラウドリソースの利用拡大、IoT（モノのインターネット）デバイスなど、企業システムへのリモート接続が増えています。

企業ネットワークへのリモートアクセスは、もはや例外ではなく、一般化しています。リモートアクセスにより、内部のIPアドレスが脅威にさらされ、新たな攻撃対象になっています。攻撃者は、ソーシャルエンジニアリングを介してエンドユーザーのデバイスを簡単に侵害し、ネットワーク全体にアクセスする可能性があります。攻撃者は、設定ミスが生じやすいクラウドリソースやIoTデバイスを侵害して、ネットワークに侵入しています。

特に、仮想プライベートネットワーク（VPN）は、旧式の技術であり、セキュリティの確保や管理が困難です。多くの企業が、VPNが企業システムへのリモートアクセスを許可する有効な手段でなくなっていることを認識しています。

従来のネットワーク境界線が消失し、企業ネットワークの内外を問わず、ユーザーアカウントや接続をすべて信用せず、必ず検証するゼロトラストのコンセプトが注目を集めています。

ゼロトラストネットワークセキュリティの原則

ここでは、ネットワークのゼロトラストモデルへの移行に役立つ技術およびベストプラクティスについて説明します。

最小特権アクセス – ネットワークのすべてのユーザーのアクセスを実際に必要なアプリケーションや機能にのみ許可します。これにより、システム間で横方向へ移動する攻撃を制限し、侵入による被害を軽減できます。
マイクロセグメンテーション – ネットワークをアクセス認証が異なる別々のネットワークセグメントに分割します。これにより、保護を補強して、ネットワークセグメントが侵害された場合に、別のネットワークセグメントへ移動する攻撃を阻止できます。
データ使用の制御 – 許可されたユーザーが、データを使用できる範囲を制限します。これにより、例えば財務部従業員の退職時に、財務データへのアクセス許可を動的に取り消すことができます。
継続的な監視 – ユーザーやエンティティのデータおよびシステムとのやり取りを特定します。これにより、違反行為をセキュリティチームに通知できます。アラートや手動による対処だけでなく、監視をアダプティブセキュリティ管理に接続して、疑わしい行動への自動的な対処を行うことができます。

ゼロトラストネットワークソリューションのタイプ

ゼロトラストネットワークアクセス（ZTNA）は、ゼロトラストネットワーク導入の主要な技術ソリューションです。ガートナーは、ベンダーがZTNAソリューションの開発に使用すべき、2つのアプローチを特定しています：エンドポイント主導型ZTNAとサービス主導型ZTNA。

エンドポイント主導型ZTNA

このタイプのソリューションは、クラウドセキュリティアライアンス（CSA）のソフトウェア定義の境界（SDP）仕様に準拠する、初期のゼロトラストネットワーク標準です。一般的なプロセスは、以下のとおりです：

エージェントを認証されたエンドユーザのデバイスにインストールし、セキュリティコンテキストに関する情報をコントローラに送信します。
コントローラがデバイスのユーザに認証を要求し、許可されたアプリケーションのリストを返します。
コントローラーがデバイスからゲートウェイを介した接続を提供し、インターネットへの直接アクセスによるサービス、サービス拒否（DoS）攻撃および公共のネットワークを介したその他の脅威から保護します。
コントローラーが接続を確立すると、一部の製品がデータパスに残されます。その他の製品は自動的に削除され、デバイスとサービスが直接やり取りすることを許可します。

メリットとデメリット

このタイプのZTNAのメリットは、接続するデバイスのコンテキストに関する詳細な情報を提供することです。また、デバイスのヘルスチェックを行い、デバイスが更新されていること、マルウェアがスキャンされていることを確認することもできます。

デメリットは、マネージドデバイスのみが対象となることです。このため、私用デバイスへの導入は極めて困難です。BYOD（私用デバイス）ポリシーを採用している場合や従業員が自宅やモバイルデバイスからサービスにログインする場合などへの使用に限定されます。

場合によっては、ZTNAプロセスのエージェント機能を果たす、統合エンドポイントセキュリティ（UES）を私有デバイスに導入することで、この課題を解消できます。

サービス主導型ZTNA

このタイプは、Google BeyondCorpフレームワーク（Googleが組織にゼロトラストを導入するために作成したパターン）に合わせたソリューションです。その仕組みは、以下のとおりです：

アプリケーションと同じネットワークにインストールされたコネクタが、クラウドサービスプロバイダーへのアウトバウンド接続を確立および維持します。
ユーザーがクラウドサービスに接続し、クラウドサービスが企業のID管理技術を介してユーザーを認証します。
クラウドプロバイダーが、保護されたアプリケーションにアクセスするユーザ認証を確認します。
認証および認可された場合のみ、トラフィックがクラウドサービスからファイアウォールの背後にあるアプリケーションに送られます。

このアーキテクチャは、アプリケーションをプロキシを介した直接アクセスから隔離します。インバウンドトラフィックの企業ファイアウォールは必要ありません。ただし、サービスプロバイダーのネットワークに依存するため、プロバイダーが十分なレベルのセキュリティを提供していることを確認する必要があります。

メリットとデメリット

サービス主導型ZTNAのメリットは、各エンドユーザーデバイスにエージェントを必要としないため、管理されないデバイスには有効な方法です。

このソリューションのデメリットは、ZTNAソリューションの一部では、アプリケーションのプロトコルがHTTP/HTTPSに基づく必要があるため、Webアプリケーションに限定されることです。セキュアシェル（SSH）やリモートデスクトッププロトコル（RDP）などのプロトコルを使用するアプリケーションには対応していない場合があります。

ゼロトラストネットワークを構築する5つのステップ

ゼロトラストネットワークは、特定のハードウェアに依存せず、新しいセキュリティ手法に基づきます。既存のインフラを以下のようにゼロトラストネットワークに移行できます：

資産のインベントリを作成：ミッションクリティカルなアプリケーション、機密データ、知的財産などの企業資産の価値と脆弱性を評価し、資産のインベントリを作成します。
アカウント、ユーザおよびデバイスの検証：多くの場合、なりすましデバイスや漏洩アカウントが侵害に利用されます。ゼロトラストを維持するには、デバイスやユーザのIDとプロパティを証明する必要があります（例えば、未知のデバイスが安全であることを確認）。検証は、多要素認証（MFA）、挙動分析、エンドポイントエージェント、デバイス基準の分析によって行われます。
許可されるワークフローの定義：通常のビジネスプロセスの一環として、アセットにアクセスするユーザー、アクセスを付与する時間、方法、理由を特定します。
ポリシーの定義と自動化 – デバイス、場所、ソース、時間など、利用できるメタデータおよび最近の行動やMFAの結果などのコンテキストに基づいて、認証ポリシーを定義します。ZTNAは、これらのプロセスの自動化を支援します。
テスト、監視、メンテナンス – 脅威モデルにより、アクセス制限すべき場所を特定し、最も関連する脅威を排除し、生産性への影響を最小限に抑えることができます。セキュリティチームが、デバイスの行動を継続的に監視して異常を検出し、新たな脅威を防止するポリシーを積極的に調整する必要があります。

Cato SASE Cloudによるゼロトラストネットワーク

Catoのゼロトラストソリューション、Cato SDPは、あらゆるデバイスからオンプレミスやクラウドアプリケーションへ安全にアクセスするゼロトラストネットワークを提供します。Catoクライアントまたはクライアントレスのブラウザアクセスで、強力な多要素認証を使用して、ユーザーを最寄りのCato PoPに安全に接続します。

Cato SASEプラットフォームに組み込まれるCato SDPは、以下の主な機能を提供します：

拡張性：Cato SDP は、インフラを追加することなく、最適化された安全なアクセスを即座に拡張して、無制限数のユーザー、デバイス、場所をサポートできます。
アクセスと認証：Cato SDPは、多要素認証ときめ細かいアプリケーションアクセスポリシーを適用し、オンプレミスとクラウドの両方で承認されたアプリケーションへのアクセスを制限します。ユーザーはネットワーク層にアクセスできないため、リスクが大幅に軽減されます。
脅威を回避：Cato SDPは、すべてのトラフィックにディープパケットインスペクション（DPI）を適用して、脅威を継続的に回避します。脅威に対する保護を、オンプレミスまたはクラウドの両方で、インターネットやアプリケーションへのアクセスにシームレスに拡張します。
パフォーマンス：Cato SDPは、予測できない公共のインターネットではなく、グローバルなプライベートバックボーンを介してリモートユーザーをビジネスリソースにアクセスさせます。これにより、一貫した最適な環境をあらゆる場所のすべてのユーザーに提供します。

関連コンテンツ：SASE（Secure Access Service Edge）とは？

最も急成長しているSASEチャネルエコシステムに参加しませんか

ゼロトラストネットワーク：必要な理由と5つの開始ステップ

ゼロトラストネットワークとは?

従来のネットワークセキュリティモデルの課題

ゼロトラストネットワークセキュリティの原則

ゼロトラストネットワークソリューションのタイプ

エンドポイント主導型ZTNA

サービス主導型ZTNA

ゼロトラストネットワークを構築する5つのステップ

Cato SASE Cloudによるゼロトラストネットワーク

よくある質問

ゼロトラストネットワークアクセス（ZTNA）とは?

ZTNAとSDP（ソフトウェア定義の境界）の違い?

ZTNAが重要な理由?

ZTNAの仕組み?

ZTNAとVPNの違い?

ZTNAの導入方法?

ZTNAはSASEに置き換わるもの?

ZTNAが対応していないセキュリティ機能?

ゼロトラストとSASEの連携方法?