ゼロトラストソリューション：5つのソリューションカテゴリーとその選択方法

ゼロトラストソリューションは、ネットワークのアクセス制御とセキュリティ対策を統合して、「安全性が検証されるまで、すべてのユーザーおよびエンティティを信用しない」というゼロトラスト原則を導入する、セキュリティツールキットです。ゼロトラストネットワークの導入には、多くの場合、複数のツールやプロセスの組み合わせが必要です。

ゼロトラストセキュリティソリューションは、ネットワークをセキュリティ侵害から保護する、さまざまなセキュリティ機能や監視機能を提供します。例えば、ゼロトラストセキュリティソリューションは、複数のプロセスを組み合わせてユーザーを認証し、複数のネットワーク管理、セグメンテーション、モニタリングなどのセキュリティ対策を加えて提供します。

ゼロトラストは技術ではなく、セキュリティの枠組みです。つまり、多数の既存の技術を利用して、ゼロトラストアーキテクチャを導入できます。また、ゼロから構築されたゼロトラストセキュリティモデルによる、新しいソリューションカテゴリも利用できます。

1多要素認証（MFA）とシングルサインオン（SSO）

ゼロトラスト導入の重要なポイントは、ユーザーが利用するネットワークセグメントに基づく信頼ではなく、明示的なID検証による確認です。また、ユーザー名やパスワードは攻撃者によって容易に侵害される可能性があり、単一の認証手段だけではもはや不十分です。ゼロトラストにより、以下を実現できます：

• MFA – 複数の認証手段を組み合わせて、ユーザIDの認証を強化し、認証情報盗難による被害を低減。
• SSO – ユーザーが単一の認証情報でサインインし、アカウント権限に応じて企業アプリケーションにアクセス。これにより、複数のパスワードが不要になり、ユーザーアカウントを一元管理でき、ユーザーの利便性も改善されます。

2 IAM

ゼロトラストの主な要件は、ID主導型セキュリティです。これを実現するのが、一般的にはクラウドベースのIDおよびアクセス管理（IAM）システムです。IAMシステムは、以下のような機能を提供します：

• 内部および外部ユーザーのライフサイクル管理
• IDガバナンスの一元化
• 特権アクセス管理（PAM）
• ロールベースおよび属性ベースのアクセス制御（RBACおよびABAC）
• 必要に応じて、システムへのアクセスを許可する、ジャストインタイム（JIT）アクセスにより、緊急時や例外的なアクセスが可能です。

これらの機能を提供する最新のIAMシステムにより、組織全体にわたって最小特権アクセスを適用できます。また、アクセスする時間帯や場所に基づいてユーザーを許可し、攻撃対象を減らすことができます。これにより、社内の従業員、サードパーティの契約社員、顧客など、すべてのユーザーを、それぞれの職務遂行に絶対必要なシステムやオペレーションにのみアクセスさせることができます。

3ゼロトラストネットワークアクセス（ZTNA）

職務遂行に必要なアプリケーションへの接続のみを許可するZTNAは、以前のソフトウェア定義の境界（SDP）に取り替わる、高度なアクセスソリューションです。従業員の職務に直接対応付けられるロールに基づいて、ユーザー権限を定義します。

ZTNAソリューションは、まずユーザーを認証し、IDを検証して、組織内で指定されたロールにリンクさせます。内部ネットワークのシステムへのアクセスが、すべてZTNAシステムを経由します。ZTNAは、認証結果とユーザーの事前設定ロールに応じて、トラフィックを特定のシステムに転送またはアクセスをブロックします。

ZTNAソリューションは、仮想プライベートネットワーク（VPN）の代替となります。VPNは、安全なネットワーク接続を提供しますが、ネットワーク全体およびすべてのリソースへのアクセスをユーザーに許可するため、ゼロトラストと相反します。ZTNAは、ソフトウェアベースの境界線を構築して、ユーザーがアクセスする必要のあるデータセンター、IT環境、特定のアプリケーションを詳細に定義します。

詳細については、ZTNAのガイドをご覧ください。

4セキュアアクセスサービスエッジ（SASE）

セキュアアクセスサービスエッジ（SASE）は、ワイドエリアネットワーク（WAN）、リモートアクセスおよびセキュリティ機能を提供する、クラウドベースのサービスです。SASEは、ローカルのデータセンターや単一または複数のパブリッククラウドなど、組織が活動するあらゆる場所にネットワーク機能を拡張します。

SASEは、複数の技術ソリューションをパッケージ化したサービスです：

• ZTNA – 上記参照。
• SD-WAN – MPLS、ブロードバンド、ワイヤレスなど、利用可能なデータサービスを活用して、ワイドエリアネットワークの機動力を高めてコストを削減する、仮想WANアーキテクチャ。
• サービスとしてのファイアウォール（FWaaS） – ソフトウェアサービスを実行する全ての場所にマネージドファイアウォールを提供。
• セキュアWebゲートウェイ（SWG） – ユーザーのリモートアクセスを管理。
• クラウドアクセスセキュリティブローカー（CASB） – オンプレミスのリソースやクラウドにアクセスするユーザーに対してセキュリティポリシーを適用。

SASEの詳細

仮想プライベートネットワーク（VPN）は、企業ネットワークへのリモートアクセスをユーザーに提供します。ユーザーのデバイスにデプロイされるクライアントソフトウェアが、暗号化チャネルを介して、企業ネットワーク内のVPNサーバーやアプライアンスに接続されます。

VPNは安全なチャネルを介した接続を提供しますが、ユーザーのデバイスが信頼できることを前提としていることが弱点です。ユーザーが正規の認証情報を提供すると、すべてのネットワークへのアクセスが許可されます。言い換えれば、デバイスやユーザーアカウントを侵害した攻撃者が、VPNの脆弱性を突き止めて、企業ネットワーク全体にわたって横方向に移動できます。

したがって、VPNではゼロトラストセキュリティモデルに対応できません。VPNをZTNAに置き換えて、ネットワークのリソースへのアクセスを細密に制御することで、ゼロトラストを実現できます。ロールとリアルタイムのセキュリティコンテキスト（例えば、使用しているデバイスや時間帯など）に基づいて、各ユーザーのアクセスを許可できます。ZTNAは、ユーザーのネットワークリソースへのアクセス権を常に検証して、アクセス要求を許可します。

最適なゼロトラストソリューションを特定するには、以下の主なポイントを考慮する必要があります：

• ベンダーサポート – エンドポイントエージェントを導入して、すべてのオペレーティングシステムやモバイルデバイスをサポートする必要があるか? 他のエージェントがある環境でエージェントの挙動を監視し、ベンダーがサポートしているデバイスやオペレーティングシステムを確認。
• ゼロトラスト技術のタイプ – 例えば、導入および管理が必要なZTNAブローカーなのか、またはサービスとしてのゼロトラストネットワークアクセス（ZTNAaaS）であるか。
• セキュリティポスチャーの評価 – ベンダーがマネージド/アンマネージドデバイスのセキュリティポスチャーを評価することができるか、あるいは統合型エンドポイント管理（UEM）ツールを別途使用する必要があるか?
• ユーザーおよびエンティティの行動分析（UEBA）- 保護されたネットワーク内で疑わしい行動を特定する、UEBA機能がソリューションに含まれているか?
• グローバルな分散：出入口となるポイント（エッジロケーションやPOPなど）が地理的に分散されている。ベンダーが使用しているエッジ/物理インフラストラクチャのプロバイダーまたはコロケーション施設を確認。
• レガシーアプリケーションのサポート – Webアプリケーションおよびレガシーアプリケーションのセキュリティサポートを提供しているかどうかを確認。
• 業界標準への準拠 – 厳格なセキュリティ基準を満たしているベンダーが望ましい。ゼロトラストプロバイダーは、最低限ISO 27001認証を取得し、SOC2セキュリティ要件を満たしていることが望ましい。
• ライセンスモデル – ライセンスのタイプ（帯域幅ベースまたはユーザーベース）を確認し、契約期間中に使用量が超過した場合の規約（猶予期間の有無、差額支払い、アクセス権の喪失など）を確認。