ZTNA:ゼロトラストネットワークアクセス

ゼロトラストソリューション:5つのソリューションカテゴリーとその選択方法

ゼロトラストソリューションとは?

ゼロトラストソリューションは、ネットワークのアクセス制御とセキュリティ対策を統合して、「安全性が検証されるまで、すべてのユーザーおよびエンティティを信用しない」というゼロトラスト原則を導入する、セキュリティツールキットです。ゼロトラストネットワークの導入には、多くの場合、複数のツールやプロセスの組み合わせが必要です。

ゼロトラストセキュリティソリューションは、ネットワークをセキュリティ侵害から保護する、さまざまなセキュリティ機能や監視機能を提供します。例えば、ゼロトラストセキュリティソリューションは、複数のプロセスを組み合わせてユーザーを認証し、複数のネットワーク管理、セグメンテーション、モニタリングなどのセキュリティ対策を加えて提供します。

ゼロトラストソリューションの5つのカテゴリ

ゼロトラストは技術ではなく、セキュリティの枠組みです。つまり、多数の既存の技術を利用して、ゼロトラストアーキテクチャを導入できます。また、ゼロから構築されたゼロトラストセキュリティモデルによる、新しいソリューションカテゴリも利用できます。

1多要素認証(MFA)とシングルサインオン(SSO)

ゼロトラスト導入の重要なポイントは、ユーザーが利用するネットワークセグメントに基づく信頼ではなく、明示的なID検証による確認です。また、ユーザー名やパスワードは攻撃者によって容易に侵害される可能性があり、単一の認証手段だけではもはや不十分です。ゼロトラストにより、以下を実現できます:

  • MFA – 複数の認証手段を組み合わせて、ユーザIDの認証を強化し、認証情報盗難による被害を低減。
  • SSO – ユーザーが単一の認証情報でサインインし、アカウント権限に応じて企業アプリケーションにアクセス。これにより、複数のパスワードが不要になり、ユーザーアカウントを一元管理でき、ユーザーの利便性も改善されます。

2 IAM

ゼロトラストの主な要件は、ID主導型セキュリティです。これを実現するのが、一般的にはクラウドベースのIDおよびアクセス管理(IAM)システムです。IAMシステムは、以下のような機能を提供します:

  • 内部および外部ユーザーのライフサイクル管理
  • IDガバナンスの一元化
  • 特権アクセス管理(PAM)
  • ロールベースおよび属性ベースのアクセス制御(RBACおよびABAC)
  • 必要に応じて、システムへのアクセスを許可する、ジャストインタイム(JIT)アクセスにより、緊急時や例外的なアクセスが可能です。

これらの機能を提供する最新のIAMシステムにより、組織全体にわたって最小特権アクセスを適用できます。また、アクセスする時間帯や場所に基づいてユーザーを許可し、攻撃対象を減らすことができます。これにより、社内の従業員、サードパーティの契約社員、顧客など、すべてのユーザーを、それぞれの職務遂行に絶対必要なシステムやオペレーションにのみアクセスさせることができます。

3ゼロトラストネットワークアクセス(ZTNA)

職務遂行に必要なアプリケーションへの接続のみを許可するZTNAは、以前のソフトウェア定義の境界(SDP)に取り替わる、高度なアクセスソリューションです。従業員の職務に直接対応付けられるロールに基づいて、ユーザー権限を定義します。

ZTNAソリューションは、まずユーザーを認証し、IDを検証して、組織内で指定されたロールにリンクさせます。内部ネットワークのシステムへのアクセスが、すべてZTNAシステムを経由します。ZTNAは、認証結果とユーザーの事前設定ロールに応じて、トラフィックを特定のシステムに転送またはアクセスをブロックします。

ZTNAソリューションは、仮想プライベートネットワーク(VPN)の代替となります。VPNは、安全なネットワーク接続を提供しますが、ネットワーク全体およびすべてのリソースへのアクセスをユーザーに許可するため、ゼロトラストと相反します。ZTNAは、ソフトウェアベースの境界線を構築して、ユーザーがアクセスする必要のあるデータセンター、IT環境、特定のアプリケーションを詳細に定義します。

詳細については、ZTNAのガイドをご覧ください。

4セキュアアクセスサービスエッジ(SASE)

セキュアアクセスサービスエッジ(SASE)は、ワイドエリアネットワーク(WAN)、リモートアクセスおよびセキュリティ機能を提供する、クラウドベースのサービスです。SASEは、ローカルのデータセンターや単一または複数のパブリッククラウドなど、組織が活動するあらゆる場所にネットワーク機能を拡張します。

SASEは、複数の技術ソリューションをパッケージ化したサービスです:

  • ZTNA – 上記参照。
  • SD-WAN – MPLS、ブロードバンド、ワイヤレスなど、利用可能なデータサービスを活用して、ワイドエリアネットワークの機動力を高めてコストを削減する、仮想WANアーキテクチャ。
  • サービスとしてのファイアウォール(FWaaS) – ソフトウェアサービスを実行する全ての場所にマネージドファイアウォールを提供。
  • セキュアWebゲートウェイ(SWG) – ユーザーのリモートアクセスを管理。
  • クラウドアクセスセキュリティブローカー(CASB) – オンプレミスのリソースやクラウドにアクセスするユーザーに対してセキュリティポリシーを適用。

ゼロトラストネットワークと仮想プライベートネットワーク(VPN)の比較

仮想プライベートネットワーク(VPN)は、企業ネットワークへのリモートアクセスをユーザーに提供します。ユーザーのデバイスにデプロイされるクライアントソフトウェアが、暗号化チャネルを介して、企業ネットワーク内のVPNサーバーやアプライアンスに接続されます。

VPNは安全なチャネルを介した接続を提供しますが、ユーザーのデバイスが信頼できることを前提としていることが弱点です。ユーザーが正規の認証情報を提供すると、すべてのネットワークへのアクセスが許可されます。言い換えれば、デバイスやユーザーアカウントを侵害した攻撃者が、VPNの脆弱性を突き止めて、企業ネットワーク全体にわたって横方向に移動できます。

したがって、VPNではゼロトラストセキュリティモデルに対応できません。VPNをZTNAに置き換えて、ネットワークのリソースへのアクセスを細密に制御することで、ゼロトラストを実現できます。ロールとリアルタイムのセキュリティコンテキスト(例えば、使用しているデバイスや時間帯など)に基づいて、各ユーザーのアクセスを許可できます。ZTNAは、ユーザーのネットワークリソースへのアクセス権を常に検証して、アクセス要求を許可します。

ゼロトラストソリューションの選定方法?

最適なゼロトラストソリューションを特定するには、以下の主なポイントを考慮する必要があります:

  • ベンダーサポート – エンドポイントエージェントを導入して、すべてのオペレーティングシステムやモバイルデバイスをサポートする必要があるか? 他のエージェントがある環境でエージェントの挙動を監視し、ベンダーがサポートしているデバイスやオペレーティングシステムを確認。
  • ゼロトラスト技術のタイプ – 例えば、導入および管理が必要なZTNAブローカーなのか、またはサービスとしてのゼロトラストネットワークアクセス(ZTNAaaS)であるか。
  • セキュリティポスチャーの評価 – ベンダーがマネージド/アンマネージドデバイスのセキュリティポスチャーを評価することができるか、あるいは統合型エンドポイント管理(UEM)ツールを別途使用する必要があるか?
  • ユーザーおよびエンティティの行動分析(UEBA)- 保護されたネットワーク内で疑わしい行動を特定する、UEBA機能がソリューションに含まれているか?
  • グローバルな分散:出入口となるポイント(エッジロケーションやPOPなど)が地理的に分散されている。ベンダーが使用しているエッジ/物理インフラストラクチャのプロバイダーまたはコロケーション施設を確認。
  • レガシーアプリケーションのサポート – Webアプリケーションおよびレガシーアプリケーションのセキュリティサポートを提供しているかどうかを確認。
  • 業界標準への準拠 – 厳格なセキュリティ基準を満たしているベンダーが望ましい。ゼロトラストプロバイダーは、最低限ISO 27001認証を取得し、SOC2セキュリティ要件を満たしていることが望ましい。
  • ライセンスモデル – ライセンスのタイプ(帯域幅ベースまたはユーザーベース)を確認し、契約期間中に使用量が超過した場合の規約(猶予期間の有無、差額支払い、アクセス権の喪失など)を確認。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。