ZTNA とは
ゼロトラスト ネットワーク アクセス(ZTNA)とは、明確に定義されたアクセス コントロール ポリシーに基づいて、企業のアプリケーション、データ、サービスへのセキュアなリモート アクセスを提供する IT セキュリティ ソリューションです。ZTNA は、ネットワーク全体へのアクセスを許可する仮想プライベート ネットワーク(VPN)とは異なり、特定のサービスまたはアプリケーションへのアクセスのみを許可します。自宅などさまざまな場所からリソースにアクセスするユーザーがますます増えている今日、ZTNA ソリューションは、セキュアなリモート アクセスのための各種テクノロジーや手法の短所を補ううえで有効な方法です。
How To Get From Here To Zero Trust
ゼロトラストの実現に向けた取り組みの簡素化
ZTNA の仕組み
ZTNA を使用する場合、特定のアプリケーションやリソースへのアクセスは、ユーザーが ZTNA サービスに対して認証された後に初めて可能になります。ユーザー認証が行われると、暗号化されたセキュアなトンネルによる当該のアプリケーションへのアクセスが許可されます。このトンネルでは、アプリケーションやサービスで使用する IP アドレスが表示されないようにすることで、セキュリティ保護の追加レイヤーを提供します。
このように、ZTNA の機能は Software-Defined Perimeter(SDP)と非常によく似ており、同じ「ダーク クラウド」の考え方に基づいて、ユーザーがアクセスを許可されていない他のアプリケーションやサービスを一切可視化できないようにします。それにより、仮に攻撃者がアクセスしたとしても、スキャンして他のサービスを探すことができないため、水平方向の攻撃の防御も可能になります。
ZTNA のユースケース
認証とアクセス:ZTNA の主な用途は、ユーザーの ID に基づく非常にきめ細かいアクセス メカニズムの提供です。IP ベースの VPN アクセスでは、一度認可が行われるとネットワークへの幅広いアクセスが提供されますが、ZTNA では特定のアプリケーションとリソースへの限定的なアクセスのみがきめ細かく許可されます。ZTNA は、場所またはデバイス固有のアクセス コントロール ポリシーにより、より高いレベルのセキュリティを実現して、望ましくないまたは侵害されたデバイスからの組織リソースへのアクセスを防止できます。このようなアクセス制限は、オンプレミスの管理者に付与されているものと同等のアクセス権限を従業員所有のデバイスに付与する、一部の VPN の方法とは一線を画します。
包括的な制御と可視性:ZTNA では、いったん認証が行われた後はユーザー トラフィックが検査されないため、悪意のある従業員による不正な目的でのアクセス権の使用や、ユーザーの認証情報の紛失や盗難があった場合に、問題が発生する可能性があります。ZTNA を Secure Access Service Edge(SASE)ソリューションに組み込むことで、セキュアなリモート アクセスを提供するために必要なセキュリティ、スケーラビリティ、ネットワーク機能を活用できます。さらに接続後の監視機能により、データ損失、悪意のある行為、ユーザー認証情報の侵害も防止できます。
ZTNA のメリット
ZTNA では、組織のネットワーク外のユーザー、アプリケーション、データであっても接続できます。このような機能が求められる背景には、マイクロサービス ベースのアプリケーションを複数のクラウドやオンプレミス環境に配置するマルチクラウド環境が、今日ますます一般的になっているという状況があります。今日の組織は、分散された環境で業務を行うユーザーに、場所と時間を問わずあらゆるデバイスからデジタル資産を利用できる環境を提供することが必要です。
このようなニーズに対し、ZTNA は、ビジネスクリティカルなアプリケーションへのきめ細かいコンテキストベースのアクセスを、ほかのサービスを攻撃のリスクにさらすことなく提供することで対応します。
ZTNA モデルは Gartner が考案したものであり、非常に限定的なアクセスしか必要としない経営陣、契約社員、その他のユーザーへの過度の信頼の付与を防止するうえで役立ちます。このモデルは、信頼できることが証明されない限りなにも信頼しないという概念を表しています。さらに重要なのは、接続に関するなんらかの変更(場所、コンテキスト、IP アドレスなどの変更)があれば、必ず信頼の再認証を必要とする点です。
VPN と ZTNA の違い
VPN と ZTNA の間にはいくつかの違いがあります。もっとも大きな違いは、VPN はネットワーク全体へのアクセスを提供するように設計されているのに対し、ZTNA では特定のリソースへのアクセスのみが許可され、頻繁に再認証が必要とされる点です。
ZTNA と比較した場合、VPN には以下の欠点があります。
リソース使用率:リモート ユーザーが増えると、VPN への負荷が高くなることで予想外の遅延が生じ、需要の増加や使用量のピーク期間に対応するために新しいリソースの追加が必要になる場合があります。この場合、IT 部門の人的リソースの観点でも負担となります。
柔軟性と俊敏性:VPN では、ZTNA と同等の粒度の高さは得られません。さらに、エンタープライズ リソースに接続する必要があるすべてのエンドユーザー デバイスに VPN ソフトウェアをインストールして構成するのは、困難な作業となる場合があります。これに対し、セキュリティ ポリシーとユーザー認可を、当面のビジネス ニーズに基づいて追加または削除する方がはるかに簡単です。ZTNA の ABAC(属性ベースのアクセス コントロール)および RBAC(ロールベースのアクセス コントロール)なら、このタスクを容易に実行できます。
粒度:VPN では、境界の内部にいったん接続されると、ユーザーはシステム全体にアクセスできるようになりますが、ZTNA は根本的に異なるアプローチを採用しており、資産(アプリケーション、データ、サービス)がそのユーザーに特定して認可されていない限り、アクセスをまったく許可しません。VPN とは対照的に、ZTNA では ID 認証に基づいて継続的に ID を検証します。各々のユーザーとデバイスは、特定のアプリケーション、システム、またはその他の資産へのアクセスが許可される前に、検証および認証されます。VPN と ZTNA は組み合わせて使用することができ、たとえば、特に機密性の高いネットワーク セグメントに対し、VPN が侵害された場合に備えた追加のセキュリティ レイヤーを提供して保護を強化できます。
ZTNA の実装方法
ZTNA の実装には、エンドポイント始点とサービス始点の 2 つのアプローチがあります。名称が示すように、エンドポイント始点のゼロトラスト ネットワーク アーキテクチャでは、SDP と同様に、ユーザーはネットワーク接続されたエンドポイント デバイスからアプリケーションへのアクセスを開始します。デバイスにインストールされたエージェントが、認証の提供と目的のサービスへの接続を行う ZTNA コントローラと通信します。
これに対し、サービス始点の ZTNA では、接続はアプリケーションとユーザーの間のブローカーによって開始されます。このアーキテクチャでは、オンプレミスまたはクラウド プロバイダー環境のビジネス アプリケーションの近くに配置される軽量な ZTNA コネクタが必要です。要求されたアプリケーションからのアウトバウンド接続においてユーザーやほかのアプリケーションが認証されると、トラフィックは ZTNA サービス プロバイダーを経由するようになり、アプリケーションはプロキシを介した直接アクセスから分離されます。このアプローチの利点は、エンドユーザー デバイスへのエージェントのインストールが不要である点です。そのため、コンサルタントやパートナーなどが非管理対象のデバイスや BYOD デバイスを使用してアクセスする際に有効な方法となります。
デリバリ モデルについても、スタンドアロン ZTNA とサービスとしての ZTNA の 2 つのオプションがあります。主な違いは次のとおりです。
スタンドアロン ZTNA では、セキュアな接続を仲介する環境(クラウドまたはデータセンター)のエッジに配置される ZTNA の要素すべてを、組織が展開および管理する必要があります。クラウド導入に否定的な組織には有効なモデルですが、展開、管理、メンテナンスの負担が発生します。
クラウドホスト型のサービスとして ZTNA を使用する場合は、展開からポリシー適用までに至る全段階で、クラウド プロバイダーのインフラストラクチャを利用できます。この場合、組織が行う必要のある手順は、ユーザー ライセンスの取得、セキュリティ保護されたアプリケーションの近傍へのコネクタ展開のみであり、接続性、キャパシティ、インフラストラクチャの提供はクラウド プロバイダー/ZTNA ベンダーが担います。管理と展開が容易であるほか、クラウドで提供される ZTNA によって、すべてのユーザーの遅延を最小限に抑える最適なトラフィック パスが選択されます。
Gartner の試算によると、組織の 90% 以上がサービスとしての ZTNA を採用しています。
