Zero Trust Network Access(ZTNA)とは、企業がZero Trustのセキュリティモデルを適用するための技術です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Zero Trustネットワークアクセス(ZTNA)とは、Zero Trustセキュリティモデルの導入を可能にする技術です。「Zero Trust」は、ネットワークの内側・外側の両方に脅威が存在することを前提としたITセキュリティモデルです。そのため、Zero Trustでは、内部リソースへのアクセスを許可する前に、すべてのユーザーとすべてのデバイスに対して厳格な検証を行う必要があります。
ZTNAは、Software-Defined Perimeter(SDP)のアクセス制御のアプローチに似ています。ZTNAでは、SDPと同様に、接続されたデバイスは、自分が接続されているもの以外のネットワーク上のリソース(アプリケーション、サーバーなど)を認識しません。
住民全員が自分の住む街の住民全員の電話番号が記載された電話帳を手にし、誰でも好きな番号にダイヤルして他の人に連絡できるシナリオを想像してください。次に、誰の電話番号も記載されておらず、電話番号を知らなければ、他の住民に電話をかけることができないというシナリオを想像してみてください。二つ目のシナリオには、迷惑電話がない、間違い電話が無い、悪意のある人が市の電話帳を使って住民をだましたり、詐欺を働いたりする危険性がない、などのような利点があります。
ZTNAは、この二つ目のシナリオのようなものです。しかし、ZTNAは、電話番号の代わりに、「リストにない」 IPアドレス、アプリケーション、サービスを使用します。これは、連絡を取る必要がある二者間で電話番号を交換するように、ユーザーと必要なリソース間で一対一の接続を確立します。しかし、二者間で番号を交換するのとは異なり、ZTNAの接続は定期的な再検証と再作成が必要になりです。
多くの組織がZTNAの代わりにアクセス制御を使用しているものが仮想プライベートネットワーク(VPN)です。ユーザーがVPNにログインすると、ネットワーク全体とそのネットワーク上のすべてのリソースにアクセスできるようになります(これはしばしば、castle-and-moat(城と堀) モデルと呼ばれます)。一方、ZTNAは、要求された特定のアプリケーションへのアクセスのみを許可し、他のアプリケーションやデータへのアクセスはデフォルトで拒否します。
ZTNAとVPNには、技術的な面でも違いがあります。その違いには、以下のようなものがあります。
VPNはユーザーとデバイスを同じように扱い、接続している場所やアクセスする目的を問わない曖昧さがあります。「Bring Your Own Device」(BYOD)のアプローチがますます一般的になっている中、マルウェアに感染したエンドポイントがネットワーク全体に感染する可能性があるため、このようなアクセスを許可することは危険です。このような理由から、VPNは頻繁に攻撃の標的にされています。
ZTNAの構成は、組織やベンダーごとに若干異なります。しかし、ZTNAのアーキテクチャで一貫しているいくつかの基本原則があります。
エージェントベースのZTNAは、エンドポイントとなるデバイスすべてに「エージェント」と呼ばれるソフトウェアアプリケーションをインストールする必要があります。
サービスベースまたはクラウドベースのZTNAは、クラウドサービスであり、エンドポイントアプリケーションではありません。そのためエージェントの使用やインストールの必要はありません。
Zero Trustの理念を取り入れようしている組織は、どのZTNAソリューションがニーズに最も適しているかを検討する必要があります。例えば、管理されているデバイスと管理されていないデバイスが混在していることを懸念している組織であれば、エージェントベースのZTNAが効果的な選択肢と言えるでしょう。また、特定のWebベースのアプリケーションのロックダウン機能に主眼を置いている組織であれば、サービスベースのモデルを早急に展開すると良いでしょう。
また、サービスベースのZTNAは、クラウド上のアプリケーションと連携することは簡単でも、オンプレミスのインフラストラクチャと連携することは容易ではないという点も考慮すべきでしょう。すべてのネットワークトラフィックが、オンプレミスのエンドポイントデバイスからクラウドへ移動した後で再度オンプレミスのインフラストラクチャへと戻らなければならない場合、パフォーマンスと信頼性に大きな影響を与える可能性があります。
ベンダーの専門性:「アイデンティティ/アクセス管理(IAM)」、「ネットワークサービス」、「ネットワークセキュリティ」は従来、すべて個別のものであったため、ほとんどのZTNAベンダーは通常、これらの分野のいずれかを専門としています。企業は、自社のニーズに合った専門分野を持つベンダーを探すか、3つの分野すべてを1つの統合ネットワークセキュリティソリューションにまとめたベンダーを探す必要があります。
導入レベル:組織によって、Zero Trust戦略をサポートするための隣接技術(IdPやエンドポイント保護対策プロバイダーなど)にすでに投資している場合もあれば、ZTNAアーキテクチャ全体をゼロから構築する必要がある場合もあります。ZTNAベンダーは、組織がZTNAの導入を完成させるためのポイントソリューション、ZTNAアーキテクチャ全体を構築するためのポイントソリューション、またはその両方を提供します。
レガシーアプリケーションのサポート:多くの組織では、ビジネスに不可欠なオンプレミスのレガシーアプリケーションを抱えています。ZTNAはインターネット上で動作するため、クラウド上のアプリケーションをサポートすることは容易ですが、レガシーアプリケーションをサポートするためには追加の設定が必要な場合があります。
IdPとの連携: 多くの組織では、すでにIdPを導入しています。ZTNAベンダーの中には、特定のIdPとしか連携できず、そのサービスを利用するために顧客にIDデータベースの移行を強いるベンダーもいます。IdPにとらわれず、あらゆるIdPとの連携が可能なベンダーもいます。
Zero Trust Application Access(ZTAA)は、Zero Trustアプリケーションセキュリティとも呼ばれ、ZTNAと同じ原則をネットワークへのアクセスではなく、アプリケーションへのアクセスに適用します。ZTAAソリューションは、IdPやSSOプロバイダーと連携して接続の暗号化し、アプリケーションへのアクセスリクエストを個別に考慮してリクエストごとにブロックまたは許可することにより、ユーザーのアプリケーションへのアクセスを検証します。ZTAAは、ブラウザを介したエージェントレス、またはエンドポイントエージェントを使用して提供することができます。
詳しくは、Zero Trustセキュリティをご覧ください。
Cloudflareでは、Cloudflareグローバルエッジネットワーク上に構築されたZTNAソリューションを提供し、高速なパフォーマンスを実現しています。詳しくはZTNAソリューションのページをご覧ください。
Zero Trustの理念の背景については、Zero Trustセキュリティに関する記事をご覧ください。
利用開始
アクセス管理について
ゼロトラストについて
VPNリソース
用語集