ZTNAは、従来のネットワークセキュリティモデルとは異なる次世代セキュリティフレームワークです。マルウェアを筆頭とするサイバー攻撃が取り沙汰される昨今、セキュリティ対策は企業における重要な課題となっています。
従来、主流だったVPN接続よりも安全な手段としてZTNAが注目されていますが、その概要を知らない人も多いでしょう。本記事では、ZTNAの特徴や仕組みをVPNとの違いを踏まえて解説します。
目次
ZTNA(ゼロトラストネットワークアクセス)について
ZTNAの導入を検討する前に、概要を把握することが大切です。ここでは、ZTNAの特徴と併せて、従来のVPNとどのような違いがあるのかを解説します。
ZTNAとは
ZTNAは「Zero Trust Network Access」の頭文字をとった言葉です。「ゼロトラスト」とは「誰も信用しない」という意味があり、ネットワークの内外を問わずすべてのアクセスを検証したうえで、許可を与える仕組みを構築します。
また、アプローチの一部として「最小権限」を採用している点も大きな特徴です。業務を遂行するうえで最低限必要とされるアクセス権のみに許可を与えるため、外部からの不正アクセスや情報漏えいはもちろん、内部不正のリスク軽減にもつながります。
近年、多くの企業でテレワークが導入されており、社外でクラウドデータにアクセスするケースが増えました。その結果、従来型のセキュリティモデルでは脅威に太刀打ちできない脅威に対するセキュリティ強化が求められています。ZTNAは現代のセキュリティ対策に適した仕組みです。
ZTNAとVPNの違い
前述したように、ZTNAは社内外を問わず、すべてのアクセスを信用しないことが前提です。一方で、VPNは、内部のアクセスのみを信用し、外部からのアクセスを信用しない仕組みを指します。
基本的に、VPNは一度認証されたユーザーは、継続してアクセスできますが、ZTNAではその都度認証・検証が実施される点も大きな違いといえるでしょう。
以下の表では、ZTNAとVPNの違いを詳しくまとめています。
| ZTNA | VPN | |
|---|---|---|
| 信頼の前提 | 社内外を問わず誰も信用しない | 社内のアクセスのみ信用する |
| 認証プロセス | 継続的に認証・検証 | 一度認証されれば継続される |
| アクセス範囲 | 必要最低限のリソースのみ | ネットワーク全体にアクセス可能 |
| 導入環境 | クラウド・オンプレミス・ハイブリッドなど幅広く対応 | オンプレミス環境が中心 |
| 管理の柔軟性 | 静的ルールに依存 | 動的なポリシー適用 |
ZTNAの基本的な仕組み
続いては、ZTNAの基本的な仕組みについて詳しく解説します。
アクセスが別の設定となる
従来のセキュリティモデルでは、1回ログインするとネットワーク全体にアクセスできるケースが一般的です。一方で、ZTNAは「ゼロトラスト(誰も信用しない)」の原則に基づいた仕組みになっています。そのため、ユーザー認証とデバイス認証を個別に行い、それぞれの条件が満たされない場合はアクセスできません。
これにより、テレワークで社外のさまざまな場所からアクセスする場合も、その都度確認や許可が実行されます。その結果、万が一、不正アクセスが発生したとしても、被害の拡大を防ぐことが可能です。
セキュリティ対策
ZTNAでは、アクセス要求を処理するにあたって、デバイスの種類やOS・ソフトウェアの更新状況、デバイス暗号化などを踏まえてリスクを評価します。これらの評価は、リアルタイムで行われ、動態に応じてアクセスの可否や制限が実行される点が特徴です。
例えば、アクセスしている途中でウイルス対策ソフトが無効化されれば、セッションを速やかに切断します。また、安全なネットワークから公共Wi-Fiに切り替わった際は、その都度追加認証を要求することが可能です。
このように、デバイスの状態(セキュリティの状態)を踏まえてアクセスを制御できるため、従来のネットワークセキュリティと比べて柔軟かつ高度に情報を保護できます。
IPアドレスを非表示
ZTNAの基本的な機能として、IPアドレスの非表示化も挙げられます。アクセス制御やセキュリティ強化のための仕組みであり、サーバーやアプリケーションなどのリソースも、インターネット上に直接公開されることはありません。
IPアドレスの非表示化により、DDoS攻撃やスキャン攻撃の対象になりにくい点は大きなメリットといえます。近年、VPNの脆弱性が指摘され、セキュリティ対策をアップデートしないまま継続していた企業のIPアドレスが取引される事例が発生しました。こうした問題においても、ZTNAを導入していれば、攻撃リスクの軽減につながります。
また、承認されていないユーザーにIPアドレスを知られたり、アクセスされる恐れもなく、攻撃対象から外れるだけでなく、リモートワークやクラウド活用をする上でも安全です。
MPLSが不要
ZTNAは、従来のMPLS(Multiprotocol Label Switching)に依存しないネットワーク設計を実現しています。MPLSとは、IPアドレスの代わりにラベルを用いて高品質なデータ転送を保証するネットワーク技術です。
MPLSの課題として、専用回線を構築する必要があり、運用にコストがかかる点が挙げられます。また、新たに拠点を設ける場合は、対応に時間がかかる点もデメリットです。
ZTNAでは、通常のインターネット回線を使用します。通信データは、TLS(Transport Layer Security)によって暗号化されるため、安全に使用することが可能です。
さらに、MPLSは物理的な拠点間接続に適している一方で、リモートやクラウドリソースには向いていません。その点、ZTNAはどこからアクセスしても、一貫したセキュリティを提供できます。
IdPおよびSSOと連携
ZTNAは、個別のIDプロバイダー(IdP)やシングルサインオン(SSO)プラットフォームと連携しています。また、両方と連携しているケースもあり、セキュリティ強化や情報の一元管理に効果的です。
IDプロバイダーとは、ユーザー認証を管理するシステムを指し、ユーザーの認証やアクセス権の提供などを担います。シングルサインオンは、一度の認証で複数のアプリケーションやリソースにアクセスする際に役立つ仕組みです。
ユーザーがZTNAにアクセスすると、IdPに認証リクエストが送られます。認証が実行されると情報に基づいてアクセスの可否を決定する流れです。
ZTNAの特徴
続いては、ZTNAの特徴を4つ解説します。
セキュリティ対策の向上
ZTNAは、利便性が高まるだけでなくセキュリティ対策の向上にも役立ちます。ユーザーは、社内ネットワークに接続する必要がなく、ZTNAのベンダーが提供するアクセスポイントへ直接通信するためです。
このアクセスポイントは、ユーザーとアプリケーションやデータといった保護対象のリソースをつなぐ中間地点になります。ZTNAの原則である「ゼロトラスト(誰も信用しない)」が適用されており、動的かつ精密なアクセス制御を提供される点が特徴です。VPNゲートウェイとは異なり、外部攻撃の標的となる可能性が低くなるため、セキュリティリスク低減にもつながります。
通信品質の確保
ZTNAの大きな特徴は、グローバル分散型のアクセスポイントを採用している点です。各国にアクセスポイントを有しているため、ユーザーがアクセスする経路が最適化され、もっとも近いポイントに接続できます。このように、地理的な距離が短縮されることで、通信の遅延や待ち時間の低減が可能です。
そのほか、過剰に負担がかかっているアクセスポイントにデータ信号量や密度であるトラフィックが集中しないように、分散制御できる点も特徴です。こうした動的な負荷分散によって、スムーズな通信を確保しています。
高いセキュリティを確保しながら、通信のパフォーマンスを下げない点はZTNAを利用する大きなメリットといえるでしょう。
一元管理できる
ZTNAを導入すると、社内全体のセキュリティポリシーを一元管理できます。
従来のセキュリティ対策では、拠点ごとにセキュリティポリシーを管理する必要がありました。その結果、管理作業が煩雑になりセキュリティリスクが高まるケースも少なくありませんでした。
一方で、ZTNAによる一元管理では、複雑なセキュリティ管理の簡略化が可能であり、アクセス制御や監視などを効率的に実施できます。また、管理者は、セキュリティポリシーに加えて、リソースやユーザー、デバイスなども単一のプラットフォームから統括的に制御できるため手間がかかりません。
そのほか、すべてのアクセス試行を記録しており、異常な活動はリアルタイムで検出されるため、迅速な対応が可能です。
容易に追加できる
ZTNAは、安全性の高い通信を行うためにほとんどの処理をクラウド側で実行します。そのため、ライセンスベースで容量や機能の拡張が可能であり、企業側でハードウェアを追加する必要がありません。また、複雑な構成変更を行う手間も不要で、需要に合わせて容易にリソースを拡大できます。
例えば、急にユーザーを追加する必要がある場合も、速やかに対応できるほか、大規模なデータ転送もスムーズです。加えて、ユーザーが追加される地域ごとに、新たなアクセスポイントが有効化される点も特徴で、リソース拡大を理由にアクセスの遅延や待ち時間などの心配はありません。
ZTNAを導入する際の注意点
ZTNAは、便利かつセキュリティ面もメリットの多い接続手段です。より安全にZTNAを導入するには注意点を押さえておく必要があります。ここでは、2つの注意点について解説します。
業務効率に影響がでる場合がある
ZTNAの原則は「ゼロトラスト(誰も信用しない)」であり、すべてのアクセスでユーザー認証とデバイス認証を実行します。これにより、ログインにかかるプロセスが従来の接続方法よりも長くなる可能性がある点は否めません。
また、設定ミスや不備が発生した場合、必要なリソースにアクセスできないケースも考えられます。とくに、既存のアクセスモデルからZTNAに移行する際は、設定ミスや誤解が生じやすいため注意が必要です。
業務効率低下を避けるためにも、新しいアクセス方法や認証手順などを社員に徹底して教育をする必要があります。併せて、セキュリティ面と利便性のバランスを踏まえて、設定を検討することも重要です。
ニーズを把握する
ZTNAを導入する際は、企業の規模や既存のITインフラ、セキュリティ要件など自社のニーズを踏まえて検討することが大切です。
とくに、VPNを構築している場合は、ZTNAを導入する理由を明確にしなければなりません。たとえば、VPNだけではセキュリティに不安があり、補完としてZTNAを導入したいという企業も多いでしょう。また、VPNの代替としてZTNAを取り入れるケースもあります。
ZTNAを導入する前に、VPNの利用状況を把握したうえで課題を特定し、レベルに合わせたZTNA導入計画を策定しましょう。
また、ZTNAは比較的新しい技術であり、ベンダーの選出も重要なポイントです。より確実なセキュリティ体制を整えるためにも、ZTNAの技術や知識に長けたベンダーを選ぶ必要があります。
ibisStorageでZTNAを実現しよう
ibisStorage(アイビスストレージ)は、1アカウント600円から導入可能なクラウドストレージです。ゼロトラストセキュリティに対応しており、さまざまな脅威から大切なデータを保護します。
例えば、端末認証機能では、未承認のパソコンからのアクセスをすべてブロック可能であり、テレワークやリモートワーク中でも安心です。また、監査ログ機能が備わっているため、データをダウンロードした時刻やログイン時間、権限変更の記録などをタイムリーに確認できます。
安心安全なクラウドストレージを探している人は、ゼロトラストセキュリティに対応したibisStorageをご検討ください。
