VPNからのスムーズな移行：ZPAが優れたセキュア アクセス ソリューションである理由 - 第2回

前回のブログでは、VPNが抱える課題や制約を深く掘り下げ、プライベート アクセスの問題を解決するために構築されたZscalerのアーキテクチャーが、それらの課題をどのように克服するかを紹介しました。

今回の記事では、Zscaler Private Access (ZPA)がゼロトラストの基本原則にどのように適応しているかをさらに詳しく解説します。また、ZPAの主要なコンポーネントとそのメリットを取り上げ、ZPAが業界をリードする最新のセキュア アクセス ソリューションである理由を明らかにします。

ZPAはゼロトラスト モデルに基づいて設計されたアーキテクチャーであり、「企業ネットワーク内部はすべて安全」という従来の考え方を根本から覆すものです。

ゼロトラストは、以下の指針に基づいています。

1. 決して信頼せず、常に検証する：ユーザーのアイデンティティー、エンドポイント、ネットワークのセキュリティ ステータスを明示的に検証します。
2. 最小特権アクセスの施行：必要最低限の範囲でのみアプリケーションへのアクセスを許可します。
3. 継続的な監視と検証：ユーザーとエンドポイントは、初回認証後も永久に信頼されるわけではなく、アクセスのコンテキストが変化すると信頼性が再評価されます。

最も基本的なレベルにおいて、ZPAは以下の3つのコンポーネントで構成されています。

1. Client Connector:ユーザーのデバイスにインストールされる軽量エージェントで、プライベート アプリケーション、SaaS、インターネットへの安全なゼロトラスト アクセスを可能にします。

2. Service Edge:世界中に分散されたプラットフォームで、ユーザーとアプリケーション間の接続を動的かつ安全に処理する安全な交換機として機能します。

3. App Connector:データ センターやクラウド環境に展開される軽量の仮想マシンまたはコンテナーで、ホストされたプライベート アプリケーションにユーザーを安全に接続します。

ZPAは一般的なアイデンティティー プロバイダー(IdP)とシームレスに統合し、これらの信頼されたサードパーティー システムを利用するため、ZPAはユーザーの認証情報を保存する必要がありません。

従来のVPNゲートウェイとは異なり、ZPAは送信元NATを使用してService Edgeにアウトバウンド接続するため、公開された静的なIPアドレスが不要になります。Service Edgeは「交換機」として機能し、Client Connector (ユーザー)とApp Connector (対象のアプリケーション)間のポリシーベースの安全なアクセスを提供します。

このアーキテクチャーは、運用を簡素化し、リスクを軽減するとともに、ゼロトラスト主導のネットワーク トランスフォーメーションの基礎を築きます。

メリット1:データ センターを見えない状態に

ZPAはインサイド アウト接続であり、データ センターへの受信接続を必要としません。そのため、リスニング ポートを備えたパブリックIPがなくなり、VPNで一般的に悪用される攻撃対象領域が排除されます。公開されたポートがないため、データ センターは本質的に見えない状態となり、攻撃者からは不可視化され、アクセスも不可能になります。見えないものは攻撃できません。

メリット2:アイデンティティー中心のゼロトラスト アクセス

アイデンティティーはゼロトラストの基盤であり、ZPAはアイデンティティー プロバイダー(IdP)を活用し、アイデンティティーベースのアクセス ポリシーを施行します。たとえば、「決して信頼せず、常に検証する」原則に従い、ZPAはアクセス要求の側面を評価します。

• 強力な多要素認証(MFA)を使用してユーザーのアイデンティティーを確認する
• セキュリティ態勢評価を通じてデバイスのコンプライアンスを検証する
• ネットワークの場所など信頼性の低い要素を信頼の基準にしない

ZPAは、IdPの認証と承認の標準であるSecurity Assertion Markup Language (SAML)をサポートしています。また、ユーザーのアイデンティティー情報の交換を自動化する標準であるSystem for Cross-domain Identity Management (SCIM)もサポートしています。

ZPAでは、認証はIdPによって処理されます。ユーザーがZPAサービスにアクセスすると、認証のためにIdPにリダイレクトされ、完了するとZPAに戻ります。ZPAと認証プロセスの分離には、多数のメリットがあります。

IdPを使用することで、ユーザーはシームレスかつ安全な認証を体験できると同時に、組織は強力な多要素認証(MFA)やMFA疲れ対策(番号の一致や追加の場所のコンテキストなど)のような革新的な機能を活用できます。ユーザーの認証情報が盗まれた場合でも、強力なMFAによって脅威アクターのアクセス取得が阻止されます。

ZPAはユーザーの認証情報を保存せず、ユーザー アイデンティティーや認証情報を管理するために構築されたIdPとの信頼関係を活用します。一部のVPNゲートウェイはLDAPアカウントで構成されており、これが侵害された場合、攻撃者はその認証情報を抽出してActive Directoryに不正アクセスする可能性があります。しかし、ZPAではこのようなリスクが発生することはありません。

VPNやファイアウォールは通常、従来のIPベースのポリシー(たとえば、あるIPアドレスが別のアドレスへの通信を許可する)を適用しており、複雑なファイアウォール ルールを必要とします。一方、ZPAでは、管理者がユーザー グループや属性に基づいてビジネス ポリシーを構成できます。たとえば、財務アプリケーションには財務部門の担当者のみがアクセスできますが、エンジニアリング アプリケーションへのアクセスはエンジニアリング部門の担当者に限定されます。このアプローチにより、ゼロトラストへの取り組みが促進されます。

IdPは、ユーザーのアイデンティティーをZPAに同期します。ZPAはIdPからユーザー名、グループ、部門などのユーザー属性を受け取り、これらの情報をゼロトラストの最小特権アクセスにおける重要な基準として活用します。また、SCIMを使用してユーザー属性情報を同期することで、ゼロトラストを最小特権の原則に基づいて簡単かつ効率的に実現できます。

さらに、ZPAは複数のIdPをサポートしているため、合併、買収、事業分離に伴う統合プロセスを簡素化します。組織が合併を行う場合には、両社のIdPを設定し、それぞれのネットワークにApp Connectorを展開することで、アクセス統合を合理化できます。

ゼロトラストの基本原則である明示的な検証は、ユーザーのアイデンティティーをIdPで確認するだけにとどまりません。ZPAは複数のポスチャー チェックを通じてデバイスのコンプライアンスも検証し、ユーザーが正当であるだけでなく、組織が提供している承認済みのデバイスを使用していることも確認します。

メリット3:アプリケーション セグメンテーションでラテラル ムーブメントを防止

従来のネットワークベースのアプリケーション アクセスでは、クライアントがDNSリクエストを送信し、DNSサーバーがアプリケーションのIPアドレスを返すことで、クライアントがサーバーとの接続を確立します。このプロセスは、ユーザーがオフィスの企業ネットワークにいる場合でも、カフェからVPN経由で接続している場合でも変わりません。つまり、どちらの場合もユーザーはネットワーク内に直接存在することになります。

ZPAのアプローチは、従来のVPNとは根本的に異なります。Client ConnectorがクライアントのDNSリクエストを傍受し、合成IPアドレスを返します。ユーザーは実際のサーバーIPを見ることはなく、ローカルで一意に割り当てられた合成IPアドレスを介してアプリケーションにアクセスします。

Client Connectorは、合成IPアドレス宛てのトラフィックを傍受するための仮想インターフェイスを設定します。アプリケーションのTCPまたはUDPサービス ポートがApplication Segmentの設定と一致する場合、トラフィックはアクセス ポリシーを評価するためにZPA Service Edgeに送信されます。ホスト名のみが一致し、サービス ポートが一致しない場合、トラフィックはクライアント レベルでブロックされます。

ユーザーのデバイス上のClient Connectorは、ローカル プロキシとして機能します。ユーザーがサーバーにトラフィックを送信すると、Client ConnectorはTCP/UDPのデータ ペイロードを抽出し、元のTCP/IPヘッダーなしでTLSトンネルを介してZTEに送信します。その後、データはApp Connectorに渡され、App Connectorはトラフィックを再構築してサーバーに送信します。サーバーからクライアントに戻るトラフィックは、同じプロセスが逆方向で行われます。

ZPAのプロキシ アプローチにより、各セッションがアクセス ポリシーの基準に照らして検証されます。また、ZPAの適応型アクセス ポリシーを施行することも可能で、ユーザーのリスクやデバイス ポスチャーなどのコンテキストが変化した場合には、アクティブなセッションを終了できます。

この合成IPアドレスを利用したアプローチには、次のような重要なメリットがあります。

• ZPAはネットワーク セグメンテーションを必要とすることなく、アプリケーションのセグメント化を可能にします。ユーザーがアクセスできるのは許可されたアプリケーションのみで、実際のIPアドレスを経由したサーバーへのアクセスは意図的に構成されていない限り不可能です。
• ZPAは、ユーザーがアクセスを許可されたアプリケーションのみを表示および操作できるようにすることで、DNS偵察攻撃を防止します。
• ZPAはユーザーをネットワークではなくアプリケーションに直接接続させることで、ラテラル ムーブメントを防止します。
• コンテキストが変更された場合にアクティブなセッションを終了できる、ZPAの適応型アクセス ポリシーを施行します。
• 攻撃者がユーザーの認証情報を盗み、ユーザーを操作してMFAリクエストを承認させることに成功した場合でも、内部ネットワークにアクセスした後にネットワーク トポロジーを把握するための偵察などの追加の攻撃手法は実行できません。
• オンプレミスからクラウドのデータ センターへのアプリケーション移行が大幅に簡素化されます。クライアントは、サーバーの場所を問わずローカルで一意の合成IPアドレスを取得するため、IPアドレスの変更に伴う複雑なルーティングやファイアウォールの変更を考慮する必要がありません。
• ZPAは重複するIPアドレスをサポートするため、合併買収に伴う統合プロセスが大幅に合理化されます。

これらのメリットにより、セキュリティを強化し、柔軟性を提供しながら、組織のデジタル トランスフォーメーションを加速できます。

メリット4:シンプルで柔軟な展開

ZPAの展開は非常にシンプルです。App Connectorは、オンプレミスのデータ センターでもクラウド環境でも、アプリケーションがホストされている場所に展開されます。

唯一のネットワーク要件は、App Connectorがアプリケーションを解決してアクセスできること、そしてZero Trust Exchange (ZTE)へのアウトバウンド接続を確立できることです。

セキュリティにおいて複雑さは最大の敵です。App Connectorは、複雑なルーティングやファイアウォールの構成を必要とすることなくアプリケーションへのアクセスを提供するため、運用の複雑さとインフラ コストを大幅に削減します。

従来のVPNゲートウェイでは、ネットワークのボトルネックが生じやすいのに対し、ZPAは柔軟なアーキテクチャーによってより優れたパフォーマンスを実現します。App Connectorを複数のデータ センターに分散配置することで効率を向上させるほか、帯域幅の拡張にはApp Connectorをさらに追加するだけで簡単に対応できます。この方法は、従来の設備交換よりもはるかに効率的です。さらに、Zscalerは、オーケストレーション ツールを通じてZPAを自動展開できるAPIも提供しています。

この柔軟なアーキテクチャーは、ネットワーク トランスフォーメーションにおける組織の取り組みを強力に支援します。

Zscaler Private Accessは、セキュリティ、柔軟性、そして高いパフォーマンスを実現することで、将来に備えた革新的なサイバーセキュリティ ソリューションを提供します。データ センターの非公開化、アイデンティティーベースのアクセスの施行、ラテラル ムーブメントの防止、展開の簡素化を通じて、ゼロトラストに移行する組織をサポートします。

シリーズ最終回のブログでは、AIを活用したセグメンテーションなど、ZPAがこの分野のパイオニアとして位置付けられる高度な機能とそのメリットについて解説します。

デモを依頼して、ZPAが組織にどのように役立つかをご確認ください。