ゼロトラスト ネットワーク アクセスの概要
機密データとシステムを保護しながら、どこからでもプライベート アプリへの安全なアクセスを可能にするZTNAの詳細を解説します。
ZTNAの基礎
ZTNAの基本
01
ZTNAとは
ZTNAは、検証済みのユーザーとデバイスのみが重要なリソースに接続できるようにすることで不正アクセスをブロックするサイバーセキュリティ テクノロジーです。
02
ZTNAが必要な理由
ZTNAは、内部アプリやデータへのセキュア リモート アクセスを確保し、侵害リスクを低減します。また、必要な場合にのみアクセスを許可することで攻撃対象領域を最小化し、サイバー攻撃を防ぎます。
03
ZTNAの仕組み
ZTNAはユーザーとデバイスを認証し、場所やポリシーなどのコンテキストを評価します。その後、検証済みの場合のみ、特定のリソースへのアクセスを許可します。
ZTNAの基本原則
ZTNAの4つの柱
ZTNAは、どこからでもあらゆるユーザーにプライベート リソースへの安全なアクセスを許可します。すべては、ネットワーク中心のセキュリティとは根本的に異なるアーキテクチャーから始まります。
ネットワークではなくアプリへのアクセス
アプリケーション アクセスをネットワーク アクセスから完全に分離することで、リスク エクスポージャーを最小限に抑え、ラテラル ムーブメントを防止し、ユーザー アクセス管理を簡素化します。
ネットワークIPアドレスの不可視化
アウトバウンド専用の接続により、ネットワークやアプリのインフラは許可されていないユーザーからは見えなくなります。そのため、ハッカーはインターネット経由でこれらを確認したり、アクセスしたりすることが困難になります。
ネイティブなアプリ セグメンテーション
ユーザーはアイデンティティーと最小特権アクセス制御に基づき、特定のアプリに1対1で直接接続できるため、ラテラル ムーブメントのようなリスクを排除できます。
境界セキュリティではなくユーザーとアプリ間のセキュリティ
エンドツーエンドの暗号化マイクロトンネルは、ユーザーをアプリに安全に接続し、従来のVPNや専用MPLSをインターネットベースのアプローチに置き換えます。
VPN vs. ZTNA: Which is Better for Secure Remote Access?
VPNとZTNAにはどちらもメリットがありますが、スケーラブルなセキュリティを提供し、攻撃対象領域を最小化しながら、従来のネットワーク セキュリティのコストを排除できるのはZTNAだけです。
ZTNAのメリット
セキュリティ態勢と俊敏性の向上
インフラの不可視化
許可されたユーザーはネットワークではなく、プライベート アプリに直接接続されるため、ラテラル ムーブメントのリスクが排除されます。
可視性と制御の強化
管理を簡素化し、すべてのアクティビティーをリアルタイムで確認できる一元管理ポータルを通じて、きめ細かな制御を適用します。
アプリ セグメンテーションの簡素化
複雑なネットワークレベルのセグメント管理を必要とせず、アプリケーションレベルでのきめ細かなセグメンテーションを可能にします。
柔軟な展開と拡張
数週間や数か月ではなく数日で展開し、ニーズの変化に応じて新しいライセンスを瞬時にプロビジョニングすることで、簡単に拡張できます。
ZTNAのユースケース
データ センターやクラウドのアプリ、OTシステムへのセキュア リモート アクセスで、VPNのリスクを排除します。
ネットワークを攻撃のリスクにさらすVPN
ZTNAがどのようにリスクを軽減し、シームレスな生産性をサポートするかご確認ください。
ZTNAの実装戦略
ZTNAの実装方法
以下の3つのフェーズで、スムーズな導入とセキュリティの強化を確保します。
フェーズ1:リモート ユーザー用のVPNから移行する
プライベート アプリの使用状況をマッピングし、現在のVPN設定と同様のアクセスレベルを設定することで、移行中のユーザーの生産性を維持します。
フェーズ2:マイクロセグメンテーションを追加する
重要なアプリに対してきめ細かなアクセス ポリシーを作成し、インフラ サーバーや管理ポートを優先して価値の高いリソースを保護します。
フェーズ3:すべてのユーザーにZTNAを展開する
暗号化されたマイクロトンネルを介してすべてのリソース アクセスをルーティングし、リモート ユーザーとオンサイト ユーザーの両方にコンテキストベースのポリシーを適用します。
ZTNAの展開モデル
組織のニーズに合わせたZTNAの展開
組織のセキュリティやアクセス、コンプライアンスのニーズに最適なZTNAの展開モデルを選択できます。
ユーザー デバイスがZTNAソリューションに接続します。ZTNAはアイデンティティーとコンテキストを検証し、承認が完了すると、ネットワーク全体を公開することなく必要なアプリへのアクセスを許可します。
対象:リモート ワーカーがプライベート クラウド アプリにアクセスする場合
アプリはZTNAソリューションの背後に配置されます。ZTNAはユーザー アクセスを最初に認証し、トラフィックをフィルタリングして、ユーザーが承認されたアプリにのみアクセスできるようにします。
対象:オンプレミス アプリまたはレガシー アプリを保護する場合
エンドポイント主導型ZTNAとサービス主導型ZTNAを組み合わせることで、特定のセキュリティ、拡張性、インフラの要件や制限などのニーズに柔軟に対応できます。
対象:リモート ユーザーとオンプレミス リソースがそれぞれ異なるアクセス モデルを必要とする場合
組織のプライベート インフラでホストされるローカルZTNAソリューションは、機密データや規制対象環境へのアクセスを完全に制御し、コンプライアンスをサポートします。
対象:厳格なコンプライアンスやデータ主権、事業継続性のニーズを重視する組織
詳細はこちら
過去1年間にVPN関連の侵害を受けた組織は56%
81%の組織が次年度中にゼロトラスト フレームワークの導入を予定している理由をご確認ください。
ゼロトラストの基本知識
その他のトピック
リソース ハブで基礎知識やユース ケース、メリット、戦略について学べます。
よくある質問
ZTNAはユーザー アイデンティティー、デバイス ポスチャー、場所を検証してから必要なアプリへのアクセスを許可することで、リモート アクセスを保護します。暗号化されたマイクロトンネルを使用してアプリを分離し、許可されていないユーザーからネットワークIPを隠し、きめ細かなポリシーを適用してラテラル ムーブメントを防止します。この仕組みによって、ネットワークを脅威にさらすことなく、ユーザーが安全にリソースにアクセスできるようになります。
ZTNAは、以下のような大きなビジネス上のメリットを提供します。
- リスクの軽減:必要なアプリにのみアクセスを許可することで、侵害やラテラル ムーブメントを最小限に抑えます。
- コンプライアンスの強化:機密データを保護することで、規制要件を順守できます。
- リモート ワークの推進:分散した従業員に安全でシームレスなアクセスを提供します。
- 運用の効率化:アクセス管理とポリシーの施行を簡素化します。
- スケーラビリティーの向上:ハイブリッド環境や進化し続ける環境にも柔軟に対応し、未来を見据えたセキュリティを確保します。
ZTNAは、アプリをネットワークから切り離し、クラウドIPアドレスを隠すとともに、暗号化されたマイクロトンネルを介したアイデンティティーベースの安全な接続を活用して、クラウドのセキュリティを強化します。コンテキストに基づくきめ細かなポリシーは、アプリ固有のリスクを抑制し、クラウド環境内でのラテラル ムーブメントを防止することで、不正アクセスやデータ侵害のリスクを軽減します。
IAMは、システム全体でユーザー アイデンティティーと権限を管理します。一方、ZTNAはネットワークを公開することなく、アプリごとにコンテキスト対応型の安全なアクセスを提供します。IAMは誰がアクセスできるかを管理し、ZTNAはそのアクセスが安全に行われるようにすることで、互いを補完しながら、セキュリティを強化します。
ZTNAはSASEフレームワークにおいて重要な役割を果たし、アイデンティティーに基づくポリシーを通じてアプリごとに安全なアクセスを提供します。SASEは、ZTNAをSD-WANやその他のツールと統合し、シームレスで安全な接続を実現します。これらを組み合わせることで、リモート、ハイブリッド、クラウド環境全体でエンドツーエンドのセキュリティを提供すると同時に、アクセス管理を簡素化し、組織のニーズに合わせて拡張します。
ZTNAは、ハイブリッド ワーク、規制要件、強力なデータ保護を必要とする環境に簡単に適応します。そのため、プライベート アプリケーションへの安全なアクセスを必要とする業界は、ZTNAの恩恵を受けることができます。特に、以下のように機密データを多く扱う業界で大きな価値を発揮します。
- 医療:患者記録の保護
- 金融:金融取引の保護
- 政府:機密情報の保護
- テクノロジー:安全なリモート ワーク環境の提供