ゼロトラスト ネットワーク アクセス(ZTNA)とは

ZTNAが現在重要な理由

これからの働き方は分散型であり、リモート ワークやクラウド ワークロードには安全なリモート アクセスが求められます。しかし、仮想プライベート ネットワーク(VPN)などの従来のリモート アクセス ソリューションは、分散環境に適した柔軟性やきめ細かさを備えておらず、侵害リスクを増加させます。こうした状況が、最近になって組織の65%がVPNからZTNAなどのソリューションに移行する計画を報告した主な理由です。

ZTNAの仕組み

ZTNAは、重要なリソースを危険にさらすことなく、あらゆるユーザーに対してどこからでも社内アプリケーションへのセキュア リモート アクセスを提供します。これを実現するために、ZTNAはネットワーク中心のソリューションとは根本的に異なるアーキテクチャーを採用しています。

ZTNAはソフトウェア定義の境界(SDP)に基づき、アイデンティティーベースの安全なアクセス制御を行います。これにより、組織はVPNを廃止するとともに、DDoS対策、グローバル負荷分散、ファイアウォールといったツールの利用を軽減できます。

ZTNAは以下の4つの基本原則に従っています。

1. アプリへのアクセスをネットワークから完全に分離：侵害されたデバイスによる感染などのリスクを軽減し、承認されたユーザーのみに特定のアプリケーションへのアクセスを許可します。
2. 権限のないユーザーに対してネットワークやアプリのインフラを不可視化：アウトバウンドのみの接続により、IPアドレスがインターネットに公開されることがなくなり、ネットワークを検出不可能にします。
3. 承認されたユーザーに1対1でのアプリへのアクセスを許可：ネイティブなアプリ セグメンテーションにより、ユーザーはネットワーク全体ではなく特定のアプリのみにアクセスできます。そのため、ラテラル ムーブメントのリスクが排除されます。
4. 境界型のセキュリティではなくユーザーとアプリ間のアプローチを採用：専用MPLSではなく、エンドツーエンドで暗号化されたマイクロトンネルを活用することで、インターネットが新たな企業ネットワークとなります。

ZTNAの運用上のメリット

VPNによって重大なコンプライアンスとセキュリティ リスクが生じるなか、ますます多くの組織がZTNAのメリットに気付き始めています。ZTNAへの移行を進める主な理由は以下のとおりです。

• 従来のアプライアンスの排除：VPNなどの従来型のリモート アクセス アプライアンスを廃止し、100%ソフトウェアベースのソリューションに完全に置き換えます。
• シームレスなユーザー エクスペリエンスの提供：ユーザーのトラフィックをデータ センター経由でバックホールしないため、ユーザーはアプリケーションにダイレクトに高速アクセスできます。
• 簡単に拡張可能：ニーズの変化に合わせて簡単に拡張できます。新たな展開を必要とすることなく、追加のライセンスのプロビジョニングのみで対応できます。
• 迅速な展開：アプライアンスベースのソリューションは展開に数週間や数か月かかるのに対し、ZTNAはわずか数日でどこにでも展開できます。

ZTNAのセキュリティ上の利点

ZTNAは、以下のことを実現して組織の全体的なセキュリティ態勢と俊敏性を強化します。

• インフラの不可視化：承認されたユーザーに対して、社内ネットワークではなくアプリケーションへのアクセスを提供します。これにより、インフラを隠したまま、ネットワークへのリスクを排除します。
• 制御と可視性の強化：一元化された管理ポータルにより、管理が簡素化され、きめ細かな制御が可能になります。また、すべてのユーザーとアプリのアクティビティーをリアルタイムで可視化し、ユーザーやグループに対して動的なポリシーを施行します。
• アプリ セグメンテーションの簡素化：ネットワークレベルの複雑なセグメント管理を必要とせず、アプリケーションレベルでのきめ細かなセグメンテーションを可能にします。
• SASEとの統合：ZTNAはセキュア アクセス サービス エッジ(SASE)モデルの重要な要素であり、統合されたクラウド ネイティブ プラットフォームにおいてSD-WANや次世代ファイアウォール(NGFW)などのツールと統合されています。

ZTNAでマルチクラウド アクセスを簡素化する仕組み
ZTNAは、場所を問わずユーザーと特定のアプリケーション間の安全な直接接続を提供することで、マルチクラウド アクセスを簡素化します。複雑なネットワークレベルの設定や冗長なVPNは不要で、アイデンティティーベースの認証ときめ細かなアクセス制御によってクラウド全体のセキュリティを統合します。

ZTNAの実装方法

ZTNAの導入は、スムーズな採用、セキュリティの強化、リスクの軽減を目的として段階的に進めます。

• フェーズ1:リモート ユーザーから開始：既存のリモート アクセス用のVPNソリューションを置き換え、環境全体のプライベート アプリの使用状況をマッピングします。まずは現在のVPN設定と同様のアクセスレベルを定義して、ユーザーの移行中も生産性を維持できるようにします。
• フェーズ2:マイクロセグメンテーションを導入：重要なアプリケーションを特定し、特定のユーザー グループに対してきめ細かなアクセス ポリシーを作成します。まずはインフラ サーバーや管理ポートのセグメント化を優先し、価値の高いリソースを保護します。
• フェーズ3: ZTNAを全ユーザーに拡張：リモートとオンサイト両方のユーザーのプライベート アプリへのアクセスをZTNAに移行し、暗号化されたマイクロトンネル経由ですべてのリソースへのアクセスをルーティングするようセグメントを設定します。コンテキストベースのポリシーが全体に適用されるようにします。

適切なZTNAソリューションを選択するための重要な考慮事項

競争の激しい現在の市場において、ZTNAソリューションを独自のニーズに合わせて評価する際には、以下のような他の重要な基準も考慮することが重要です。

• クライアント要件：ソリューションにはエンドポイント エージェントが必要か？どのようなデバイスがサポートされているか？BYODやサードパーティー アクセスなどの管理されていないデバイスの場合、エージェントレスZTNAが非常に重要となります。
• アプリケーションのサポート：Webアプリケーションでも、従来(データ センター)のアプリケーションでも、同じセキュリティ機能のメリットが得られるか？
• クラウド レジデンシー：ソリューションはクラウドベースか？セキュリティやレジデンシーのニーズを満たしているか？クラウド型ZTNAは展開を簡素化し、DDoS耐性を強化します。
• 認証基準：どのようなプロトコルがサポートされているか？オンプレミスのディレクトリーやクラウド アイデンティティー サービス、既存のアイデンティティー プロバイダーと統合できるか？
• エッジ ロケーション：ベンダーの拠点はどの程度世界中に分散しているか？
• アクセス制御とセキュリティ態勢：デバイスの正常性やセキュリティ態勢を評価できるか？統合エンドポイント管理(UEM)と統合できるか？

以上の点を念頭に置きながら、組織の目標とビジョンを補完するベンダーを検討してください。

Zscalerのゼロトラスト ネットワーク アクセス

Zscaler Private Access™は、世界で最も幅広く導入されているZTNAプラットフォームで、Zscaler独自のゼロトラスト アーキテクチャーを基に構築されています。クラウド ネイティブなサービスであるZPAは数時間で展開することができ、従来型のVPNとリモート アクセス ツールを総合的なゼロトラスト プラットフォームに置き換えます。

Zscaler Private Accessには以下の特徴があります。

• 従来型のVPNやファイアウォールを超えた、卓越したセキュリティを実現：ユーザーはネットワークではなくアプリに直接接続されるため、攻撃対象領域を最小限に抑えてラテラル ムーブメントを排除します。
• プライベート アプリの侵害防止：インライン防御、デセプション、脅威の分離の機能を備えた優れたアプリ保護機能により、侵害されたユーザーによるリスクを最小限に抑えます。
• 現代のハイブリッド ワーカーに優れた生産性を提供：リモート ユーザーをはじめ、本社や拠点、サードパーティー パートナーにプライベート アプリへの高速かつシームレスなアクセスを提供します。
• ユーザー、ワークロード、デバイス向けの統合型のZTNAを提供：最も総合的なZTNAプラットフォームを活用することで、従業員とパートナーはプライベート アプリ、サービス、OT/IoTデバイスに安全に接続できます。