ゼロ・トラスト・ネットワーク・アクセス(ZTNA)

ゼロ・トラスト・ネットワーク・アクセスとは何か?

ゼロ・トラスト・ネットワーク・アクセス(ZTNA)は、ネットワークに接続しようとするすべてのエンティティが潜在的に敵対的であると仮定するセキュリティ・モデルである。ZTNAモデルでは、ユーザーの役割や権限は関係ありません。内部アプリケーションやリソースに接続したい場合は、認証を行い、継続的に身元を確認する必要があります。これは通常、コンテキストや行動フラグと組み合わせた厳格なアクセス制御によって実現されます。

ZTNAは、高度に分散したネットワークやサプライチェーンに対応するために必要なものとして登場した。企業がエコシステムを拡張し続けるにつれ、すべてのデバイスとエンドポイントを直接制御することはますます不可能になっている。同様に、このような状況でリモート・ユーザーに無制限のアクセスを拡大することは、ネットワークをさまざまな脅威や脅威行為者に直接さらす可能性があります。

ZTNA

ZTNAのメリット

フォレスター社によると、ZTNAを採用するメリットは以下の通りである:

  • ネットワークの可視化、脆弱性管理、侵害検知の向上
  • マルウェアの伝播防止
  • サイバーセキュリティの設備投資と運用コストの削減
  • コンプライアンス・イニシアチブの範囲とコストの削減
  • 混乱したイベント時の部門間協力の改善
  • ネットワークを流れるデータに対する洞察と認識を強化
  • 脅威によるデータ流出からの保護
  • デジタル・ビジネス変革の強力な基盤

ZTNAは、アプリケーションやサービスへのダイレクトでセグメント化されたアクセスを提供するため、本質的に安全です。ZTNAは、脅威行為者がネットワーク内を横方向に移動できなくなるため、企業の潜在的な攻撃対象領域を劇的に縮小します。また、EDR(Endpoint Detection and Response)からXDR(Extended Detection and Response)へと移行するための基盤も構築します。

しかし、ZTNAの最も重要なメリットは、エンドユーザーにある。ZTNA を採用し、強力なエンドポイント・セキュリティと統合した企業は、有効なユーザーと健全なデバイスのみにアクセスを許可することができます。これにより、機密資産を過度のリスクにさらすことなく、BYODと リモートワークの両方のイニシアチブをサポートすることができます。

ZTNAの追加特典:

  • ネットワークのスピードとパフォーマンスの向上
  • より良いエンドユーザー・エクスペリエンス
  • ハードウェアの追加を必要としない拡張性
  • より簡単なポリシー管理

ZTNAの特徴

ZTNAは、特定の技術への言及というよりも、ネットワーク・モデルである。これは、NIST 800-207で定義されたサイバーセキュリティのゼロ・トラスト・モデルの原則をネットワーク・アクセスに適用したものです。ZTNAを採用しようとする企業は、以下のことが可能であることを確認する必要があります:

  • 全リソースのアクセス権限の継続的な検証と妥当性確認
  • ユーザーの行動に基づいて調整可能な動的アクセス・ポリシー
  • ビジネスのエコシステム全体をリアルタイムで可視化
  • すべてのセキュリティ管理を一元管理
  • サイバーセキュリティAIが理想的にサポートする、拡張された検知とレスポンス
  • アイデンティティとアクセス管理
  • 多要素認証(MFA)
  • セキュリティ監査とレポート

ZTNAの仕組み

従来のネットワークアクセスは、2つの原則に基づいている:

  1. 信じる、しかし検証する
  2. ネットワーク内のすべてのユーザーとエンドポイントは、デフォルトで信頼されている。

残念ながら、このアプローチは、企業のセキュリティ境界が存在するだけでなく、不正アクセスも防ぐことができるという考え方が前提となっている。クラウド・コンピューティングとハイブリッド・ワークによって定義される状況では、どちらの概念も成り立たない。従来のファイアウォールをベースとした境界線は消滅した。

ZTNAは、これを機能的に新しい、よりダイナミックな境界で置き換える。ガートナー社によると、ZTNAは「アプリケーションまたはアプリケーション群の周囲に、IDおよびコンテキストに基づく論理的なアクセス境界」を設けるものである。アクセスは、トラスト・ブローカーを介して、特定の名前付きエンティティに制限される。こうすることで、当該アプリケーションは発見されなくなり、企業の攻撃対象範囲を狭めると同時に、横の動きを防ぐことができる。

ZTNAは、5つの主要原則の上に成り立っている:

  1. 連続モニタリング
  2. 継続的な検証
  3. 最小特権アクセス
  4. マイクロセグメンテーション
  5. デバイスとエンドポイントの認証

ZTNAの使用例

ZTNAは、以下のような高レベルのユースケースに適用できる。

アクセス制御と認証

ZTNAは主に、仮想プライベート・ネットワーク(VPN)などの従来のリモート・アクセス・ソリューションで使用されていた、IPまたはアカウント・ベースのアクセス制御に代わるものとして存在する。アクセス許可に関する厳格なルールと標準を定義・適用することで、企業はきめ細かなレベルでアクセスを設定・制御できるようになります。この点で、以下のような選択肢が考えられる:

  • パッチ未適用のデバイスからの接続要求を防止する。
  • 承認されたセキュリティ・ソフトウェアを実行していないユーザーには認証を許可しない。
  • 個人用デバイスと企業用デバイスに異なる権限レベルを提供する。
  • ユーザーの場所に基づいて権限を変更する。

サプライチェーンマネジメント

ZTNAの性質は、企業のアプリケーション、資産、サービスへのサードパーティのアクセスを制御するのに理想的です。管理者は、請負業者、ベンダー、サプライチェーンパートナーに、絶対に必要な権限とリソースへのアクセス権だけをシームレスに与えることができます。さらに重要なのは、このアクセスを必要な期間だけ継続できるようにすることです。

分散型サイバーセキュリティ

前述したように、現代のネットワークと職場はかつてないほど広範囲に分散している。ZTNAは、このような環境に対応するために必要な足場を企業に提供し、攻撃対象領域を減らすと同時に、分散型業務とハイブリッド業務の両方をサポートします。さらに重要なことは、ZTNAをエンドポイント重視のサイバーセキュリティ戦略に組み込むことで、デジタル・エコシステム全体を総合的に制御し、可視化できるようになることです。

ZTNA対VPN

多くの点で、ZTNAはVPN技術の進化を象徴している。VPNは、企業がセキュリティの境界線を明確に定義し、絶えず進化するエコシステムと戦う必要がなかった時代に、別の時代のために構築された。その結果、ZTNAソリューションと比較すると、VPNテクノロジーには多くの欠点がある。

  • セキュリティ VPNは、企業のネットワークをリモート・ユーザーに拡張するもので、ユーザーは、細かく厳重に管理されたセグメントではなく、セキュリティ境界全体に足を踏み入れることができます。
  • パフォーマンス VPN接続は通常、リソースの使用量が多く、インターフェイスが煩雑で、レイテンシーが大きいという欠点がある。
  • 設定の容易さ。 VPNソフトウェアは、柔軟性や俊敏性を念頭に置いて設計されていない。そのため、状況に応じてセキュリティ・ポリシーや制御を変更することは、非常に困難である。

よくあるご質問

ZTNAとは何の略ですか?

ZTNAとは、Zero Trust Network Access(ゼロ・トラスト・ネットワーク・アクセス)の略で、ネットワークに接続しようとするすべてのエンティティが潜在的に敵対的であると仮定するセキュリティ・モデルである。

ZTNAとは?

ゼロ・トラスト・ネットワーク・アクセスは、すべてのユーザー、エンドポイント、およびエンティティがデフォルトで敵対的であり、検証と認証が必要であると仮定するセキュリティ・モデルである。

ZTNAとVPNの違いは何ですか?

ZTNAソフトウェアは、VPNよりも軽量で、柔軟性があり、機敏である。また、認証されたユーザーにネットワーク全体を拡張するのではなく、きめ細かなアクセスとセグメンテーションのために構築されています。

さらに詳しく

なぜZTNAが重要なのか?

従来のセキュリティ境界はもはや存在せず、従来のネットワーク・セキュリティ・ツールではアクセスを効果的に制御できなくなっている。これは、デジタルトランスフォーメーションを取り入れたいと考えている企業にとっては特に当てはまる。VPNのような旧来のソリューションでは実現できない、俊敏性、柔軟性、セグメンテーションが必要なのだ。

ZTNAとSASEとの関係は?

セキュア・アクセス・サービス・エッジ(SASE)とは、基本的に、複数のセキュリティおよびネットワーキング・サービスやコンセプトを単一の統合プラットフォームに収束させたもので、通常はクラウド経由で提供される。ZTNAは通常、SASEの重要なコンポーネントと見なされている。

ZTNA向けCylanceGATEWAY

CylanceGATEWAY™は、AIを活用したZero Trust Network Access(ZTNA)です。これにより、遠隔地の従業員は、管理対象または非管理対象のあらゆるデバイスから、クラウド内または構内のあらゆるアプリケーションへ、あらゆるネットワークを介して安全なネットワーク接続を確立することができます。このクラウドネイティブなZTNAソリューションは、あらゆるアプリケーションへのスケーラブルなアウトバウンド専用アクセスを提供すると同時に、重要な資産を権限のないユーザーから保護し、攻撃対象領域を最小限に抑えます。

CylanceGATEWAYのマルチテナント・アーキテクチャは、デジタルトランスフォーメーションと分散型業務向けに設計されています。その強力なAIと機械学習は、セキュリティ体制を改善し、きめ細かく動的なセキュリティポリシーとアクセス制御の設定と管理を簡素化します。

詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース