VPNとは?
エンタープライズVPNは、LANエンドポイントへの安全なリモートアクセスを提供するように設計されています。この技術は一般的に、従業員のオフィス・コンピュータへのリモート・デスクトップ・アクセスに使用されます。VPNは、ポイント・ツー・ポイント(P2P)接続または暗号化された「トンネル」を使用して、内部エンドポイントのIPアドレスが公開されないように保護しながら、直接接続を可能にします。
一般的なVPNプロトコル
- IPSec/IKEv2
- IPSec/L2TP
- オープンVPN
- ポイントツーポイントトンネリングプロトコル(PPTP)
ゼロ・トラスト・ネットワーク・アクセス(ZTNA)は、個々の内部アプリケーションへのセキュアなリモート・アクセスを可能にし、コンテキスト・ベースのアクセス制御技術を含みます。ZTNAは安全な認証プロセスを提供し、リモート・アクセス・サービスを侵害した攻撃者が利用できるツールを制限します。
ZTNAは、アクセス・ブローカーのセキュリティ・エージェントを介してアクセスを提供する。このエージェントは、ユーザーの身元、コンテキスト、ポリシーの順守を検証するだけでなく、定期的な再認証を要求することで、さらなるセキュリティを実現する。ZTNAは適応型信頼モデルを適用し、信頼は決して暗黙的なものではなく、きめ細かなポリシーによって定義された最小特権ベースでアクセスが許可される。ZTNAアクセスブローカーは、デバイスのセキュリティ態勢やクライアントの地理的位置などの接続コンテキストも評価でき、多要素認証や生体認証を要求することもあります。
ZTNAはVPNとどう違うのか?
企業LAN上のエンドポイントへの直接トンネルアクセスを提供するVPNとは異なり、ZTNAは明示的に許可されたアプリケーションとサービスのみにアクセスを提供する。ZTNAの主な目的は、特定のリソースの内部IPアドレスの公開を防ぐことではなく、接続動作の継続的な監視と、Zero Trustの原則に沿ったコンテキストを意識した再認証により、サービスへのきめ細かなアクセス制御を提供することです。
ZTNA技術では、現在のところ、2つの別々の企業LANをWANに完全にブリッジングすることはできないが、アプリケーションやリソースをクラウドホスト化し、どこからでもリモート接続できるようにすることはできる。
どっちがいい?VPNかZTNAか?
VPN接続は "all or nothing "であり、内部エンドポイントやその内蔵ツールへのフルアクセスを提供するため、リスクが発生する。VPNはまた、エンドポイントでのユーザーの行動を監視するための強力な認証コントロールと可視性を欠いている。
ZTNAは、アクセス可能なアプリケーションのきめ細かな制御を可能にし、ゼロ・トラスト・ベースの認証技術を実装することにより、組織の内部リソースへのアクセスを保護するのにVPNよりも適しています。ZTNAは、内部ネットワークを公開することなく、接続中および接続後のユーザーの行動を継続的に監視します。
サプライチェーンの複雑化、IoTデバイスの普及、リモートワークの増加など、現代の企業が直面するネットワーク・セキュリティの課題は、ほとんど克服できないように見えます。管理者は分散作業をサポートする方法を必要としていますが、重要な資産をリスクにさらすことも許されません。複雑でリソースを大量に消費するVPNは、このタスクには適していません。
CylanceGATEWAY™は、ビジネスクリティカルなアプリケーションやサービスへのスケーラブルなアウトバウンド専用アクセスをサポートするよう設計されたクラウドネイティブなZTNAソリューションです。そのマルチテナント・アーキテクチャは、デジタルトランスフォーメーションと分散型業務を念頭に設計されており、強力な人工知能がビジネスのセキュリティ体制を強化すると同時に、きめ細かく動的なポリシーとアクセス制御の設定と管理を簡素化します。
関連リソース
データ損失防止(DLP)
エンドポイントセキュリティ
エンドポイント・プロテクション・プラットフォーム(EPP)
エンドポイント検出と応答(EDR)
エクステンデッド・ディテクション&レスポンス(XDR)
アイデンティティとアクセス管理(IAM)
マネージド・ディテクション&レスポンス
マネージドXDR
MITRE ATT&CK フレームワーク
モバイル脅威防御(MTD)
ユーザーとエンティティの行動分析(UEBA)
ゼロ・トラスト・アーキテクチャ
ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
ゼロ・トラスト・セキュリティ
セキュリティ情報・イベント管理(SIEM)
セキュアアクセスサービスエッジ(SASE)