ゼロトラストの概念に基づく、よりセキュアなリモートアクセスを実現するためのテクノロジーやソリューション
ZTNAの基本となるゼロトラストとは
ZTNAとは、「Zero Trust Network Access」の頭文字からなる単語で、VPNなどと同じくリモートから社内ネットワークにアクセスするための手段の1つを指す。ゼロトラストと呼ばれる、セキュリティの概念に基づいていることが特徴である。
ゼロトラストとは「ゼロ=何も~しない」、「トラスト=信頼する」という言葉のとおり、「すべての通信を信頼しない」ことを前提に対策を講じる、セキュリティ対策における比較的新しい考え方だ。従来、攻撃は外部から行われるものと考えられ、内部のネットワークは信頼できるものとして、社内ネットワークと外部ネットワークの境界にファイアウォールやIDS/IPSの設置、あるいはVPNの利用などで防御を講じる「境界型防御」が主流であった。いわば性善説に基づく考え方であったが、昨今のテクノロジーの進化やリモートワークを背景に、業務環境の変化などもあり、従来の考え方ではサイバー攻撃への対処が難しくなってきている。
そこで、外部ネットワーク、社内ネットワークを問わず、すべての通信を信頼できないものとして考え、高度なユーザー認証を行い、従業員のアクセス認可をその都度判断して行う、ゼロトラストネットワークが注目されるようになった。ゼロトラストとは、いわば性悪説に基づいたセキュリティポリシーと言えるだろう。
ZTNAとは
ゼロトラストネットワークとは、ゼロトラストの考え方に基づくネットワークであり、複数のソリューションを組み合わせて実現される。その中でも重要なソリューションがZTNAとなる。ZTNAは、従来から用いられてきたVPNに代わるリモートアクセスの手段であり、以下に挙げる3つの特長を持つ。
最小権限の原則
多くのVPNでは、接続時にIDとパスワードによって認証を行うことになる。不正アクセスのユーザーが正規ユーザーと認証された場合、社内すべてのネットワークへのアクセスが許可されることになり、ラテラルムーブメント(水平展開または横展開)を許容してしまいかねない。ZTNAではユーザーごとに与えるアクセス権限を最小限に留めることが基本となっており、ユーザー自身の業務に関係がないサーバーなどへアクセスすることはできない。
高度なユーザー認証
IDとパスワードによる認証だけでなく、指紋認証や顔認証、SMSなど2つ以上の要素を使って行う多要素認証を採用。ユーザー認証のレベルを上げることで、第三者によるなりすましを防ぐ。
端末ごとの信頼性評価
ZTNAでは、従業員が社内ネットワークにアクセスする際、利用端末が会社支給か従業員所有の端末かを判別する。また、OSやセキュリティソフトのアップデート状況などを調査し、端末ごとの信頼性を元にスコア化する。スコアの低い端末からの社内ネットワークへのアクセスを拒否することで、安全性を確保する。
ZTNAのメリット
ZTNAを導入する主なメリットとしては、以下の4つが挙げられる。
セキュリティの向上
VPNと比較して、攻撃対象となるアタックサーフェスが小さくなるため、サイバー攻撃の被害を受けにくくなる。加えて、仮に攻撃者が社内ネットワークに侵入した場合でも、最小のアクセス権限しか与えられないため、ラテラルムーブメントによって社内ネットワークからデータを盗み出すといった被害を抑止可能だ。
スケーラビリティ
VPNでは接続する従業員が多くなることで装置の処理能力がひっ迫し、接続状況が不安定になる事態が多く発生した。ZTNAはクラウドサービス(SaaS)であることから柔軟にリソースの追加・削減が可能なため、従業員数に応じた最適なリソース配分が可能となり、より安定した接続が可能となる。
BYODの実現
先述のように、ZTNAはクラウドによるサービスであり、基本的にアクセスする端末を問わない。そのため、従業員が所有する端末を業務に利用するBYOD(Bring Your Own Device)を容易に実現可能だ。
通信パフォーマンスの向上
ZTNAはクラウドを利用したサービスであることから、提供事業者によってはさまざまな国や場所にアクセスポイントを設置している。そのため、通信経路の最適化が図られ、通信パフォーマンスの向上につながっている。
ZTNAのデメリット
セキュリティを高めるという観点から有効なZTNAの導入だが、以下のようなデメリットもあることも導入前に把握しておく必要がある。
導入に要するコストと時間
ZTNAの導入を行うには、事前に自社のITリソースやデータ、ビジネスプロセス、トラフィックフローなどを整理し、最適化する必要があるため、導入にコストと時間がかかる。
ログインの手間
基本的に多要素認証によってユーザー認証を行うため、ログインに手間を要する可能性がある。また、短時間で認証が切れるソリューションの場合、その都度認証し直す必要性が生じてしまう。
セキュリティ担当者の業務負担
ZTNA導入後は、ネットワーク上のリソースを常時モニタリングし、ログ監視を行う必要性が生じる。そのため、セキュリティ担当者の業務が増えるほか、従業員からの問い合わせへの対応が必要となる場合もある。
業務効率低下の懸念
セキュリティ設定を厳格にしたことで、業務に必要なデータにアクセスできない、あるいは従業員所有の端末で社内ネットワークに接続できないといった問題が発生し、業務効率が低下する可能性がある。基本的にセキュリティと業務における利便性と効率性はトレードオフの関係となるが、自社の状況に応じた適切なセキュリティ設定を行うには、専門的な技術や知識を持った人材が求められるだろう。
