ZTNAとは？なぜゼロトラストリモートアクセスが重要なのか？

リモートアクセスは仕事や生活を快適にしてくれる反面、セキュリティの保たれていないリモート接続は、サイバー犯罪の標的となってしまいます。そのため、安全なリモートアクセスの確保が企業にとって重要な課題となっています。

そこで、セキュリティソリューションの一つとして、ゼロ・トラストリモートアクセス というものをご存じでしょうか。本記事では、ゼロトラストリモートアクセスの利点から、データセキュリティへの重要性まで、そのあらゆる側面について解説していきます。

Part 1. ゼロトラストリモートアクセスとその仕組み

まず、ゼロトラストリモートアクセスの概念とセキュリティソリューションの仕組みを見ていきましょう。仕組みを理解することで、リモート接続を強化する利点と重要性が見えてきます。

1. ゼロトラストリモートアクセスとは

ゼロトラストリモートアクセスは ゼロトラストネットワークアクセス（ZTNA：Zero Trust Network Access）とも呼ばれ、リモート環境から会社のアプリケーション、サービス、データなど内部リソースに安全にアクセスすることを可能にするセキュリティソリューションです。

ゼロトラストリモートアクセスでは、ネットワーク全体へのアクセスではなく、ユーザが付与されたアクセス許可に基づいて特定のアプリケーションやサービスへのアクセスを提供します。各リモートアクセスセッションごとに適切な認証プロセスを実装することで、接続デバイスに対する固有の信頼(アクセス許可)の概念を排除しています。

認証プロセスによって、許可されたデバイスとユーザーのみが安全にリモート接続を確立できるようになり、サイバー犯罪者による不正アクセスを拒否します。

重要なポイントは、ゼロトラストリモートアクセスは、ユーザー、デバイス、ユーザーの役割、デバイスの場所などのいかなるパラメータに基づいても、どのデバイスやユーザーも信頼できないものと仮定します。要求されたリソースへのアクセス権限を与える前に、すべての新しいリモート接続はセキュリティポリシーに基づいてその都度精査されます。

ゼロトラストリモートアクセスは大きく2種類に分けられます。:

● エージェントベースソリューション: リモートアクセスをしたいローカル端末にアプリケーションをインストールする必要があります。

ソフトウェアは、認証機能をもつZTRA（ゼロトラストリモートアクセス）コントローラに接続し、要求されたリソースのみへのアクセスを許可します。このソリューションは、デバイスを管理するためのデバイス管理インフラストラクチャを利用している企業や組織に適しています。

● エージェントレス・ソリューション: ZTRAコネクタを使用するため、ローカル端末にアプリケーションをインストールする必要はありません。

ZTRAコネクターは、クラウドベースのZTRAコントローラーに接続して認証を行い、アクセス許可を付与します。これは、リモートアクセスに多くの個人デバイスが使われている組織に適しています。

2.ゼロ・トラストリモートアクセスの仕組み

ゼロトラストネットワークアクセスがアクティブになると、特定のリソースへのリモートアクセスは、適切な認証が行われた後にのみ許可されます。認証が成功すると、要求されたリソースへのリモートアクセスが暗号化されたチャネルを介して提供されます。この暗号化により、内部のアプリケーションやデータが外部から閲覧されることを防ぎます。

さらに、ゼロトラストネットワークアクセスは、リソースへの最小特権アクセスを提供します。言い換えると、ネットワーク内にセキュリティの脅威が既に存在していると仮定したシナリオで機能しています。

そうすることで、リモート接続のセキュリティが危険にさらされた場合でも、他のリソースが脅かされる心配はありません。最小特権のリモートアクセスを付与することで、攻撃面を減らしているのです。

Part 2. なぜ、ゼロ・トラストリモートアクセスが重要なのか

ゼロトラストリモートアクセスは、リモートアクセスサービスを利用する組織にとって必要不可欠です。ゼロトラストネットワークアクセスの利点とユースケースによってその重要性は明らかになっています。

1. 様々な環境下での利用

ネットワーク全体のセキュリティを強化するために、ゼロトラストリモートアクセスソリューションは組織ごとに異なるシナリオで使用されています。例えば、企業管理のデバイスと、個人デバイスが入り乱れた環境でのリモートワーキングから、サードパーティのリモートサービスと、幅広いユースケースがあります。ZTNAの利用例を見ていきましょう。

リモート・ワークフォース・アクセス

ゼロトラストリモートアクセスを利用することで、リモート勤務者は、日々の業務に必要なアプリケーション、サービス、およびデータに安全にアクセスできます。すべてのリモートアクセス要求が適切に認証され、不正アクセスが防止されるため、ITセキュリティチームの負担を減らすことができます。また、リモート接続は暗号化されており、外部から覗き見ることができないよう保護されています。

サードパーティーのアクセスコントロール

すべての組織には、サードパーティの契約業者、パートナー、およびサプライヤーを含む広範なユーザーエコシステムがあります。そんな中、サードパーティ業者に企業のリソースへのリモートアクセスを許可することはリスクが高く、不正なリモートアクセスの被害に会う可能性があります。

さらに、サードパーティのデバイスのセキュリティに対する妥協は、企業のネットワークへの侵入を許し、大規模なデータ侵害を引き起こす可能性があります。

ゼロトラストリモートアクセスは、リモート接続を確立する前にサードパーティのユーザーとデバイスを認証し、リクエストされたリソースへの限られたアクセスを暗号化されたチャネルを介して提供します。全社のネットワークではなく、要求されたリソースへの限定的なアクセスを提供します。これにより、攻撃面が減少し、セキュリティの脆弱性を狙ったサードパーティの不正なアクセスを防ぎます。

セキュア・アプリケーション・アクセス

ZTNAを使用すると、ユーザーの役割に応じて特定のアプリケーションへのリモートアクセスを許可することができます。ネットワークアクセス経由でのプロキシを介したアプリケーションへの直接アクセスは禁止されています。

ZTNAコントローラーがリモートユーザーまたはデバイスを認証した後、ZTNAコネクターは、要求されたアプリケーションと認証されたユーザー間でのアウトバウンド接続を、ZTNAサービスプロバイダーを介して許可します。

接続がアウトバウンドであるため、アプリケーションインフラストラクチャは外部ユーザーからは見えません。さらに、IPアドレスはインターネットに露出されないため、サイバー犯罪者による特定は不可能です。認証されたユーザーに対するセキュアなアプリケーションアクセスは、一対一の基準であり、サイバー攻撃におけるラテラルムーブメントを防ぎます。

IoT & BYOD セキュリティ

多くの企業は従業員に "”bring your own device（個人の端末の持ち込み）”(BYOD)" ポリシーを許可しています。 このようなデバイスは従業員の個人デバイスであり、企業はそれらを管理・制御しません。そのため、このような作業デバイスには常にセキュリティ侵害の高いリスクがあり、企業のネットワークへのリモート接続は致命的な結果になる可能性があります。

そのような状況で、ゼロトラストリモートアクセスは非常に効果的です。それは、認証されていないデバイスを信頼しないポリシーに基づいており、攻撃面を減らすために最小特権アクセスを許可します。

ZTNAは、リモート接続チャネルを暗号化することで、すべてのBYODやIoTデバイスにセキュリティを提供します。さらに、ZTNAはセキュリティの脅威を減らすために、より質の良いセキュリティコントロールの実装と多層認証が可能です。

2.ZTNAの利点

セキュリティの強化

ゼロトラストネットワークアクセスの主な目的は、ネットワークのセキュリティを向上させることです。ZTNAは、すべてのリモート接続に対する認証によって強固なセキュリティを実現しています。さらに、リモート接続は暗号化されており、内部のパラメータがサイバー攻撃者に見えないようになっています。

また、認証に加えて、特定のアプリケーションやサービスへのリモートアクセスも提供しています。最悪の場合でも、セキュリティ侵害はアクセスされたアプリケーションやサービスに限定され、ネットワーク全体に拡大することはありません。

適応型アクセス制御

以前は、企業のリソースへのリモートアクセスはユーザーの役割に基づいて提供され、リアルタイムのリスク要因は無視されていました。この暗黙の信頼は、企業のネットワーク全体で重大なデータ侵害を引き起こしました。ZTNAは暗黙の信頼の概念排除し、適応型アクセス制御の概念を導入しています。適切な認証なしには、どのユーザーもアクセスが許可されません。

その他にも、リモート接続に関連するデバイス、アプリケーション、サービス、およびデータに関連するコンテキスト情報の連続的な監視が行われています。コンテキスト情報に基づいてアクセス制御が調整されることで、セキュリティの脅威を即座に緩和することができます。ZTNAは、リモートアクセスを許可する前と後で脅威レベルを判断し、レベルに応じた対応をします。

攻撃面の削減

企業のネットワークへのアクセスではなく、ゼロトラストネットワークアクセスは企業の特定のリソースへのリモートアクセスを提供します。これにより、攻撃面がネットワーク全体から特定のアプリケーションやサービスに削減されます。

リモート接続のセキュリティが侵害された場合、ネットワーク全体が危険にさらされるのではなく、アクセスされたアプリケーションやサービスが影響を受けます。これにより、ZTNAはセキュリティ攻撃のラテラルムーブメントを防止し、被害を特定の領域やリソースに制限します。

リモートワークのサポート

セキュリティ攻撃がリモートワークデバイスから発生している今日において、ZTNAはリモート接続を確保する上で究極のセキュリティソリューションを提供します。マルチファクタ認証、最小特権および適応制御アクセス、ZTNAソリューションのマイクロセグメンテーションにより、企業はリモート接続のために最大級のセキュリティソリューションを利用できます。

このセキュリティ対策が企業にとって、リモートワークと、オフィスワークを融合したハイブリッドワーキングモデルを採用することを可能にしているのです。ZTNAがリモートアクセス用に暗号化されたチャネルを提供するため、ITセキュリティチームは脆弱なリモート接続を追跡し続ける必要もありません。

スケーラビリティ

ゼロトラストネットワークアクセスは、インフラストラクチャに追加の費用がかかることなく、どこからでも無制限のユーザーとデバイスが企業のリソースに安全にアクセスできます。管理されたリモートデバイスだけでなく、管理されていないリモートデバイスにも適しているため、あらゆる側面で比較的経済的で、トレーニングや管理の要件も少ないです。

Part 3. 企業のセキュリティ政策

1つのセキュリティ戦略だけで企業のすべてのセキュリティ脅威を軽減することはできません。そのため、企業は必要に応じて複数のセキュリティ戦略を実施し、完全な企業セキュリティを確保しています。以下は、企業のセキュリティを強化する上で、人気のあるソリューションです。

1モバイルデバイスマネジメント(MDM)

リモートワーカーが仕事でモバイルデバイスを使用している企業にとって、モバイルデバイス管理は必要不可欠です。MDMは、すべてのリモートワークデバイスに均一なセキュリティポリシーを適用する際に効果的です。リモートワーカーはBYODポリシーに従って個人のデバイスを使用しているため、ITチームはリモートデバイスをリアルタイムでモニタリングし、脆弱なデバイスに対してリモートコントロールを介して即時に対処することができます。

例えば、AirDroid ビジネス MDM は受賞歴のあるMDMソリューションです。これは、企業がセキュリティ認証ポリシー、デバイスセキュリティ設定ポリシー、およびアプリケーションデータ漏洩防止ポリシーを設定するのに役立ちます。

2Software Defined Perimeter (SDP)

企業のネットワークへのリモートアクセスを提供するという概念は時代遅れです。SDPセキュリティソリューションは、選択されたリソースへのリモートアクセスの境界を定義します。この境界は、デバイス、ユーザー、場所、さらには日付と時間まで定義することができます。

SDP戦略は、企業のリソース全体に適切なセキュリティポリシーを設定するために、様々な要素と連動して機能します。ユーザーがリモートアクセスできるデータに対して、そのユーザーが何ができるか、できないかを決定することができます。

3Identity and Access Management(IAM)

現在のハイブリッドワークモデルでは、ユーザーとデバイスを特定し、その識別に基づいてリソースへのアクセスを提供することが、セキュリティソリューションにおいて重要です。IAMは管理されたデバイスを識別し、事前に定義されたリソースへのリモートアクセスを提供します。セキュリティポリシーは、ゼロトラストネットワークアクセスにおけるマルチファクタ認証の実装や、管理されていないデバイスに対するシングルサインオンの使用などを管理します。

4Data Loss Prevention(DLP)

データ漏洩防止セキュリティソリューションは、企業の機密データの損失を防止することに焦点を当てています。この戦略では、企業データをその重要度に基づいて分類し、それらへのアクセスを許可するセキュリティポリシーを定義します。機密データへのアクセスだけでなく、この戦略はデータの共有や保存に関するポリシーも明確に規定します。

たとえば、DLP（Data Loss Prevention）ソリューションは、特定の機密データのコピーを許可しないことがあります。DLPソリューションは、データの交換に関するアプリケーションやサービスを監視し、セキュリティポリシーに基づいてそれらへのアクセスをブロックすることがあります。また、ゼロトラスト環境での機密データの暗号化も実施します。

5Extended Detection and Response(XDR)

サイバー犯罪者の標的は常にエンドポイントであるため、企業はエンドポイントの保護にも注力する必要があります。実際、85%のサイバー攻撃がセキュリティの脆弱なエンドポイントから発生しています。EDR（Extended Detection and Response）セキュリティ戦略は、接続されたデバイスを監視し、疑わしい活動を特定し、すぐにセキュリティ脅威を防ぐための手段を講じるという概念に基づいています。

XDR（拡張検出と対応）ソリューションは、セキュリティフィードやログを分析して異常を検出し、持続的なセキュリティ脅威から保護します。エンドポイントに限らず、XDRソリューションはネットワーク、クラウド、アプリケーションにも適用されます。データ分析と自動化を使用して侵入を早期に検出し、さらなる侵入を防止します。

結論

ゼロトラストリモートアクセスは、現在の企業セキュリティにとって必要不可欠です。これは、既存のVPNセキュリティソリューションよりもはるか強固なソリューションです。しあk氏、ZTNAのみを使用するだけでは不十分であり、適用可能な場所でさまざまな有用なセキュリティ戦略を実装することで企業セキュリティを完全なものにしていく必要があります。

よくあるご質問

ゼロトラストネットワークアクセスとVPNの違いは何ですか？

安田有希

ZTNAとVPNの主な違いは、VPNがネットワークへのアクセスを許可するのに対して、ZTNAは特定のアプリケーションやサービスへのアクセスを許可する点です。したがって、VPN接続のセキュリティが危険にさらされた場合、全体のネットワークに侵入される可能性があります。しかし、細かいリモートアクセスにより、ZTNAは特定のアプリケーションやサービスへの攻撃面を制限します。さらに、ZTNAは基本的にすべてのデバイスを信頼しない設計のため、より良い認証を提供します。より柔軟で拡張可能であり、管理されたおよび非管理されたデバイスに適しています。

ゼロトラストはVPNの代わりになりますか？

安田有希

はい、ゼロトラストのリモートアクセスソリューションはVPNソリューションよりも安全です。さらに、ZTNAはVPNよりも速く、スケーラブルです。それゆえ、企業は徐々にVPNサービスをZTNAサービスに置き換えています。2025年までに、ZTNAが世界の組織の75%のVPNサービスを置き換えると予想されています。

ゼロトラストネットワークアクセスの構成要素は何ですか？

安田有希

ZTNAの主要な構成要素は、多要素認証、暗号化されたリモートアクセスチャネル、継続的なアクセス確認、最小特権アクセス、およびマイクロセグメンテーションです。それはユーザーまたはデバイスの認証から始まり、制限付きの暗号化されたリモート接続が続きます。背後では、企業のリソースがチャネル化されたアクセスのためにセグメント化され、攻撃面が制限されています。