ZTNA（ゼロトラストネットワークアクセス）とVPNの違いとは？ ZTNAへ切り替えるメリットも紹介

リモートワークの導入および拡大が進むのにともない、注目されるようになったリモートアクセスの手段にZTNA（ゼロトラストネットワークアクセス）があります。セキュリティ対策強化のために、現在利用しているVPNからZTNAへの切り替えをすべきか悩む情報システム担当者の方も多いでしょう。

この記事では、ZTNAの概要と注目されるようになった背景、VPNとの違いについて解説します。現在リモートアクセスの安全性に課題を抱えている方や、ZTNAの導入を検討している方は、ぜひ参考にしてください。

ZTNAとは「Zero Trust Network Access（ゼロトラストネットワークアクセス）」の略で、社内のネットワークやデータを守るために、アクセスを制御するリモートアクセスの手法および考え方を指します。リスクを防ぐために、「ゼロトラスト＝何も信用しない」という考えを元にアクセス環境を運用します。
そのため、制御するアクセスの範囲は社外・社内を問いません。

VPNとは「Virtual Private Network（ヴァーチャルプライベートネットワーク）」の略で、日本語では仮想専用線と訳されます。通信の際には送信側、受信側それぞれに機器や端末を設置し、第三者には見えない仮想的なトンネルを形成して通信（トンネリング）するのが特徴です。
正規の利用者か確認するために通信時に認証を行う、通信内容は暗号化して送信するため万が一トンネルに侵入されても内容を読み取られないようにする、など通信の安全性を高められる仕組みと併用して設置されます。

ZTNAは「社内外ともに信用しない」という考えが基にあるのに対して、VPNでは「社内は安全、社外は危険」という考えを基にしています。そのため、社内はアクセス制御が適用されないのが特徴です。

ZTNAとVPNはいずれもリモートアクセスで用いられている方法です。従来のインターネット接続やリモートアクセスの方法としてはVPNが多く利用されてきましたが、近年のITの進歩により、ZTNAが新たな通信技術として選ばれることも増えました。ZTNAとVPNそれぞれの違いを比較して紹介します。

ZTNAは、ネットワークを許可する相手を最小限に抑えるのが特徴です。VPNでは、ユーザーのIDとパスワードさえ合致すれば、基本的にはすべてのネットワークへのアクセスが許可されます。ZTNAは不要な場所やサイトへはアクセスできないのに対し、VPNは業務上不要な場所やサイトでもアクセスが可能です。

ZTNAはIDとパスワードだけでなく、他の認証要素を加えることでネットワークにアクセスするユーザー認証を高度化しています。VPNのユーザー認証はIDとパスワードの認証のみです。そのため、本来アクセスが不要な場所やアプリケーションにもアクセスできてしまいます。

信頼スコアとはアクセスした人の使用デバイス、アクセスしている場所、セキュリティ対策、OSのアップデート状況などを元に信頼度を数値化したものです。ZTNAは信頼スコアの計測を行い、アクセスしようとしているユーザーが信頼できるかどうかの判別を行います。一方でVPNには、信頼スコアという考え方がありません。

ZTNAはユーザーとデバイスの所在地に関係なく、安全かつ安定的な接続を提供できる通信技術です。VPNはネットワーク上に単一のPOP（ポイントオブプレゼンス）を提供するため、複数のユーザーとデバイスがネットワーク上にあると接続が不安定となります。
アクセスしようとするユーザーが多い、サーバーに負担がかかっているといった時には応答時間が長い、接続が切れるなどの問題が発生することもあるでしょう。

ZTNAはサーバーとアプリケーションそれぞれを個別に区分け（マイクロセグメンテーション）することで、データのやり取り（トラフィック）やアクセスを個別に制御します。マイクロセグメンテーションによって、万が一セキュリティ上のリスクが発生したときにもユーザーを個別単位で保護できるだけでなく、ユーザーのアクティビティや関連アプリケーションの使用状況も可視化できます。アプリケーションの使用状況やキャパシティ、ライセンスの監視や管理にも役立つでしょう。

VPNはマイクロセグメンテーションが導入されていないため、リスクが発生するとユーザー単位ではなくネットワーク単位までリスクが拡大してしまう危険性があります。ユーザー別のアクティビティやアプリケーションの可視化はできないため、監視や管理への活用もできません。

従来のVPNに代わる新しいリモートアクセスの手法として、ZTNAが注目されるようになりました。ZTNAがなぜ注目されるようになったのか、以下では理由を解説します。

働き方改革やコロナ禍を経てリモートワークを導入する企業も増加し、アクセス先や業務に使用するツール、デバイスも多様化しています。その結果、従来のVPNによる接続ではセキュリティや接続の安定性における課題が出るようになった企業も多くなりました。

VPNは「社内は安全、社外は危険」「社内の人間は信用できる」という考え方から成り立っているリモートアクセスの手段です。VPNのぜい弱性（脆弱性）や課題を解決するために、「社内外含めて誰も信用しない」という考えから、厳密にアクセス制御を行う ZTNAが新しいリモートアクセスの手法として注目されるようになりました。

企業の資産にもあたる重要な機密情報を狙ったサイバー攻撃も、手法が多様化しています。VPNの持つセキュリティ上のぜい弱性を狙ったサイバー攻撃も仕掛けられるようになりました。

ZTNAはVPNのセキュリティ上のぜい弱性を解消しているリモートアクセス手法でもあります。サイバー攻撃から自社の機密情報を守るソリューションとして、ZTNAの導入が検討されることも多くなったのでしょう。

ZTNAをリモートアクセスの手法として取り入れることで、VPNの持つぜい弱性や課題の解決につながります。ここでは、通信手段をVPNから ZTNAへ切り替えることで得られるメリットを解説します。

VPNはIDとパスワードの認証を通過すれば、アクセス者にとって業務上不要なシステムを含め、すべての社内データベースやシステムへアクセス可能です。ZTNAは信用スコアやマイクロセグメンテーションなどの仕組みにより、ユーザーのアクセスを厳密に制御し、アクセス許可にも多要素認証を採用しています。たとえ不正な手段でIDとパスワードが認証されても、すべてのシステムへのアクセスは不可能です。

万が一IDやパスワードなどが流出し、不正アクセスが発生しても ZTNAならVPNよりも高いセキュリティ性を発揮できます。社外からの攻撃はもちろん、社内からの不正アクセスへも対策できます。

ZTNAはサーバーへアクセスできるユーザーやデバイスを限定しているため、サーバーへの負荷が少なく通信も安定しています。VPNは認証できたユーザーやデバイスすべてのアクセスを許可するため、サーバーへの負荷も多いのです。

特にリモートワークの拡大によってアクセスが集中することも多く、VPNでは通信が安定しない、接続が切れる、遅いなどの通信上の問題も発生することもあるでしょう。ZTNAは常時安定した通信を提供することでアクセスを最適化するため、業務の効率化や快適なリモートワーク環境の提供による従業員満足度の向上にもつながります。

VPNの場合は、拠点ごとにアクセス制御の管理が必要です。ZTNAは組織全体のアクセス制限をクラウドで一括管理できます。ZTNAへ切り替えることで、サーバーの保守管理の負担や人的リソースの軽減にもつながります。

VPNはゲートウェイなどにぜい弱性情報が出た場合、都度パッチのダウンロードなどの手動でのアップデートが必要です。ZTNAは自動でアップデートされます。

ZTNAはクラウド側で処理の大部分を実行します。VPNの性能は、端末や機器に左右されるのが特徴です。例えば、ユーザーを追加するという急な対応にも ZTNAは柔軟に対応できます。VPNは、機器の性能限界によっては対応ができません。

ZTNAはクラウドベースのため組織のアクセス制御（アクセスポリシー）を一元化できます。VPNは拠点ごとにアクセス制御の管理が必要です。
ZTNAであれば拠点ごとにセキュリティ対応が遅れることがなくなり、組織内で同じセキュリティ性を発揮できます。

VPNからZTNAへ切り替えることで多くのメリットが得られる一方、ZTNA導入には専門的なスキルや知識が必要です。ZTNA導入後のトラブル対応や保守点検も求められます。VPNからZTNAへの切り替えが自社内で難しいときには、外部の導入支援を検討するのがおすすめです。

テクバンでは「Zscaler Private Access 導入支援サービス」を提供しています。Zscaler Private Accessとは、インターネットしかない小規模拠点や外出先、リモートワークにてVPNを使わずZTNAに基づいたセキュアによる、社内システムやアプリにアクセスできる製品です。アクセスの急増にも対応でき、専用機器や保守管理も不要で導入できます。安全かつ安定した通信環境への切り替えをご検討の際には、ぜひお気軽にご相談ください。

ZTNAとVPNの違いと、ZTNAを導入することで得られるメリットを解説しました。リモートワークの拡大により、アクセスの手法や場所、デバイスも多様化しています。また、企業の機密情報を狙ったサイバー攻撃も多様化しました。
VPNでは解決できないセキュリティや接続性の課題解決のために、ZTNAへの切り替えをぜひ検討してみましょう。