リモートアクセスやパブリッククラウドの急速な普及により、オフィスや外出先、自宅問わずセキュリティレベルの高いネットワークアクセスが求められています。そこで今注目されているのがZTNA(ゼロトラストネットワークアクセス)です。
本記事では、ZTNAおよびその関連製品についてご紹介します。また、テクバンから提供している導入サービスについても併せて解説しますので、ぜひご確認ください。
ZTNAとは?
ZTNA(ゼロトラストネットワークアクセス)とは、「すべてのネットワークアクセスを信頼せず、許可されたアクセスしか通信しない」という、ゼロトラストと呼ばれる考え方に基づいたセキュリティソリューションです。
「許可されたアクセスしか通信しない」という考え方および対応は、今までもパケットフィルタリングやポート制限などで実現していました。ZTNAはそれよりも範囲が広く、ユーザーやアプリケーションも含めて制限します。そのため、今までよりもレベルの高いセキュリティを実現します。
ゼロトラストネットワークについて、下記記事でも詳細を解説しています。
▼ゼロトラストネットワークとは何か? 従来のセキュリティとの違いやメリット・デメリットについて解説
また、関連の記事をご用意しております。ぜひご覧ください。
▼SASEとゼロトラストの違いとは? SASEを活用したゼロトラストの実現方法を解説
ZTNAの仕組み
ZTNAは、3つの要素から構成されています。
- ユーザー認証/アプリケーション認証
- デバイス認証
- 信用スコア
ZTNAはゼロトラストの考えに基づき、あらゆるネットワークを信用しません。ユーザーやアプリケーション、デバイスがアクセスのたびに認証を行い、許可されたものだけにアクセスが可能となります。
また、認証には信用スコアを用いることができます。信用スコアとは、認証対象を評価して管理し、認可を行う仕組みです。例としてデバイスであれば、OSパッチ適用状況やセキュリティ対策ソフトの使用状況を評価し、スコアの高いデバイスのみアクセスを許可することができます。
従来のVPNとの違い
VPN(Virtual Private Network)は「仮想の専用線」を実現する技術です。ファイアウォールを併用して社内・社外で分け、社内ネットワーク向けのあらゆる通信を安全な通信にします。
しかし、仮に境界線となるファイアウォールを攻撃者が突破してしまうと、社内ネットワークは安全ではなくなるのです。
ZTNAは、境界線を意識せず、ユーザーやアプリケーションなどのリソースに対して認証を行います。そのため、許可されていないユーザーやアプリケーションの通信は流れることがありません。これにより、VPNよりも負荷が低く、高速なアクセスを実現します。
下記記事にて、ZTNAとVPNの違いについて詳細を解説しています。
▼ZTNA(ゼロトラストネットワークアクセス)とVPNの違いとは? ZTNAへ切り替えるメリットも紹介
また、VPNの課題とゼロトラストセキュリティについて、下記の資料にて紹介しております。こちらも併せてご確認ください。
VPNにおける3つの課題とゼロトラストセキュリティという考え方
ZTNAが求められる背景
昨今ではリモートワークの導入が急速に増え、安全かつ快適なネットワークアクセスが求められるようになりました。また、パブリッククラウドの採用も進んでいるため、大切な情報をセキュリティリスクから守るために、セキュリティをさらに強固にする必要性があります。
この状況により、管理すべきアクセス制御対象が増え、管理者の負担も増大しています。それだけでなく、通信量も増えたことでコストが増加。また通信速度の低下といった影響を及ぼしています。
以上のように、インターネットを介したアクセスが急速に増加したことで、セキュリティを高めつつ管理負荷を低減するZTNAが求められているのです。
ZTNAの具体的な特長とは?
続いて、ZTNAの具体的な特長をご紹介します。
アクセス被害を最小限にできる
ZTNAでは、許可されたアプリケーションのみアクセスできるという設定が可能です。このため、外部からの不正なアプリケーションによる攻撃を防げます。
またそれだけでなく、もし端末自体が不正に乗っ取られたとしても、一部のアプリケーションしかアクセスできないため、アクセス被害の拡大防止に役立ちます。
不正アクセスについて、下記記事にて詳細を解説していますので、こちらも併せてご参考になさってください。
▼不正アクセスを防ぐには? 被害事例と対策を徹底解説
管理が容易
拠点ごとに機器が設置されていたり、VPNのように拠点ごとにアクセス制御が設定されていたりする場合は、管理すべき対象が多く管理者の負担が大きくなりがちです。
ZTNAであれば、クラウド上からアクセス制御を一元管理できるため、簡単かつ効率よく管理を行えます。
インフラの不可視化
従来であれば、まず端末をネットワークに接続した上でアプリケーションを実行しアクセスを行います。この場合において、端末は既にネットワークに接続しているため、他のアプリケーションでネットワークインフラを見ることができてしまいます。
万が一、端末が乗っ取られてしまうと、ネットワークを通じて他の端末にアクセスされ、被害が拡大する恐れがあります。
ZTNAでは、アプリケーションに対してアクセス許可を出すため、ユーザーはネットワーク接続を意識する必要がありません。また、許可されていないアプリケーションはアクセスできないため、インフラの可視化を防ぎ、セキュリティレベルを高められるでしょう。
ZTNA製品を選ぶときのポイントとは
ZTNA関連の製品は多数あり、どれを選んだらよいか不安に感じる人もいるでしょう。ここでは、ZTNA製品を導入する際に確認すべきポイントについて解説します。
操作性
運用管理の工数をできる限り少なくするために、扱いやすい製品を選びましょう。複数製品を購入するにも、ベンダーを統一しておくと操作に一貫性が生まれるためおすすめです。
また、製品によっては複数のセキュリティ関連機能を備えているものがあります。別途それぞれの製品を購入するより、複数のセキュリティ機能を備えた製品の方が操作方法やユーザーインターフェースが統一されるため、扱いやすいというメリットが得られます。
トラブル時の対処
製品に問題が発生した場合の対処のしやすさを確認しましょう。クラウド型の製品であれば、機器のセッティングやメンテナンスを行う必要がないため管理が楽になります。
逆に、セキュリティ機器を購入し自分でセットアップした場合、セッティングやメンテナンス、機器故障時の対応も自分自身で行う必要があるため、そこまで自分で行えるのか事前に確認してから購入することをおすすめします。
また、複数のベンダーの機器を組み合わせる場合では、それぞれの機能が干渉しないかの確認も必要です。
管理のしやすさ
セキュリティの設定を行う対象はユーザーやアプリケーション、IPアドレスなど多数あります。それらに対してセキュリティポリシーを一つひとつ設定するのは大変です。
情報の一括管理やグループ管理が可能になれば、対象の管理が効率よくできます。できるだけ楽に管理できる機能を持つ製品を選択しましょう。
ZTNA製品のおすすめは?
ZTNA製品を選ぶ際のポイントをおさえたところで、ここでは具体的な製品をご紹介します。
Cisco Secure Access by Duo
「Cisco Secure Access by Duo」は、シスコシステムズ社が提供するセキュリティ製品群「Cisco Duo」のひとつで、ZTNAの機能を提供します。
Cisco DuoはZTNA以外にも、シングルサインオン(SSO)や多要素認証(MFA)、デバイスの可視化など、ゼロトラストセキュリティの考えに基づいた複数の機能を備えています。
またシスコシステムズ社は、ルーターやスイッチなど多数のネットワーク製品を提供しており、Cisco Duoはそれらの製品との連携も可能です。
テクバンでは、Cisco Duo導入支援サービスを提供しています。Cisco Duoの短期間での導入を可能にする他、サブスクリプション型サービスにより初期コストの削減を実現します。
Cisco Duo導入支援サービス
Cisco Duoでセキュリティ強化に成功した導入事例の資料をご用意しております。ぜひダウンロードして、ご活用ください。
【導入事例】ZTNAをポリシーに高度なセキュリティ強化を実現、同時に利便性も向上
Zscaler Private Access
「Zscaler Private Access」は、ゼットスケーラー社が提供するクラウド型リモートアクセスソリューションです。
従来のような自社内にリモートアクセス用のゲートウェイを設置するオンプレミス型とは異なり、セキュリティレベルを高め短期間での展開が可能です。
クラウド型のため、柔軟なリモートアクセス環境を利用できます。例えば、アクセスの急増にも柔軟に対応可能で、社内(オンプレミス環境)以外のプライベートクラウドへもシームレスにアクセスできます。リモートアクセス専用の機器の導入や運用管理も不要です。
Zscaler製品について詳細を知りたい方は、下記記事をご参考ください。
▼Zscalerとは? クラウド時代に必須のセキュリティ対策とゼロトラストの関係を解説
テクバンでは、Zscaler Private Accessの導入支援サービスも提供しています。Zscaler Private Accessの導入を検討されている場合は、ぜひこちらもご参照ください。
Zscaler Private Access(ZPA)導入支援サービス
Zscaler Private Accessの導入事例もご用意しております。ぜひダウンロードして、ご活用ください。
【導入事例】セキュアで高いアクセスコントロールを実現する ZIAとZPAのシナジー
Cato Networks SASE
「Cato Networks SASE」は、ケイトネットワーク社が提供するネットワークセキュリティプラットフォームです。
グローバルネットワークにより、あらゆる端末であらゆる場所からのサービス品質が保証された通信を可能にします。
Cato Networks SASEには、ZTNA以外に次世代マルウェア対策(NGAM)、セキュアWebゲートウェイ(SWG)、次世代FWaaS(Firewall as a Service)などの機能も含まれており、要件に応じた展開が可能です。
テクバンでは、Cato Networks SASEの導入を支援するサービスも提供しています。
Cato Networks SASE導入支援サービス
ibossクラウドプラットフォーム
「ibossクラウドプラットフォーム」は、アイボス社が提供するクラウド型Webゲートウェイです。
会社(本社および拠点)やリモートワークなどの接続元に対して統一したポリシーを提供し、セキュリティ対策を実現します。
他社のクラウドサービスの共有化Webゲートウェイとは異なり、ibossクラウドプラットフォームのWebゲートウェイは顧客ごとに専有化されます。これにより、完全なデータ分離が実現されている他、パフォーマンスも他ユーザーの接続状況による影響を受けにくいというメリットがあります。
テクバンでは、ibossクラウドプラットフォームの導入を支援するサービスを提供しています。こちらも併せてご確認ください。
ibossクラウドプラットフォーム導入支援サービス
ibossクラウドプラットフォームの導入事例の資料をご用意しております。ぜひダウンロードして、ご活用ください。
【導入事例】オフィス外からのアクセスも一元化、セキュリティリスクを軽減
ZTNA導入時に注意するポイント
ここまででZTNAの特長や利点、おすすめの製品をご紹介しましたが、最後に導入時の注意点を解説します。
セキュリティが強すぎると、業務に支障をきたす可能性がある
ZTNAではWebサイトやユーザー、アプリケーションに対して制限をかけることでセキュリティレベルを高めることができますが、あまりに強く制限をかけてしまうと、業務に支障をきたす可能性があります。
例えば、クラウドストレージやWebメールなどの業務上必要なサービスに対して通信が許可されていないと、連絡や情報共有が十分に行えず業務効率の低下につながるでしょう。業務を行うのに最低限必要な通信を事前に洗い出し、適切な制限を行うことが大切です。
情報流出を完全に防げるものではない
ZTNAを導入しても、情報漏えいなどの脅威を完全に防げるわけではありません。なぜなら、アクセスを許可されたユーザーが、内部から機密情報を外部に流出させることが可能だからです。
ZTNAではあくまで明示的に許可されたもののみ通信が行えるよう制限できますが、許可されたユーザーの行為を止めることはできません。
このようなユーザーの行為を防ぐには、セキュリティテストや研修などを実施し、ユーザーにセキュリティ意識を高く持ってもらうことが重要となるでしょう。
他のセキュリティ製品と併用する
強固なセキュリティを実現するには、他のセキュリティ製品と併用することが大切です。
例えば、ZTNAはマルウェアやウイルスが侵入してしまうと対応できないため、アンチウイルスソフトを活用し被害を最小限に食い止める必要があります。
ZTNAは、あくまでセキュリティ製品の中のひとつです。セキュリティリスクには様々な種類があるため、必要に応じて複数のセキュリティ製品を併用し、セキュリティレベルを強化させましょう。
ZTNA製品でセキュリティ対策を
本記事では、ZTNAおよびその関連製品について紹介しました。
リモートワークやパブリッククラウドの普及に伴いビジネスの形態が大きく変容してきた今、ネットワークセキュリティの課題を多くの組織が抱えています。
これまではVPNが一般的でしたが、ぜい弱性の問題や維持コストの高さなどの面から、ZTNAへの置き換えが期待されています。ZTNAの導入は、セキュリティレベルを高めるだけでなく、管理者の業務負担を減らすことにもつながります。
テクバンでは、ZTNA関連製品の導入支援サービスを多数提供しています。ZTNA関連製品に興味がある方、導入をご検討の方は、ぜひ一度お問い合わせください。
テクバンへ相談してみる
