ゼロトラスト時代のキーワード、ZTNAとは?メリット、SDPとの関係性、従来型VPNとの違いまで、初心者にもわかりやすく解説!

etna ITトレンドワード
2021.06.07
記事上広告

近年サイバー攻撃の高度化やリモートワークの急増により、従来の境界型セキュリティからゼロトラストセキュリティへの転換期が来ています。そして、そのゼロトラストを実現する手段として最近注目されているのが、「ZTNA」です。

この記事では、ZTNAについて、初心者の方にもわかりやすく解説していきます。

ZTNAとは?

ZTNAとは、「Zerotrust Network Access」の略称で、ざっくり言うと「ゼロトラスト」の考え方を取り入れたセキュリティソリューションで、主にユーザーがリモートから社内アプリケーションに接続するときに利用するものです。

そもそも「ゼロトラスト」はGartnerが2010年に提唱した概念で、従来の「社内」は安全で「社外」は危険としてその境界を守るという考え方ではなく、すべてを信頼せず(=ゼロトラスト)、セキュリティ対策を行なうべきという考え方です。ここでは詳しい説明は割愛しますが、ゼロトラストについてはこちらの記事で詳しく解説しているので、合わせて読んでみてください。

最近話題の「ゼロトラスト」セキュリティとは?従来型セキュリティとの違い、必要性まで初心者にもわかりやすく解説!
近年、業務システムのクラウドベース化や働き方改革によるテレワークの普及によって、従来のネットワークセキュリティでは守りきれないと、セキュリティのあり方が見直され始めています。そこでキーワードとなるのが、「ゼロトラスト」という考え方です。今回は、「ゼロトラスト」の定義、そして具体的にどう実現するのか、基礎から解説していきます。
itnavi-blog.com
2021.03.07

ZTNAを利用してリモートアクセスする場合、ユーザのアイデンティティや端末の状態を確認し、制御ポリシに基づき特定のアプリケーションへのアクセスを許可する仕組みになっています。

これにより、万が一社内ネットワークに侵入された場合も、被害を最小限にとどめることが可能です。

ZTNAの種類は?

①サービス主導型(SDP)

一つ目が、サービス主導型で、ZTNAでは最も一般的です。

よくZTNAの関連で出てくる用語にSDPがありますが、SDPの概念を取り入れたのがZTNA(サービス主導型)、という関係性です。

SDPは「Software Defined Perimeter」の略称で、ソフトウェア上に新たな境界を作り、SDPコントローラによってユーザのアクセス権限等を一元管理するという考え方のことです。トンネル暗号化はTLS方式を利用し、トンネル接続前、接続中、接続後とすべてのプロセスでユーザー認証を行うのがSDPの特徴で、高度な認証によってマルウェア感染による情報漏えいリスクを最小化します。

②クライアント主導型

二つ目が、クライアント主導型です。オンプレミスとクラウド上の両方でアプリにログイン可能で、ユーザの状態や機器のステータスに基づき、アクセス制御を行います。アプリの構成変更やアーキテクチャーの変更点が少なく、ユーザーが導入しやすいのが特徴です。

ZTNAのメリットは?

①高度な認証により、サイバー攻撃の被害を最小限に抑えられる

一つ目が、高度な認証により、サイバー攻撃の被害を最小限に抑えられることです。

ZTNAは、従来の「境界に対策をして社内ネットワークを守る」形と違い、高度な認証によって「社内外どこからのアクセスでも守る」形のため、攻撃者が外部から侵入する場合、基本ユーザーの端末を乗っ取る他ありません。

また万が一端末を乗っ取られた場合も、認証後も接続できるのは一部のアプリケーションのみのため、被害を最小限に抑えられます

②管理者の負担軽減

二つ目が、管理者の負担軽減です。近年サイバー攻撃の高度化の対策としてセキュリティソリューションやポリシが乱立し、セキュリティ管理者の負担が急増しているというのが課題となっています。

しかし、ZTNAであれば、ポリシをクラウド上のコントローラで一元管理できるため、拠点ごとのポリシを管理する必要もなくなり、セキュリティ管理者の負担を軽減することが可能です。

ZTNAはなぜ必要?〜旧来のVPNの限界〜

ZTNAとよく比べられるのが、VPNです。VPNとは、Virtual Private Networkのの略称で、インターネット上に仮想の専用線を設けることで安全なルートを提供するサービスです。従来ユーザーはVPNを通って社内ネットワークに接続、境界にVPNゲートウェイを設置してセキュリティレベルを担保する、という方法が一般的でした。しかし、リモートワークの急増やサイバー攻撃の高度化により、以下のような観点で限界が浮き彫りになったため、登場したのがZTNAになります。

①スケーラビリティ(拡張性)

一つ目が、スケーラビリティ(拡張性)です。従来の出社が基本の働き方の時代は問題ありませんでしたが、近年働き方改革の推進によりリモートワークが急増し、それに合わせてVPNも柔軟に拡張することが求められるようになりました。しかし、従来のVPNでは帯域の拡張やVPN機器のグレードアップにも工事が必要など時間がかかってしまうため、拡張が間に合わず遅延が起きてしまう、といったことが多発しています。

それに対し、ZTNAは基本ソフトウェアでの提供で、管理はクラウド上のコントローラで行われるため、状況に応じて柔軟に拡張を行うことが可能です。

②セキュリティリスク(脆弱性)

二つ目が、セキュリティリスク(脆弱性)です。

VPNは社内外の境界に設置されたVPNゲートウェイを通ってアクセスしますが、そのVPNゲートウェイに侵入されてしまった場合、社内ネットワークに広範囲に接続が可能になってしまうため、非常に危険です。実際に、大企業でVPN装置の脆弱性が発覚、侵入される事件が相次いで発生しています。

この対策としては、脆弱性が発覚したら一刻も早くソフトウェアのバージョンアップを実施しなければなりませんが、これがセキュリティ管理者にとっても負担となっています。

それに対し、ZTNAであれば、VPN装置で境界を守るのではなく、高度な認証によりユーザーごとにアクセスを許可するため、こういったセキュリティリスクを減らすことが可能です。

おわりに

いかがだったでしょうか。リモートワークの急増により、セキュリティのあり方は大きく変化しています。コロナウイルス収束後もリモートワークがスタンダートになっていくのは確実なので、従来型VPNからこのZTNAへの移行を早いうちから検討する必要があるでしょう。

コメント

タイトルとURLをコピーしました