好きな所から読む
ZTNAとは
ZTNA(Zero Trust Network Access)ゼロトラストネットワークアクセスとは、「全てのアクセスを信頼しない」というゼロトラストの考え方を取り入れた、セキュリティソリューションです。データファイルやアプリへのアクセス制御を一元的に管理するため、組織におけるセキュリティレベルのばらつきを防ぎます。
また、限定されたユーザーとしか通信しないため、不正アクセスを受けるリスクを大幅に軽減することが可能です。近年では、在宅勤務やテレワークといった場所や時間を問わない働き方を導入する企業が増えてきました。
インターネット上に仮想の専用線を敷いて、VPNゲートウェイを通して社外から社内システムへのアクセスを実現するVPN(Virtual Private Network)が利用されていますが、通信の脆弱性と安定性に課題を残していました。どこからアクセスしても安全なネットワーク環境を保証する方法として、ZTNAが注目されています。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
ZTNAの特性
一番の特性としてはZTNAはネットワークアクセスかたアプリケーションやデータへのアクセスを完全に分け隔てることが挙げられます。これはゼロトラスに基づいた考えの下での機能です。ゼロトラストはアクセスする際にその都度許可を受けなければならず、承認されたユーザーのみが限られたアプリケーションにしかアクセスすることができません。これによってなんらかの要因によって内部のネットワークへサイバー攻撃などといった脅威が起こったとしてもリスクが最小限に抑えることが可能となります。また、アプリケーションへのアクセスは、アプリケーションとユーザーが1対1で初めて許可されます。
アプリケーションい自体も、不特定多数に公開されることなく、許可を受けたユーザーのみしか閲覧できないなどといった特性もあります。これは、IPアドレスがインターネット上で公開されない仕組みなっており、ネットワークとアプリケーションに対して両方許可されることで初めてユーザーに公開できることになっています。
ZTNAが従来と違う点としてはネットワークを中心としたセキュリティ防御対策ではなく、ユーザーとアプリケーションへのセキュリティ対策で、よりフォーカスしたセキュリティとなります。
ZTNAのメリット
ZTNAを導入することによって得られるメリットとはどんなものがあるでしょうか?
アクセス被害を最小限に
ZTNAはゼロトラストの理念に基づき全てを疑ってかかることが全ての機能の背景にあります。そのため、ZTNAは被害を最小限に抑えることができるので、外部からの不正なアクセスなどを行うためには究極な選択としてユーザーの端末を乗っとる他方法は基本的にありません。しかし、万が一ユーザーの端末が何者かに不正に乗っ取られた場合でも、ユーザーは限られた社内アプリケーションやデータのみしかアクセス権がないため、乗っ取ったものもその限られたアプリケーションにしかアクセスできません。そのため、最小限の被害に抑えることができるのです。
管理部の負担の軽減
現在情報システム部門は管理すべき対象が増加している上、情報システムや不正な脅威の高度化により管理する対象が拡大し負担がのしかかっている状況が多くみられます。中でも、IaaS環境が増加したことはさらなる負担を生み出しています。そこで、ZTNAを導入することでクラウド上でのコントローラーで一元管理することができる様になるのでポリシー制御にも大きく有効的に働きます。それゆえに管理者の負担も軽減することができ、管理者が他の業務をおこなえるため効率よく働ける環境を作ることが可能です。また、システムで管理するのでポリシー設定を誤まるリスクがなくなるので、セキュリティー事故を防ぐことが可能になります。
VPNに替わるZTNA
従来はVPNが主流だったネットワークですが、それに替わるものとして強力なソリューションとされるZTNA。ZTNAによってセキュリティはどう変わるのでしょうか?
従来のVPNとは?
VPNとはVirtual Private Networkを略したものです。直訳すれば仮想専用線との意味合いがあります。VPNの推進前までは、フリーWiFiといった公衆での活用場面で気軽に接続できるといったメリットがありましたが、公衆で不特定多数の人が使える反面、ネットワーク上でのやり取りなどあらゆる情報を盗み見したり、不正アクセスやデータ改ざんなどのリスクが多く見られるようになりママした。こういったリスクは重大なリスクに繋がりかねないので現在ではあまり推進されなくなっています。そこで新たに出来たネットワークとしてVPNが導入されてきました。これは、インターネット上に従来のようなオープンな環境ではなく、仮想の専用線を設けることで安全なルートを構築しようとする機能です。この仮想の専用線上では、先述した盗み見などといった脅威から保護することが可能となるわけです。
サイバー攻撃の高度化も大きく影響しています。一度内部に不正に侵入すれば、社内ネットワーク全域を攻撃されてしまう可能性は十分にあります。従来の境界型セキュリティでは侵入された後の対策がおろそかになっています。
VPNがZTNAに変わり選ばれる理由
セキュリティ面
- リモートワークが推進されている現在、リモートワークといった働き方に大きく貢献します。端末ごとのログインやログアウトといった概念はもうありません。ネットワーク接続を変更したとしても、アクセスは変わることなく継続します。
- アクセス速度が早まり、高速アクセスが可能となります。よって、時間を効率的に使うことができ生産性が向上することが期待されます。これはリモートワークや社内でのワークなど、場所を選ぶことなく、一貫した高速アクセスが可能です。
- ネットワーク上のアプリケーションやデータには許可された限られたユーザーしかアクセスができません。そうしたことで無駄なアクセスを防ぎ、接続が最適化され待ち時間を最小限に抑えることが可能です。
- マイクロトンネルを利用することでアプリケーションへのトラフィックパスを最適化することができるようになります。マイクロトンネルはセッションごとにオンデマンドで作成され、従ってユーザーが同時に別のプライベートのアプリケーションにアクセスしたり、別の端末からアクセスする場合はまた別のマイクロトンネルを構築します。
- ネットワーク中心のセキュリティではなく、ユーザーとアプリケーション間のセキュリティ対策にアプローチしているのでより強固なセキュリティが可能となります。
- 特定の許可されたユーザーが特定のアプリケーションやデータのみにしかアクセスが許可されません。従って、なんらかの不正アクセスや脅威が起こったとしても、攻撃範囲や被害範囲は最小限で済むことが可能となります。
- IPアドレスは外部に公開されることがなくなり、許可されないユーザーには公開されません。従ってインターネットベースでの攻撃は軽減されることが期待できます。
管理面
- ZTNAは完全なソフトウェアベースで構築されています。なので手軽に始めることができ、現在保有している端末そのままで移行することができるので負担があまりかかりません。現在従来型のVPNをお使いの場合でも、完全に移行するだけではなく、VPNとZTNAの両方を展開することも可能です。
- IPアドレスを前提とするものではありませんので、ファイアウォールポリシーやACL、アドレスの変更といった管理は必要ありません。
- ポリシー設定はアプリケーションとユーザーの間で細かく設定して適用することができます。例えば、各アプリケーションに基づいて最小限の権限のあるユーザーにのみにアクセス権を付与することができます。
- ユーザーのアクティビティやリアルタイムのログストリーミングなどが随時確認・管理することが可能になります。また、それらを管理することにより今まで検出されたことのないアプリケーションを把握でき、事前に脅威を可視することが可能です。
ZTNAの導入が求められる理由について
企業のクラウドサービスの増加によって、求められるセキュリティ対策も変わりつつあります。また、VPNなどの境界型セキュリティによる社内ネットワークは便利な反面、課題も多く抱えているのが現状です。ZTNAが求められる理由を下記にまとめました。
ITの技術が今後のビジネスに大きく関わってくるため
企業のクラウドサービスの増加は今後も加速します。在宅勤務やテレワークなど、場所や時間を問わない働き方を導入する企業が増えてきているからです。今後、取引先や顧客と共同で開発業務をする頻度が多い企業は、クラウド上で業務を完結できるようデジタルツールの集約が一層進むでしょう。
どの場所からでも快適に作業が行えるようにするには、セキュリティ対策が非常に重要になります。自社で用意していたサーバーに情報資産を保存していたオンプレミスではなく、クラウドサービスはクラウド上で保存をするため、情報資産を第3者から狙われるリスクが高まるからです。
ただし、クラウドサービスを提供するベンダーが、第3者機関で安全性を証明する認証を何個も取得しており、近年ではクラウド上への情報保存の信頼性も高まっています。
リモートワークの導入をいち早く行ってビジネスを円滑に進めていくため
リモートワークの導入を今後検討している企業は、どの場所にいても安全で快適に作業を行えるネットワーク環境を整える必要があります。現在、リモートワークを実現させているVPNでは、ネットワーク上の脆弱性と通信の安定性への不安といった課題を抱えています。
下記にまとめました。
ネットワーク上の脆弱性
VPNは拠点同士の通信を行うために、VPNアクセスの窓口となるVPNゲートウェイを設けます。社内から離れた場所からのアクセスを可能にしますが、外出先のカフェやファミリーレストランなどで社内ネットワークにアクセスする際は、注意が必要です。
無料のWi-FIスポットであるカフェやファミリーレストランは、セキュリティ対策が不十分な場所も多く、情報漏洩のリスクが高まるからです。例えば、上司や取引先に送るメッセージ内容が暗号化されず丸見えの状態で送信されるため、攻撃者による不正アクセスの侵入を許した場合は、データ盗取・改ざんなどのリスクが想定されます。
通信の安定性
社内システムをつなぐゲートウェイは、1か所しか設置されません。情報資産がクラウド上の複数の場所に点在している場合は、WAN(Wide Area Network)を経由してアクセスする必要があります。
ユーザーとVPNゲートウェイ、情報資産の位置関係が離れている場合は、非効率な通信経路をたどらないといけません。通信距離が長いと、通信速度の低下や通信費のコスト増大につながります。
ZTNAの場合は、アクセスポイントが多数用意されており、ユーザーがアクセスした地点から最短距離のアクセスポイントに自動誘導します。最短距離での通信経路を実現するので、通信速度や安定性の向上に期待できます。
会社内にある重要な情報を外部から盗まれないようにするため
サイバー攻撃の多様化と攻撃者の技術が向上しているため、外部からの不正アクセスやマルウェアの侵入を完全に防ぐことが困難になりました。「従来のマルウェアや不正アクセスの侵入を防ぐ」といったセキュリティ対策ではなく、「社内ネットワークへ侵入されても、被害を最小限に素早く抑える」といった対策に、シフトすることが求められています。
実際、2014年~2019年にかけて日本の法人企業のサイバー攻撃による被害総額は、2億円を超えています。そして、近年は大企業と取引のある中小企業を狙ったサプライチェーン攻撃も増加しています。セキュリティ対策を年々強化している大企業を直接狙うのはリスキーだと攻撃者が判断し、意識や対策の甘い中小企業を拠点にターゲットである大企業の情報資産を狙う方が、成功する確率が高いと判断しているためです。
外部からの不正アクセスやマルウェア感染を防ぐだけでなく、侵入後の素早い対応を実現する手段としてZTNAが必要とされています。
社員の負担を少しでも減らすため
管理者の業務負担を減らせる点もZTNAを導入する目的の1つです。導入するセキュリティツールによっては、自動化で効率的な運用も可能です。
例えば、SOAR(Security Orchestration, Automation and Response)には、ユーザーにインシデントへの対処方法の提示や自動対処機能が搭載されています。企業が導入している他のセキュリティツールから情報収集・相関分析をした結果、対処すべき順番と方法をユーザーに提示します。ユーザーが対処方法や順番が分からず、サイバー攻撃の被害が拡大するといった時間的ロスを防ぐことが可能です。
また、複雑な作業は自動スクリプトで対処するため、ユーザーは指示された作業をこなせば問題ありません。管理者がセキュリティ監視に必要以上に目を配る必要が無くなるため、業府の負担を軽減できます。
2023年には多くの企業がZTNAを導入する方向に
セキュリティコンサルティングを世界的に展開しているガートナー社は、2023年までにVPNを利用している約6割の企業が、ZTNAの利用に移行していくと予想しています。理由としては、先ほど挙げたVPNの脆弱性への懸念、通信の安定性、維持コストの増加といった点です。
今後はZTNAの利用が主流になります。
ZTNAには2つのタイプが存在する
サービス主導型とクライアント主導型について、紹介します。
サービス主導型
SDP(Software Defined Perimeter)と呼ばれる考え方を取り入れたタイプです。SDPは、ソフトウェアやコントローラーを使って集中的なアクセス制御を行い、マルウェアやサイバー攻撃を防ぎます。データ通信のやりとりを行うチャネルと通信や認証機能を行うチャネルを独立させることで、精度の高い認証機能の実現やマルウェア感染によるリスクを軽減しています。例えば、セキュリティツールCASB(Cloud Access Security Broker)の市場を引っ張っているネットスコープ社では、NPA(Netscope Private Access)と呼ばれる製品がサービス主導型のZTNAです。
クライアント主導型
Googleが発売したゼロトラストモデルを取り入れた「BeyondCorp Remote Access」が代表例です。BeyondCorp Remote Accessは、オンプレミスとクラウド上の両方でアプリにログインできます。SaaS(Software as a Service)を利用しているため、どの場所やどんなデバイス機器からでもログイン可能です。また、ユーザーからのアクセス位置やデバイス機器のステータスなどに基づき、アプリ内のアクセス制御を行います。そのため、アプリの構成変更やシステムアーキテクチャーの変更点が少なく、ユーザーにとっても導入がしやすいです。
ZTNAを導入する際の決め手
操作性、サポート性、ユーザー管理の行いやすさ、相互運用性などを確認してください。
操作が行いやすいか
SWG(Secure Web Gateway)も提供しているベンダーを選ぶと、安全性と利便性の高いZTNAを実現できます。SWGは、URL・アプリケーションフィルタやサンドボックス機能を備えており、マルウェア対策にも効果があります。また、ベンダーを揃えることで、複数のアプリを利用しなくて済むからです。単一のアプリで済むと、操作性に戸惑うことも少ないため、業務効率性が落ちる心配はありません。
問題が起きた際の対処をすぐに行えるか
ベンダーがクラウド上でサービスを提供している、クラウドホスティング型の製品を選びましょう。ZTNAを利用するためのセッティングやメンテナンスが減るため、ユーザーの負担が軽くなるからです。セキュリティインシデントが起きた場合でも、一つのベンダーでツールを揃えているので、連絡すればすぐに対応をしてもらえます。
一方で、スタンドアローンと呼ばれるタイプを選ぶと、ZTNAに必要なセキュリティ製品を自ら判断し、一つ一つ購入しなければなりません。セキュリティ製品を異なるベンダーから購入した場合、セキュリティインシデントが起きてどの製品に原因があるのかわからない場合、対応が遅れるケースがあります。また、自社のセキュリティ環境やセキュリティ製品への知識が豊富な人材でないと、どの製品が本当に必要かといった正しい判断が下せません。
ユーザー情報の管理が行いやすいか
ユーザー情報が一括管理できると、管理者の負担も減らせます。管理方法が複雑だと管理も大変です。そのため、複数のサービスを網羅しているベンダーを選び、管理を簡素化しましょう。
複数のクライアントアプリを併用した際に支障が出ないか
複数のアプリを使った場合でも、問題なく利用できるか見極める点も大切です。相互運用性が無いとアプリ間の連携が取れず、情報共有や伝達がされません。ユーザーにとって利便性が落ちることや業務の停滞につながるので、相互運用性にも長けた製品を選びましょう。
ZTNAを導入する際の注意点
選定するベンダー、製品の見極め、ZTNAの導入でセキュリティ対策は終わりでは無いといった点を意識する必要があります。
ベンダーによっては消滅または買収される可能性がある
ベンチャー企業が販売しているZTNA製品の場合、資金力や経営規模の大きいベンダーに買収される可能性があります。現在、ZTNA市場は急加速で成長を続けており、様々なベンチャー企業が多くのアプローチでZTNA製品を販売しています。需要が引き続き続くため、今後も新規参入の流れは続くでしょう。新規でZTNA製品の導入を検討している場合は、Googleやガートナーなど大企業のベンダー製品からまずは検討してみましょう。
場合によってはビジネスに支障をきたす可能性がある
利便性を失わないように導入しないと、業務の効率性は落ちます。例えば、Web・アプリケーションのフィルタリングやアクセス制限が強すぎると、業務に必要なWebサイトや社内のデータファイルを閲覧できず、業務に必要な情報やデータが集められず、業務が進みません。取引先に迷惑をかける可能性もあります。アクセス制限は社外からの不正アクセスを防ぐメリットはありますが、効率性を失わないようにバランスが求められます。
情報の流出を完全に防げるわけではない
ZTNAを導入すれば、全てが終わりではありません。ZTNAは、セキュリティインシデントの予防や被害を最小限に食い留める便利なセキュリティーソリューションですが、社員のセキュリティ意識が高まらないと効果を十二分に得られません。例えば、ソフトウェアやセキュリティツールのアップデートを怠ると最新のマルウェアには対応できず、攻撃者からの標的型メールをきっかけに情報流出につながる場合も考えられます。ZTNAの恩恵を十分に受けるためにも、社員一人一人のセキュリティ分野への意識改革が必要です。
ZTNAを導入する前にチェックしたいポイント
OSとブラウザの状態確認、アンチウイルスソフトやハードディスクソフトの導入など、基本的なセキュリティ対策が行えているかを確認しましょう。基本的なセキュリティ対策が実施されていない場合、ZTNAを導入しても十分な導入効果を得られません。
使用しているOSとブラウザは何か
使用しているOSとブラウザが古い場合は、機能面とセキュリティ面で様々な弊害があります。最新のセキュリティソフトや機能に対応ができないからです。せっかく最新のセキュリティソフトを導入していても、OSやブラウザが古ければ稼働させられません。そのため、自社で使用しているOSとブラウザの状態を確認し、常に最新版のものを使うようにしましょう。
アンチウイルスソフトをインストールしているか
アンチウイルスソフトをインストールしていないと、情報漏洩やサイバー攻撃に対してのリスクが高まります。攻撃者が簡単に情報を盗める状況にあるからです。以下にウイルス感染した場合の症状をまとめました。
- PCの動作が重い
- 勝手に電源が切れる
- PCを乗っ取られて悪用される
- 個人情報が流出する
ハードディスクを暗号化しているか
ハードディスク暗号化ソフトを使って、データファイルやフォルダを暗号化しておきましょう。出張や外出先で盗難や紛失をした場合でも、被害を最小限に食い止めることが可能です。また、データの書き込みや読み込みなどの暗号化・複合化といった処理はソフトが自動で行うため、ユーザーは意識する必要がありません。手間をかけずに情報漏洩の対策をできる点も魅力の1つです。
不正アクセスされていないか
セキュリティソフトの利用やSNSのログイン履歴、クレジットカードの使用履歴を見て、不正にログインされていないかチェックしてください。攻撃者の狙いは企業の機密情報や個人情報、クレジットカードの口座番号など、多額の金銭につながるものだからです。
セキュリティソフトを利用することで、PC内のマルウェアや不正アクセスの有無など異常を検知します。また、FacebookやLINEでおかしなメッセージの送信有無の確認、クレジットカードの利用履歴を閲覧することで、不正アクセスの有無を確認します。もし、異常が見つかった場合、すぐに対応をして被害を最小限に抑えてください。
セキュリティにかける予算はどのくらいか
セキュリティ分野にどのくらい、資金を投じることができるかで商品選択の幅も決まってきます。ZTNAは多くのベンダーが製品を提供していますが、数百万円は必要です。複数のセキュリティツールを組み合わせているため、多くの機能を備えているからです。
セキュリティ分野は直接売上に直結するツールではないので、投資の優先順位を上げることが非常に難しいです。特に業績が伸びていない場合は、売上を上げるための事業戦略を考える必要があります。導入時期も含めてどの位の資金を確保できるかといった見極めも経営者には求められます。
ZTNAについてのまとめ
ZTNAの導入の決め手・注意点や導入前にチェックするべきポイントをまとめました。
| ZTNAの決め手 | ZTNAの注意点 | チェックポイント | |
| 特徴 |
|
|
|
ZTNAのソリューション
ここでは代表的なソリューションをいくつか紹介します。
Cisco
2019年度にForrester 社によってThe Forrester Wave: Zero Trust eXtended Ecosystem Platform Providersにてマーケットリーダーに認定されたシスコ。シスコはポリシーベースの制御を一貫して管理できること、環境全体のユーザーやデバイス、コンポーネントなどの可視化を可能にする、ユーザーのリアルタイムな詳細なログ、レポートを取得し解析することで、脅威を迅速かつ的確に検出することが可能になるといったメリットを掲げています。
Microsoft
言わずと知れたMicrosoft社ですが、ゼロトラストに向けた企業体制をいち早く取り入れています。Gartner のマジッククアドラント 5 部門でリーダーに選出され、セキュリティソリューションの広さと深さが認められています。Azure Active Directoryという条件付きアクセスを重要構成要素とし、こちらを使ってユーザーやデバイス、場所などの条件によってアクセスの認証機能を実施、限られたアクセス制限を可能にします。デバイスがWindowsであれば、組み合わせることでより信頼度を高め強力なセキュリティを構築することができます。
