「ゼロトラスト」という単語は非常に幅広く知られるようになりました。早いところでは、徐々にゼロトラストを意識したセキュリティ対策を講じている企業が現れ始めています。ゼロトラストに関するソリューションは様々な種類がありますが、利用者と管理者双方にもたらすメリットが大きいのはZTNA(Zero Trust Network Access、訳:ゼロトラストネットワークアクセス)ではないでしょうか。本記事では、ZTNAを利用するメリットやユースケース、VPNとの比較も交えながら解説していきます。
※本記事は2022年5月24日に投稿した記事を再編集しています。
目次
そもそもゼロトラストとは
ZTNAはゼロトラストという考えをもとに作られています。ゼロトラストとは「全トラフィックを信用しない」というセキュリティの考え方です。ゼロトラストは、全てのトラフィックが信用できるかを継続的に評価するという前提で安全性を担保するアプローチを取っていると言えます。2021年に独立行政法人 情報処理推進機構(IPA)が発表した『ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜』では、ゼロトラストを以下のように定義しています。
ネットワークが侵害されている場合であっても,情報システムやサービスにおいて,各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことをいう。すべてを信用しないということではなく,すべて確認するということを表す。
参考:『ゼロトラストという戦術の使い方』
ゼロトラストでは、全てのアクセスで認証と認可を行います。その際、信用度レベルが重要になります。信用度レベルとは、ユーザーやデバイスなどの資産自体の脅威の度合いのことを指します。ゼロトラストでの認証と認可では、この信用度レベルを用います。
ゼロトラストの詳細はこちらの記事をご覧ください。
「ゼロトラストモデルとは」
ZTNAとは
ZTNAの概要
ZTNAとは、「全トラフィックを疑う」という考え方のもと、全ユーザがアプリケーションやサービスに安全にアクセスするためのIT技術を指します。
ZTNAを利用する場合、ユーザが社内の業務サービスにアクセスする際に、必ずユーザ情報や端末情報などを確認します。つまり、この段階で、認証と認可を両方実施しています。そこで、認証・認可情報に問題がなければ、システムへのアクセスが許可される流れになります。その後、別のシステムにアクセスする際は、再度認証・認可情報を確認します。毎回必ず確認することで、全ユーザが安全に利用できる仕組みになっています。
ZTNAの特長・メリット
ここでは、ZTNAの特長・VPNと比較したメリットを、システム利用者とシステム管理者に分けて解説します。
システム利用者にとってのメリット
- 通信環境が快適になり、業務を効率的に行える
VPNでは通信量が増えすぎると、回線速度が遅くなり、クラウドサービスの利用などに時間がかかるようになります。VPNからZTNAに移行することで、通信経路を最適化できるようになるため、通信がスムーズになり、快適な業務環境が実現します。
システム管理者にとってのメリット
システム管理者が享受できるメリットとして、以下の3点が挙げられます。
- 不正アクセスや攻撃リスクを低減できる
VPNからZTNAに移行すると、オンプレミスでの機器管理の必要がなくなり、すべての設定をクラウド上で行うことになります。特にZTNAの重要な要素であるアクセスポリシーの管理を一元化できるので、統制されたセキュリティ運用がしやすい環境になります。 - 不正アクセスや攻撃リスクを低減できる
VPNはネットワーク全体を保護するものであるため、不正アクセスを許すと、社内のシステム全般に影響が及んでいました。
しかし、ZTNAは社内にアクセスする通信ポートがクラウド上に存在するため、見つかりにくい上に、必ず認証・認可が必要であるため、不正アクセスリスクを低減します。また、ZTNAはアプリケーション自体を保護しています。もし1つのアプリケーションが攻撃された場合、他のアプリケーションには被害が及ばないため、攻撃された際の被害も抑えられます。 - ユーザー追加などの柔軟性の向上
ZTNAはクラウドでの管理が基本になります。そのため、急なユーザー追加にも迅速に対応できます。VPNに比べると、VPN機器の容量や回線数などを考慮する必要がなくなるため、管理者の負担削減につながります。
従来のVPNを利用したリモートアクセスの課題
リモートアクセスの新技術として注目を浴びるZTNAですが、よく比較されるのは従来から使用されていたVPNです。しかし、VPN利用における課題が大きく5つ存在します。ここでは、それらの課題を見ていきましょう。
VPNについての詳細はこちらの記事もご覧ください。
「VPNとは?〜概要や仕組み、メリットなどをわかりやすく解説〜」
セキュリティ
確かに、VPNにも認証するステップは存在します。しかし、ほとんどのVPNがIDとパスワードのみの認証で、簡単になりすましができる仕組みになっています。VPNにログインすると、ユーザはVPNでアクセス可能なネットワーク全体にアクセスできる状態になります。つまり、本来アクセス権限がないユーザでも閲覧できてしまいます。万が一、IDとパスワードが流出すると、不正アクセスやランサムウェア攻撃などのセキュリティインシデントが発生します。
運用
VPNはオンプレミスで構築されているため、自社での運用・管理が必要となり、管理者の負担が大きいです。また、VPNを利用する場合、通信量が大きくなりすぎると、回線速度が低下し、ユーザビリティを損なう可能性もあります。そのほかにも、様々な基線を利用していると、収集できるログもバラバラなので、統一性がなく、管理者としての負担は非常に大きいです。
スケーラビリティ
VPN機器をハードウェアで用意する必要があるため、スケーラビリティが非常に低いです。例えば、ユーザが増えたり、通信量が増えたりすると、ユーザビリティが下がるため、VPN回線を強化する必要があります。その場合、VPN機器の追加購入が必要です。
コスト
スケーラビリティが低い関係で、ユーザ数や通信量の増加によって新たなコストが発生しがちです。また、前述の通り、セキュリティ面の不安が比較的大きいため、コストパフォーマンスという観点も考慮すると、低いと言わざるを得ません。
通信環境
VPNは回線容量が限られているため、同時に多くのユーザーが使用すると、通信速度が低下しがちです。また、VPNを介してクラウドサービスを利用すると、通常時よりも帯域を大きく逼迫するため、近年のクラウド化とは非常に相性が悪く、業務に支障をきたす場合があります。
ZTNAとVPNの比較
前述したVPNの課題について、ZTNAと比較すると下記表の通りになります。
ZTNA | VPN | |
セキュリティ | ◎ | △ |
運用 | ○ | × |
スケーラビリティ | ○ | × |
コスト | ○ | △ |
通信環境 | ◎ | × |
ZTNAの一種であるIAPの記事でも、VPNと比較しています。ぜひこちらの記事もご覧ください。
「IAPとは?VPNと比較しつつ、メリットを解説」
ZTNAのユースケース
ZTNAのユースケースとして、大きく2点挙げられます。それぞれ見ていきましょう。
VPNの置き換え、リプレース
1つ目のユースケースとして、VPNの置き換えが挙げられます。前述の通り、VPNを用いた境界型制御ではセキュリティ面の課題が残ります。コロナ禍や働き方改革などの潮流によって、テレワークを導入する企業が増加しました。それに伴い、VPNの脆弱性を悪用した不正アクセスが発生しています。セキュリティ事故を防ぐためにも、VPNへの依存度を下げていくことが重要となります。
サードパーティリスクの軽減
2つ目のユースケースとして、サードパーティーリスクを軽減するために用いられます。サードパーティーリスクとは、ビジネスにおいてサードパーティー(第三者)と連携した際に生じるリスクのことを指します。大半のサードパーティーユーザーには必要以上の特権アクセスが与えられています。これらのユーザーは適切に管理されていないデバイスを使用し、アプリケーションにアクセスする場合が多くあります。
ZTNAでは、全てのアクセスにおいて「認証・認可」というプロセスを踏むため、外部ユーザーがネットワークにアクセスすることを防止できます。許可されたユーザーのみが許可の対象となるアプリケーションにアクセスできる環境を作ることで、サードパーティーリスクを軽減することができます。
KeygatewayC1パンフレットをダウンロードする
まとめ
ZTNAは「全てのトラフィックを疑う」という概念のもと、アクセスの都度認証と認可を行うというセキュリティ制御の仕組みになります。ゼロトラストが注目されている中、VPNに代わる存在として、ZTNAは重要な役割を担っています。このような背景から、ZTNAは今後必須といえるソリューションになり得ると考えられるでしょう。
かもめエンジニアリングでは、脱VPNに向けたZTNAサービスとして、ゼロトラスト接続サービスKeygatewayC1を提供しております。日本企業が使いやすく、かつコストパフォーマンスの高いサービスを用意しております。ご興味をお持ちの方は、下記お問い合わせフォームよりお気軽にご相談ください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。