vol. 07 2020年09月 ニューノーマル時代のリモートワーク環境に最適!ZTNA(ゼロトラストネットワークアクセス)とは?
様々な業界が以前から取り組んでいる「働き方改革」の中でも、テレワークは業務効率化のために推奨されている施策の一つです。昨今の新型コロナウイルスの影響により、テレワークの普及は加速しています。
現在、多くの企業でテレワークの導入が進んでおり、テレワークを実現するための技術としてVPN(仮想専用線)が用いられていますが、「テレワーク 暗証番号流出」というタイトルで、テレワークに欠かせないVPNの暗証番号が流出していた事態がニュースに取り上げられており、対策が急務となっています。
近年ではVPNに変わる新しいセキュリティの考え方である「ZTNA(Zero Trust Network Access/ゼロトラストネットワークアクセス)」に注目が集まっていることをご存知でしょうか。
今回は、ZTNAの仕組みや特徴といった概要から、ZTNAが注目されるようになった背景や、ZTNAとVPNの違いについて解説します。
ZTNAはVPNよりも強固なセキュリティの考え方
ZTNA(Zero Trust Network Access)の「Zero Trust/ゼロトラスト」は全てのユーザーやデバイスといった要素を信頼せずに、必ず認証した上で適切なリソースの利用を認可するという考え方を意味します。ZTNAはそれを実践した上で、オンプレミスやクラウドといったリソースへの安全かつ便利なアクセスを実現する機能です。ここでは、ZTNAの仕組みや特徴について解説します。
ZTNAの仕組み
ZTNAは「ユーザー/アプリケーション認証」「デバイス認証」「信用スコア」の3つの要素からなります。ユーザー/アプリケーション認証とデバイス認証での評価を信用スコアとして管理することで、個別にポリシー適用を行なって都度認証と認可を行う仕組みです。
ZTNAでは、次の前提条件をもとにセキュリティ対策を行ないます。
| 前提条件 | 従来のセキュリティの考え方 | ZTNAの考え方 |
|---|---|---|
| 情報資産の保存場所 | 社内ネットワーク内 | クラウドを含むあらゆる場所 |
| 従業員の働く場所 | オフィス内 | 自宅、カフェ、ワーキングスペースなど |
| ネットワークの安全性 | 確保できることが前提 | 確保できないことが前提 |
ZTNAでは「信頼がない」ことを前提に、あらゆる要素を信頼せずにセキュリティ対策を実施するものです。従来は社内ネットワーク内外でセキュリティ対策を分けていましたが、ネットワークの外部・内部の違いを意識せずに信用評価を行ないます。
ZTNAの特徴
ZTNAは大きく次の3つの特徴を持ちます。
1.最小の権限での認可
VPNではユーザーがIDとパスワードによる認証を通過したあと、ネットワーク全体に対するアクセスを許可するため、本来アクセスが不要なアプリケーションへのアクセスが可能です。ZTNAではアクセス権限を持つアプリケーションのみにアクセスが可能となるように権限を制御することができるため、不正アクセスやマルウェアなどの感染の拡大を防ぎ、被害を最小限に抑えることができます。
2.高度なユーザー認証
ユーザーの認証には一般的なIDとパスワードを利用したものだけでなく、複数の認証方法を組み合わせた多要素認証が推奨されます。ZTNAでは生体認証やデバイス認証などの他の要素による認証を構成し易いという特長があります。
3.端末ごとの信頼性評価で接続可否を判断
ユーザーがアクセスする際には、アクセスする端末ごとに信頼性評価を行なえます。例えば、証明書などを用いてアクセスしている端末が会社支給の端末か、私物の端末かを判定できます。また、アクセスしている端末のセキュリティ情報(OSのパッチ適用状況、セキュリティ対策ソフトウェアのアップデート状況など)もチェックするため、信頼性の低い端末からのアクセスを防ぐことが可能です。
ZTNAはテレワークの増加により注目されるようになった
ZTNAが注目されるようになった背景には、テレワークを実施する企業の増加があります。冒頭でもお話したとおり、働き方改革や新型コロナウイルスの影響により、多くの企業がテレワークを導入し始めています。
テレワークでは柔軟な働き方を実現するために、あらゆる場所での業務が可能となる仕組みを採用しており、クラウドサービスも多用されることになりました。そのため、従来は社内ネットワーク内で完結していた業務が社外ネットワークにもおよんでいます。
つまり、データの保管場所が社内ネットワークだけに限らず、クラウドサービス上などのあらゆる場所に保存されるようになり、社内ネットワークと外部ネットワークの境界が曖昧となっているのです。
その影響により、従来のセキュリティ対策では十分な対策が行なえなくなってきています。従来のセキュリティ対策では、社内ネットワークは安全であるという前提のもとで、社内ネットワークとの境界線を中心としたセキュリティ対策を行なっていました。しかし、近年のサイバーセキュリティの動向を見ると、社内ネットワークが安全とは言い切れなくなっているのです。
そのため、VPNでは対応できなかった部分も対応できるセキュリティの考え方として、ZTNAの考え方に則ったセキュリティ対策が必要になってきています。利用する端末の種類やクラウドサービスなどのアクセス環境の多様化にともない、新しいセキュリティの考え方が求められているのです。
ZTNAとVPNの違い
そもそも、ZTNAはセキュリティの概念・考え方であり、VPNは仮想専用線を実現する技術、という違いがあります。
中身の違いについて見ていくと、ZTNAは社内・社外の境界線を意識しない考え方であるのに対して、VPNは「社内は安全」「社外は危険」という境界線を意識した考え方となっています。
VPNは従来の境界型セキュリティの一つであり、ファイアウォールなどのセキュリティ製品と併せて設置して利用するものです。社内ネットワークへの接続を許可されたものはどのような状況においても信用され、情報へのアクセスが容易になります。そのため、仮に攻撃者に境界線を突破されると、安全であるはずの社内ネットワークが安全ではなくなってしまうのです。
対して、ZTNAは境界線を意識せず、ネットワークの内外に脅威が存在することを前提に対策を行なうため、あらゆるリソースの利用に対して都度認証を行ないます。この仕組みによって、シンプルながらより強固なセキュリティ対策が行なえるのです。
多様化する働き方、IT環境の変化に対応するために生み出された新しいセキュリティの考え方であるZTNAは、今後さらに普及することが予想されるテレワークにおいて、VPNよりも強固なセキュリティ環境を構築することができる、と期待されています。
まとめ
ZTNA(Zero Trust Network Access/ゼロトラストネットワークアクセス)は「信頼がない」ことを前提とし、社内・社外ネットワークの境界線を意識せず、都度認証を行なうセキュリティの概念・考え方です。近年普及が進んでいるテレワークによってその重要性が増し、注目を集めています。
VPNは従来の境界線型セキュリティを実現するための技術であり、社内・社外のネットワークを意識する点がZTNAとの大きな違いといえるでしょう。
クラウドサービスの普及や、自宅・カフェ・ワーキングスペースなどの働く場所の多様化など、変わりゆくIT環境に対応するためには、ZTNAの考え方は今後欠かせないものになります。
多様化・複雑化するサイバー攻撃に対応するためにも、今後主流となりえるセキュリティの概念・考え方であるZTNAを取り入れてみてはいかがでしょうか。
