実際に私が現場で利用していた、ゼロトラストネットワークアクセス(以下、ZTNA)について述べていきます。
◆ZTNAとは
「全てのアクセスを信頼しない」というゼロトラストの考え方を取り入れた、セキュリティソリューションです。データファイルやアプリへのアクセス制御を一元的に管理し、組織におけるセキュリティレベルのばらつきを防ぎます。また、限定されたユーザーとしか通信しないため、不正アクセスを受けるリスクを大幅に軽減することが可能です。
今ではインターネット上に仮想の専用線を敷いて、VPNゲートウェイを通して社外から社内システムへのアクセスを実現するVPNが利用されていることが多いですが、通信の脆弱性と安定性に課題を残しており、その課題をクリアしたソリューションがZTNAになります。
ZTNAを利用したリモートアクセスでは、ユーザからのアクセス要求が発生する度にユーザのアイデンティティや端末のセキュリティ状態が検証され、事前に定義された条件に基づき企業の情報資産へのアクセスが動的に許可され、その際、ユーザと情報資産間の通信は必ず仲介システム(ZTNAベンダーの提供するクラウド等)を経由します。
◆VPN利用に関する問題の顕在化
この通信経路の問題を回避するために、特にグローバル企業では、VPNゲートウェイを地域ごとに設置することがあります。この場合、VPNゲートウェイの管理は現地のITスタッフに任されますが、これは2つの大きな問題を内包しています。
①ポリシーの管理が各拠点の現地スタッフにより実施されるため、本社側からはどのような統制が行われているのかを把握しづらい
②ある拠点が機器の脆弱性管理を怠ってしまった場合、その拠点を足掛かりとしてグループ全体が侵害されてしまう恐れがある
◆ZTNAの特長
① 急なユーザ追加にも柔軟にも対応可能
クラウドベースのZTNAソリューションは、セキュアな通信を行うための処理の大部分をクラウド側で実施します。性能の問題となりやすい処理はすべてクラウド側で行われることから、柔軟なスケーラビリティを備え持っており、急なユーザ追加等にも迅速に対応することが可能です。VPNのように機器の性能限界を心配する必要がなくなり、管理者の運用負荷を削減することができます。
ZTNAベンダーのクラウドは、ユーザと、ユーザがアクセスする情報資産間の通信を仲介します。情報資産側に設置されたコネクタ、およびユーザ端末は、クラウドとのみ通信を行い、クラウド経由でユーザと対象の情報資産間の通信が成立します。VPNの場合は、リモートユーザからのインバウンド通信をVPN ゲートウェイ側で待ち受ける必要があるのに対し、ZTNAではクラウドとのみ通信を行うため、コネクタが外部からの通信を広く待ち受ける必要がありません。
従って、攻撃の侵入口となり得る起点を外部から隠すことができ、脆弱性攻撃を受けにくくなります。さらに、コネクタのソフトウェアアップデートや脆弱性対応は、全てZTNAベンダーにより自動的に行われることが多く、運用担当者は機器の煩雑な保守対応から解放されます。
主要なZTNAベンダーは、多数のアクセスポイントを世界各地に用意しており、ユーザがリモートアクセス要求を行った際には最寄りのアクセスポイントへ自動的に誘導されます。また、アクセス先の環境においても、各種情報資産の近くにコネクタを分散配置することが可能です。そのため、全体の通信距離が最適化され、通信遅延が発生しにくくなります。
◆まとめ
ZTNAは、社内・社外の区別なく、守るべき情報資産にアクセスするものを全て同等に検証できるように設計されています。ユーザからのアクセス要求が発生する度に、どのようなユーザ・端末であってもアクセス先の情報資産ごとのきめ細かなポリシーを必ず適用することで、ゼロトラストに対応した業務環境の実現を可能にします。このように、統合的なリモートアクセス環境をクラウド上で提供することで、ZTNAはいままで挙げたようなVPNの課題を解決することができます。機器の性能限界やセキュリティ管理の煩雑化について心配することなく、ユーザ増加にも柔軟に対応にもできるため、今後のリモートアクセスの需要拡大における効果的な対策となります。
(参考)
ZTNA(ゼロトラストネットワークアクセス)とは?種類や特徴を解説
https://locked.jp/blog/what-is-ztna/#i-10