原文のブログはこちらからご覧いただけます。
ゼロトラストネットワークアクセス(ZTNA)は、デジタルトランスフォーメーションに欠かせない要素です。ZTNA は、企業の変革と成長につながるより効率的なワークフローと、高度に接続された「常時接続」の世界で組織を保護するためのより強固なサイバーセキュリティとが交わる、まさにその中心に位置しています。
本記事では、ゼロトラストアプローチの主な利点をいくつか紹介した上で、リモートアクセスに関して ZTNA がもたらす目覚ましい変化の実例として、組織における仮想プライベートネットワーク(VPN)の段階的廃止を取り上げます。これは、ゼロトラストの採用、ひいてはデジタルトランスフォーメーションの実現に不可欠な要素です。本記事ではさらに、どうすれば ZTNA に移行できるのか、その結果どのように摩擦が減少し、セキュリティが向上するのかについても解説します。
なぜ ZTNA なのか、なぜ今なのか
セキュリティの最新化に取り組む関係者にとって、最も重要なのは「使いやすさ」です。ユーザーは、摩擦が少なく、ログイン回数も少なく、認証要求がより容易であるような、シームレスな体験を必要としています。このような体験は、組織のセキュリティ強化に関して多くのユーザーが予想するものとは正反対ですが、実際にはゼロトラストを採用すれば、生産性を損なわずにセキュリティを強化することが可能です。ゼロトラストが持つこの強みは、脅威環境がこれまでになく巧妙化し活発化する中、企業がユーザーに負担を強いることなく強靭性を高めることを可能にしており、ZTNA の採用を後押しする原動力の 1 つとなっています。
もう 1 つの原動力は、クラウドコンピューティング、ビッグデータ、リモートアクセスがビジネスの成功要因としての重要性を高めているという事実です。これらは従来のネットワーク境界がすっかり消失した今日においても、競争力を維持するために欠かせません。現代のハイブリッドワークフォースモデルでは、場所やデバイスを問わず、24 時間 365 日いつでもリソースにアクセスできることが求められているためです。しかし、この生産性とモビリティの新時代は、ビジネスの変革に予期せぬ結果をもたらしました。多くの組織において、攻撃対象領域が爆発的に拡大したのです。かつてないほど多くのデバイスが企業のリソースに接続し、環境が絶えず変化するようになっているため、外部にさらされている場所を網羅的にすべて列挙して管理することはほぼ不可能です。
パフォーマンスとセキュリティレベルの両方を高める必要がある場合、アクセスを保護するための新しいアプローチが必須となります。しかし、これは従来型のセキュリティソリューションでは実現できません。そのような旧式の従来技術のうち、ハイブリッドワークモデルへの移行をサポートしようと奮闘している多くの組織が未だに頼みの綱とし、図らずもビジネス変革の取り組みを妨げてしまっているものがあります。それが VPN です。
VPN がネットワークセキュリティの脆弱性を生み出す理由
コロナ禍の最中、組織が事業継続の取り組みの一環としてリモートおよびハイブリッドワークフォースに移行したことで、VPN の利用は爆発的に増加しました。そして VPN は今もなお、多くの組織が採用しているより柔軟な職場環境の主要な構成要素であり続けています。しかし、従来の VPN(または境界防御)のアプローチでは、ユーザーとデバイスの双方を完全に信頼する必要があり、これは以下の点で問題があることがわかっています。
- VPN はネットワークへのアクセスを許可するため、脅威アクターに 1 度でもアクセスを許可してしまうと、脆弱性の悪用を経てネットワーク内の他のリソースにアクセスされる恐れがあります。
- アクセス制御が静的な認証方法に基づいているため、外部の攻撃者を排除するための障壁として不十分です。
- トラフィックをバックホールすると、アプリケーションの接続品質に関するユーザーエクスペリエンスが低下します。
これらの欠点は、ハッキング関連の侵害の 80% 以上が認証情報の悪用に起因しているという事実と相まって、従来の VPN 技術では組織が危険にさらされかねないという認識をさらに強めています。これに対し ZTNA は、VPN の利用がもたらすリスクを大きく軽減します。ZTNA では、ユーザーとデバイスの信頼性が証明されない限り、それらすべてを潜在的に危険な存在であると見なします。
以上のことが、一部の組織が VPN の段階的な利用廃止を検討するに至っている主な理由です。しかし、この移行はユーザーエクスペリエンスに何をもたらすのでしょうか。また、組織はどうすればこのようなアプローチを実現できるのでしょうか。
ZTNA が VPN からの脱却を後押しする仕組み
VPN の置き換えを検討する際には、個人所有デバイスの持ち込み(BYOD)や在宅勤務(WFH)のポリシーがどれだけ普及しているかに関わらず、ユーザーエクスペリエンスの向上を最優先する必要があります。
VPN では、今ではほとんど廃れつつある「セキュアな境界」という概念を活かすため、すべてのトラフィックを企業のデータセンター経由でルーティングします。しかし、これは実質的にトラフィックの渋滞を引き起こし、エンドユーザーに対するアプリケーションのパフォーマンスを劣化させます。これに対し、すべての認証済みユーザーにグローバルなネットワークアクセスを提供するのではなく、Microsoft® Office 365® などのオンプレミスおよびクラウドベースのアプリケーションに直接接続できるようにすれば、組織はトラフィックをバックホールせずともアクセスの安全性を向上できます。この結果、非常にクリアな遠隔会議アプリを実現したり、データへのアクセスを強化してビジネスをグローバルに推進したりすることが可能となります。
アプリケーションをマイクロセグメント化すると、セキュリティやパフォーマンスを損なうことなく VPN からの移行を実施できます。マイクロセグメンテーションは、アプリケーションを非公開にした上で、ID ベースの認証を介してプライベートなアプリやサービスへの直接接続を許可します。このプロセスにより、ユーザーがネットワーク上に直接身を置くことはなくなります。この結果、攻撃対象領域が削減され、サービス拒否攻撃などの問題が予防されるほか、水平展開が効果的に排除されます。
すべてのユーザー、すべてのデバイス、すべてのリソース要求を継続的に認可することにより、組織は必要なアプリケーションやデータだけに対する「ジャストインタイム」および「ジャストイナフ」アクセスを許可できるようになります。これをクラウド上で行えば複数のハードウェアスタックが不要となるため、コスト削減にもなります。
また、このアプローチは組織が大いに必要としているアプリケーションレイヤーの可視性をもたらし、誰が、いつ、何に、どのようにアクセスしているのかを明らかにすることで、リスクを軽減します。
リモートアクセスに対してゼロトラストのアプローチを採らない場合、VPN 経由のネットワークトラフィックを検査することは困難です。多くの場合、管理者に対しては、ユーザーが VPN に接続している時間などの高レベルのデータしか提供されません。その結果、暗号化によって生じる死角が無視できなくなります。
ZTNA の始め方
ZTNA の実現に向けては、従業員の柔軟性とリスクのバランスを取りながら、セキュリティに深く根差した戦略を立てる必要があります。ここでは、組織が VPN の置き換えに着手し、最終的にゼロトラストネットワークアクセスを実現するための 3 つのステップをご紹介します。
- リモートワーカーの増加によってネットワークの輻輳が生じ得る VPN のユースケースについて、VPN の利用廃止を検討しましょう。このとき、パートナー、請負業者、あるいはフルタイムのリモートワーカーからなる特定のグループによるアクセスが必要なアプリケーションをいくつか選び、ZTNA プロジェクトを試験的に実施することで、ZTNA への移行を徐々に進めることができます。これらのグループは、組織が在宅勤務や BYOD の施策をサポートする上で、各施策をより広範に展開した場合についての見通しを立てるのに役立ちます。
- 最初のステップが完了したら、最もリスクの高いユースケースや、ネットワーク全体へのアクセスを必要としないユーザーの VPN アクセスを段階的に廃止し、ZTNA への置き換えを進めましょう。これにより、VPN クライアントを保守する必要性が下がるだけでなく、管理者がより広範なアクセスを許可し、従業員の柔軟性を高められるようになります。
- 最後に、高度なエンドポイント保護やネットワークベースのアクセス制御など、包括的なゼロトラストソリューションを提供するソリューションプロバイダーを選定しましょう。複数ベンダーの製品を組み合わせただけでは組織のセキュリティ体制にギャップが生じる恐れがありますが、ソリューションプロバイダーを適切に選定すれば、より総合的かつ優れた成果を得ることができます。
さらに詳しく
ZTNA によるネットワークセキュリティの変革についての詳細は、こちらをご覧ください。
.png)
