ゼロ トラスト ネットワーク アクセス(ZTNA)は、定義されたアクセス制御ポリシーに基づいてアプリケーションやサービスにセキュアなリモート アクセスを提供するテクノロジの一種です。LANへの完全なアクセス権を付与するVPNとは異なり、ZTNAソリューションは拒否することをデフォルトとして、ユーザーが明示的に付与されたサービスへのアクセス権だけを提供します。ネットワークに参加するリモート ユーザーの数が増えるなか、ZTNAが組織にもたらす可能性のあるセキュリティ ギャップとメリットを理解しておくことが重要になります。

ZTNAのしくみ

ZTNAを利用すると、ユーザーがZTNAサービスへの認証を行った後にアクセスが確立されます。次に、ZTNAサービスがユーザーの代わりに、暗号化されたセキュアなトンネルを通じてアプリケーションへのアクセスをプロビジョニングします。これにより、公開される可能性のあるIPアドレスを保護して、会社のアプリケーションやサービスに対し追加の保護レイヤーを提供します。 

ソフトウェア定義境界(SDP)のように、ZTNAもダーク クラウドの概念を利用して、アクセス許可を持たないあらゆるアプリケーションやサービスがユーザーに表示されないようにします。これにより、侵害されたエンドポイントや認証情報がスキャンや他のサービスへの移動を許してしまう可能性のある場合でも、攻撃者による横方向の移動に対する保護を実現します。 

アクセス制御

ZTNAサービスに搭載されているIDベース認証とアクセス制御の組み合わせが、ほとんどのVPN構成で通常使用されているIPベースのアクセス制御の代わりとなります。またZTNAによって、組織は場所またはデバイス固有のアクセス制御ポリシーを実装して、パッチが適用されていないデバイスや脆弱なデバイスが企業サービスに接続するのを防ぎます。これにより、(導入されているセキュリティ制御の数が少なくなりがちという事実があるにもかかわらず)BYODのリモート ユーザーに、会社のオフィスにいるユーザーと同等レベルのアクセス権が付与される場合の、VPNに関する一般的な課題を軽減します。一部のエージェントベースのZTNAソリューションでは、デバイスの状況、認証状態、ユーザーの場所など、接続するユーザーとデバイスの認証前信頼性評価が提供されます。  

SASEによる可視性と制御 

ただしSDPのように、ZTNAは、ユーザーが接続を確立した後のアプリケーションからのユーザー トラフィックに対するインライン検査を提供しません。そのため、ユーザーのデバイスまたは認証情報が侵害された場合や、悪意のある内部関係者が特定のリソースへの自分のアクセス権を使ってアプリケーションやホストを中断させようとする場合に、潜在的なセキュリティ問題へとつながる可能性があります。 

ZTNAのIDベース認証ときめ細かなアクセス制御機能が組み込まれた、セキュア アクセス サービス エッジ(SASE)ソリューションは、より完全かつ総合的なアプローチをもたらします。SASEソリューションには、セキュアなリモート アクセス管理に必要なクラウドの拡張性、セキュリティ、ネットワーク機能を備えています。ただし、スタンドアロンのZTNAソリューションとは異なり、SASEにはデータ損失や認証情報が侵害されている兆候がないかをチェックする接続後のモニタリング機能も搭載されています。

SASEソリューションがZTNAと連携して保護とアクセス制御の両方を組織に提供するしくみの詳細については、こちらのブログ記事をご覧ください。