macOSセキュリティの基本：最良のネットワークはVPNとZTNAのどちらか

あらゆるデバイス、ユーザ、またはデータの一部を保護しようとする際、コンピュータセキュリティにおいて中核となる3大原則があります。これは、情報セキュリティの3要素（CIA）と呼ばれるもので、機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の頭文字からとったものです。簡単にいうと、保護したいものが存在する場合、数々の脅威タイプから保護するには以下の方法を使うことを規定しています：

• 機密性（Confidentiality）：第1原則は、対象とするものそれ自体の保護に関することで、許可された者だけがデータへアクセスし、それ以外の者はアクセスができないようにすることです。

• 完全性（Integrity）：第2原則は、対象の内容に保護に関することで、より正確には情報を修正する能力についてのことです。アクセス許可を持っている者だけが、許可を得た部分のみの修正を行うことができ、さらに必要な権限だけに設定する必要があります。

• 可用性（Availability）：第3原則は、対象にアクセスできるのは許可されたユーザのみに保護することに関してです。機密性と混同されないよう、可用性はユーザが対象にアクセスする能力に関するものだけです。対象に対するアクションの実行や、コンテンツの変更が許可されているかは関係しません。

上記の3つの原則には、保護される対象の一部または全部に適用されるサブセットが存在します。例えば、機密性のサブセットには保存データとストリームデータがあります。前者はお使いのコンピュータやサーバのストレージアレイといった、ドライブに物理的に保存されたデータを指しています。後者はメール、またリモートでファイルをアップロードしたりダウンロードする際など、データの送信時にのみ関係します。

特定のユースケースによって、情報セキュリティの3要素（CIA）に加えて、1つまたは両方が適用される場合があります。通信を保護する場合、運用中のデータと共に、３原則の全てが適用されます。今回の主要トピックである、VPNとZTNAを比較すると、両方ともがネットワーク接続の安全性を確保するのに優れた保護機能を提供することは確かです。しかし、現代のコンピュータ使用環境で発生するさまざまな障害を克服するための保護機能を提供するのは、後者のZTNAだけです。

それぞれのテクノロジーの機能と、その長所・短所を知る前に、それらのルーツについて見てみることにしましょう。

VPNのルーツ

1996年に導入されたPeer-to-Peer Tunneling Protocol（PPTP） はMicrosoftによって開発され、今日のVPNプロトコルの先駆けとして広く知られています。既存の公共または信頼できないネットワークをプライベートネットワークへ拡張できる方法を探していた企業にとって、VPNを活用するメリットは明らかでした。

VPNは、送信/受信したデータを暗号化し（機密性）、移動中にデータ改ざんのインスタンスがないかを検出する完全性チェックを行い（完全性）、認証を活用して不正なアクセスを防止するだけでなく、ネットワークリソースへの高い可用性を実現する（可用性）ことで、情報セキュリティの3要素（CIA）に準拠しています。またVPNは以下のような対策を講じることもできます：

• 物理的に別の2、3のホストを安全に接続するポイントツーポイントトンネルを作成。

• 接続されたネットワーク間でワイドエリアネットワーク（WAN）を確立。

• トンネルを通じてトラフィックを暗号化してプライバシーを強化し、傍受されても復号化を困難にし、実際のIDアドレスや位置を隠してユーザのIDを保護。

• リモートまたはハイブリッド環境で働く従業員が企業リソースへリモートアクセスできるようにする。

• 情報の流れを規制するため国家が課した検閲ブロックの回避といったような、特定の国のみに制限されたウェブサイトやコンテンツへのアクセスを許可。

ZTNAのルーツ

「ゼロトラスト」という言葉を最初に使われたのは、1994年のスティーブン・ポール・マーシュによるコンピュータセキュリティの博士論文でした。この概念はその後、2018年にNISTが技術文書「SP800-207 ゼロトラストアーキテクチャ」を発表するまで現実に向けて近づいてきました。この文書ではゼロトラストを「ネットワークが危険にさらされていると見なされる状況で、情報システムやサービスにおいて正確なリクエストごとのアクセス決定を行う際の不確実性を低減するために考案された概念やアイデアの集まり」と述べています。これは「ゼロトラストの概念を活用し、構成要素の関係、ワークフロー計画、アクセスポリシーを包含するサイバーセキュリティプラン」を作成することによって、企業のセキュリティを進化させました。平たく言えば、セキュリティパラダイムに関わるすべての構成要素を、保護されたリソースへのアクセスが許可される前に検証することを義務付けることで、脅威リスクを軽減しつつ、エンドポイントセキュリティを実装し管理するために用いられるセキュリティフレームワーク、アプリケーション、ワークフローから「暗黙の信頼」の概念を排除したのです。

この2つは多くの共通点を持ちますが、ZTNAにはVPNが持つ機能の全てが備わっています。ZTNAは以下のような新規また更新された機能を提供します。現代のコンピュータ環境を安全に保護してくれる最適な選択肢であることは明らかと言えるでしょう：

• クラウドベースのアーキテクチャを採用し、最新の全てのオペレーティングシステムとデバイスタイプに対応。

• Software-Defense Perimeterは、高価なハードウェアの調達、管理、サポートや、複雑な設定が必要ありません。

• アプリケーションベースのマイクロトンネルは要求されたリソースごとに生成され、最小限の権限を強制し、セキュリティ侵害が生じた場合のネットワークの横方向移動を防ぎます。

• IDプロバイダ（IdP）との統合により、シングルサインオン（SSO）機能を拡張して、許可されたユーザのみがビジネスアプリケーションにアクセスすることができます。

• リスクを考慮したポリシーで健全性をチェックし、デバイスやユーザが危険にさらされているかを定期的に判断することで、セキュリティとコンプライアンスを強化することができます。

• 管理者が定めたアクセスの最低要件を満たさないデバイスでは、自動化された修復が完了するまでワークフローがデバイスを隔離することによりリソースへのアクセスを効果的に防ぎ、デバイスはアクセスが許可される前に再度チェックされます。

• クラウドベースで設計されたポリシーは統合されており、オンプレミス、プライベートおよびパブリッククラウド、SaaSアプリケーションといったすべてのホスティング場所にわたって適用が可能。

• スプリットトンネリング機能が強化されており、ビジネスリソースを保護し、ビジネス以外のリソースはインターネットに直接ルーティングすることができます。

• 軽量なサービスはエージェント有りでもエージェントレスでも動作し、かつバックグラウンドで静かに動作するため、バッテリーの寿命とユーザ体験への影響を最小限におさえます。

「VPN、またはZTNAのどちらかを選べば大丈夫です。」

ZTNAとVPNの相違点については以下の表をご覧ください。各テクノロジーが持つ機能を詳しく比較できます。それぞれの機能とリモートまたハイブリッド業務環境で求められるニーズを照らし合わせた時、ZTNAはVPNを置き換えることが可能とお思いいただけるかと思います。