
VPNの代わりとなるソリューションとしてゼロトラストネットワークアクセス(略して「ZTNA」)の人気が高まっていることを耳にしたことがある方もいるでしょう。しかし、実際にZTNAとは何なのか、そしてそれを採用することでどのようなメリットがあるのかについてはご存知ですか?
「ゼロトラスト」とは?
ZTNAについて見ていく前に、最初の2文字であるZT、つまり「ゼロトラスト」について簡単に説明します。NISTはゼロトラストを次のように定義しています。
ネットワークが危険にさらされていると見なし、情報システムやサービスへのアクセス要求に対して最小特権ベースの正確な決定を行うにあたって、不確実な要素を最小化するために設計された一連のコンセプトとアイデア。
言い換えれば、「決して信用せず、常に検証する」ということになります。ネットワークがすでに侵害されていると仮定して、すべてのアクセス要求を精査し、リソースにアクセスしているのが正規のユーザであることを確認するのです。ゼロトラストアーキテクチャ(ZTA)は 、この原則をさらに強化するための厳格なアクセスポリシーとワークフローを採用し、それを中心に据えてサイバーセキュリティの方針を構築するものです。ZTAは以下のコンセプトを念頭に置いて設計されます。
- 「リソース」とは、すべてのデータソースおよびサービスを指し、ここにはSaaSプラットフォーム、ストレージデバイス、企業所有デバイス、および企業リソースにアクセスするBYODデバイスが含まれるものの、これに限定されない
- すべての通信は、ネットワークのロケーションに関係なく(組織の境界外も含む)、常に安全でなければならない
- リソースへのアクセスはセッションごとに付与される
- リソースへのアクセス許可は、ユーザアカウント、アプリケーション/サービス、デバイス特性および行動パターンなどの属性をチェックする、動的ポリシーによって決定される
- 組織は、所有および関連するすべてのIT資産の整合性とセキュリティ態勢を監視および測定し、それをリソースへのアクセス要求を評価する際に使用することで、要件を満たしていないデバイスへのアクセスを拒否することができる
- リソースへのアクセス許可は、認証と承認をその都度を厳密に検証した上で付与される
- IT資産、ネットワークトラフィック、およびアクセス要求の現在の状態に関するコンテキスト情報を収集することで、組織のセキュリティ態勢を改善することができる
組織がゼロトラストのベストプラクティスを使用するのは、「暗黙の信頼」ではもはや限界だからです。VPNは何十年も前から使われてますが、ログインに一度成功するとネットワーク全体にアクセスできるため、攻撃者は欲しいものを探して好きなだけ横方向移動できてしまいます。リモートワークの急増で、ユーザが正体の知れないネットワークから業務リソースにアクセスするようになり、ネットワークの境界はもはや存在しません。これは、企業がより厳格なアクセスポリシーを必要としていることを意味します。
ゼロトラストネットワークアクセスの仕組み
ZTNAは、「マイクロセグメンテーション」と「ソフトウェア定義の境界」という2つの主要コンセプトによって成立しています。
マイクロセグメンテーション
マイクロセグメンテーションとは、ネットワークを複数の独立したセグメントに分割することを意味します。各セグメントに出入りするトラフィックは、ネットワーク内の横方向移動を減らすために制御および監視されます。マイクロセグメンテーションは、アイデンティティベースのポリシーを採用することで実装できます。このポリシーは、ネットワークパラメータや環境に依存する代わりにIDベース暗号を使用し、アクセスが要求されるたびに相互認証と承認を求めます。これにより、認証されたデバイスとユーザアカウントからの有効なネットワークトラフィックのみに、業務リソースへのアクセスを許可することができます。
ソフトウェア定義の境界(SDP)
ソフトウェア定義の境界は、以下の点を主要な原則としています。
- 最小特権:認証に成功し、リソースへのアクセス許可が付与されたら、ユーザはそのリソースへの接続のみを手に入れる
- アクセスの継続的な再評価:セッション中もユーザのアクセスレベルを継続的に再評価し、ユーザの身元が疑われる場合にはアクセスを制限する
- 攻撃面の縮小:マイクロセグメンテーションなどの手法で横方向の移動を阻止すると同時に、コンテキスト情報を収集して、パッチが不足しているデバイスや侵害が確認されたデバイス、もしくは堅牢な構成が欠けているデバイスが企業インフラに接続して損害を与える事態を防ぐ
ZTNAの採用
では、マイクロセグメンテーションとソフトウェア定義の境界は、実際にはどのように機能するのでしょうか?簡単に説明すると以下のようになります。
- ユーザが業務リソースにアクセスしようとする
- ユーザの認証情報やデバイスの健全性、ポリシーで設定されたその他の要件が検証される
- アイデンティティとコンプライアンスが確認されたら、デバイスとリソースそのもの(ネットワーク全体ではない)の間にマイクロトンネルが構築される
- アイデンティティとデバイスのステータスは継続的に監視され、いずれかが疑わしい場合は直ちにアクセスがブロックされる
まとめ
- ゼロトラストは、ネットワークへのアクセスを試みるユーザを信頼しないことを前提とする考え方であり、データの横方向以上を防ぐと同時に、アクセスは最小権限の原則に基づいて許可される
- ZTNAはこのゼロトラストの考えを中心に据えて構築されている
- ZTNAは、ネットワーク内外のホストからのリソースへのネットワークアクセスを分割するために、マイクロセグメンテーションとソフトウェア定義の境界を使用する
Jamfで業務リソースへのセキュアなネットワーク接続を実現しませんか?
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。