Zero Trust Network Access(ZTNA)はずいぶん前から存在していますが、ほとんどの人はそれを知らないようです。そのためこの話題が出る度に、基本的な部分が理解されていないと感じます。
実際、世の中の反応を見ていると、このコンセプトがつい最近提唱されたものであるとか、あるいはビジネスが大混乱に陥り従業員がリモートワークを始めた2年前に登場したかのように思えます。ガートナーはパンデミックの前に、2025年におけるZTNAの導入率は14%という控えめな予測をしていましたが、2020年以降は一変し、2023年までに50%の導入率になると予測しています。
パンデミックによってZTNAが時代にふさわしいアイデアであることが明らかになったのは事実ですが、企業はかなり以前から、リソースのクラウド化に関するロードマップの一部としてこのアイデアに取り組んできました。ZTNAの導入を妨げているのは、ZTNAとは何か、そしてZTNAを既存のセキュリティスキームにどのように組み込むかについての基本的な理解が進んでいないからなのかもしれません。
まず、ゼロトラストに注目してみましょう。簡単に言えば、ゼロトラストはセキュリティにおいて「信用せず、常に検証する」というアプローチです。ゼロトラストは、あるエンティティや資産の信頼性が検証されるまでは、それが信頼できないものであると仮定します。
ゼロトラストのコンセプトがCISOを困惑させる理由の1つは、それが20年以上にわたって安全なリモートワークのための手段であったVPNなどのテクノロジーと大きく異なっているからです。また、ゼロトラストの導入と実装には時間とコストの両面で大きな負担がかかることを考えれば、躊躇せざるを得ないのかもしれません。
確かに、ZTNAをセキュリティ戦略に組み込むためには、再構築と再教育が必要です。しかし、ゼロトラストがもたらす無数の利点は、その時間と労力、そして費やすコストに見合うものです。
Zero Trust Network Accessを導入することで、組織は以下のようなことが可能になります:
いつでも、どこでも、仕事ができるようになります
ビジネス界においては、ハイブリッド型のワークモデルがしばらくの間(あるいは永遠に)主流になると思われます。そのため企業はセキュリティ戦略を再構築し、従業員がいつでも、どこでも、どんなデバイスからでも、必要なデータやアプリケーションにアクセスできるようにしなければなりません。ZTNAは、アプリケーションやデータへの動的なアクセスを提供することで、VPNよりも軽快な作業環境を実現し、リモートワーカーが場所やデバイスに関係なく安全に作業し、生産性を維持できるようにします。
リスクを低減します
アプリケーションとサービスがユーザーと接続するためには、信頼性が事前に検証される必要があります。またZTNAでは、悪意のあるコンテンツをブロックしDLP違反をスキャンするために、それらの通信を継続的に監視するため、攻撃者がシステムを侵害して機密データやアプリケーションにアクセスするリスクを大幅に低減します。ZTNAのアプローチでは、文字通りIDが常に検証されるのです。
クラウド環境に対する可視性が向上します
クラウドへの移行が加速し、リモートワークやそれよりも複雑な環境がもたらす資産が急増したことで、組織は必要な可視性を確保できないままになっています。ZTNAは、資産そのものにセキュリティを近づけます。
より軽快なコンピューティング環境を実現します
ZTNAではセキュリティポリシーを一元管理できるため、企業はセキュリティポリシーをいちいち修正することなく、データセンターやクラウド環境間でアプリケーションを簡単に移動できます。
すべての業務が行われるブラウザーにセキュリティを集中させます
ユーザーは、1日の大半をブラウザーベースのアプリケーションで作業しているため、クライアントレスのアプローチが最も理にかなっています。そこで、クラウドベースのZTNAが威力を発揮するのです。さらにZTNAは、クライアントを必要とするカスタムビルドのアプリケーションやエッジのケースもカバーします。
ラテラルムーブメントを制限します
悪質な攻撃者は、アクセスしてそのままの経路を辿り、そのまま退散するわけではありません。本当の破壊は、環境内を横方向に移動(ラテラルムーブメント)することで起こります。ZTNAのネットワークアクセスの管理は厳格なため、認証されていないユーザーが資産にアクセスしたり、不正なコンテンツを共有したりしないようにするだけでなく、認証がセキュリティポリシーから逸脱しないようにすることもできます。
監査により、コンプライアンスを確保します
ZTNAは、ガバナンスの専門家にとって理想的です。ZTNAは文字通り、アクセス要求のひとつひとつを評価し、それを追跡して、検証可能な監査証跡を作成します。これにより、ガバナンスが容易になるとともに、セキュリティインシデントに関連するコストを削減することができます。
既存の VPN 戦略を強化します
組織はこれまでVPN環境に相当な投資を行っており、その投資を無駄にしたくはありません。しかし、パンデミックによってオフィスが閉鎖され、従業員が自宅からアクセスするようになった結果、VPNの脆弱性が浮き彫りになりました。VPNは、多くのリモートユーザーによる負荷に耐えられなかっただけでなく、「一旦侵入したら、そのまま活動を続けられる」というアプローチのため、悪意のあるユーザーがアプリや機密データにアクセスすることを防げなかったのです。企業はVPNへの投資を放棄する必要はありません:ZTNAは既存のVPNを補完し、セキュリティをさらに強化することができます。
データの流出を防止します
ZTNAは悪質な攻撃者の侵入を防ぐことを目的に構築されており、未認証のユーザーによるデータの持ち出しを確実に防止します。ZTNAソリューションは、偶発的または悪意のあるデータの流出を防ぐために、データの流れを両方向からスキャンするように設計されている必要があります。
既存のクラウドセキュリティスタックと連携します
ZTNAソリューションを検討する際には、セキュアWebゲートウェイ、Cloud Access Security Broker、データ漏洩防止(DLP)技術など、他のセキュリティスタックと緊密に統合できるものを見つけることが重要です。ポリシーを作成するだけでな、く可視化もできる単一の管理コンソールを持つことは、すでに過負荷となっているセキュリティチームの業務を可能な限り簡素化するために重要です。
ZTNAは、組織がデジタルトランスフォーメーションの取り組みを継続するのに役立ちますが、その道のりには不断の努力が必要です。しかし最終的には、それに見合うだけの成果を得ることができます。ゼロトラストがいったん動き出せば、VPNを使うよりもはるかに簡単です。ZTNAを最大限に活用するためには、組織のビジネス目標やセキュリティチームの方針を揃えておく必要があります。