一般的には、長く続いているものほど、よく理解されているものです。しかし、現実は必ずしもそうとは限りません。ZTNA(Zero Trust Network Access)はずいぶん前からセキュリティ業界で話題になっていますが、いまだに正しく理解されていないようです。
ただし、企業がこのテクノロジーを採用していないということではありません。Gartnerは、2023年までにZTNAの採用率が50%に達するとの予測を発表しました。また、今年末までに、エコシステムパートナーが新しいデジタルビジネスアプリケーションの大部分(80%)にZTNA経由でアクセスすることになるだろうと述べています。
そうであれば、ZTNAはほぼすべての人に関与することになります。大企業であれベンダーであれ、セキュリティに取り組むすべての企業がその採用を望んでおり、今後何年もそういった状況が続くことが予想されます。しかしそれこそが、ZTNAをめぐる混乱の原因なのかもしれません。
多くの誤解
ZTNAを取り巻く環境は、特にこの2年間の激動の時期に、混乱を増してしまいました。ZTNAは万能薬として持て囃され、他のツールを置き換えるものであるかのように扱われています。しかし、それらのツールはそれぞれがセキュリティにおいて重要かつ明確な役割を果たしており、時には互いに協調して機能するものです。
ZTNAに対する誤解
VPN と同じである
VPNとZTNAは同じものではありません。VPNは入口でIDをチェックするだけのもので、繁華街のクラブの用心棒のようなものです。入口で審査に合格した客は誰でも中に入り、敷地内を自由に動き回ることができます。VPNを経由すれば、承認された人はネットワーク全体とそこにあるアセットにアクセスすることができるのです。一方でZTNAは、その用心棒が客を尾行して、承認されたエリアのみしか入場を許可しません。企業のアプリとインフラを包括的に理解していないセキュリティ担当者は、アプリケーションごとにアクセスを制限できるZTNAの機能を十分に活用できておらず、「ZTNAはVPNを同じようなものである」という罠に陥りやすいのです。
万能薬である
ZTNAは幅広い可能性を秘めていますが、すべてのセキュリティ問題を解決できるわけではありませんし、おそらくすべての人にとっての解決策でもないでしょう。ZTNAを導入すれば、セキュリティ上の問題をすべて解決できると考える企業が多い様です。しかしZTNAは、ユーザーが業務を遂行するために必要なアプリを特定しなければならないという点で、より対象を絞ったものと言えます。ZTNAを適切に導入できたとしても、ZTNAは1つのツールに過ぎず、セキュリティを強化するためには他のツールも必要です。
CASB である
CASBがZTNAと混同されやすいのは、ベンダーの説明方法のせいです。CASBは、Salesforceなどのサードパーティベンダーが管理するアプリケーションのセキュリティを確保するのに非常に適しています。また、シャドーITの問題にも対応し、企業内で使用されているサードパーティのSaaSアプリケーションを特定することができます。しかし、CASBが手を出せないのは、社内で管理されているアプリケーションです。CASBは通常、社内管理アプリケーションを可視化することはできず、クラウドベースのSaaSアプリケーションに着目し、そのセキュリティ制御を提供するだけです。
簡単である
多くのセキュリティチームは、ZTNAソリューションを導入しさえすれば良いと考えているようです。しかしZTNAを機能させるためには、努力と時間、そして企業の規模にもよりますが、相当な労力が必要です。例えば、3万人規模の多国籍企業では、500人規模の中小企業よりも保護すべきアプリケーションの数が多く、誰がどのアプリケーションへのアクセスを許可されているかを設定するために多くの労力がかかります。そして個々のアプリケーションの導入は、全体としてどのようにアクセスを保護するかという、より広範な会社のロードマップの一部として考える必要があります。ZTNAはそれをサポートすることができるツールですが、ロードマップと連携して慎重に運用する必要があります。
ZTNAの真実
ZTNAは、今後のセキュリティにとって重要となる多くの要素を備えています。IDCによれば、企業の76%が近い将来、リモートアクセスを拡大する可能性があるとのことで、このソリューションの影響力と数は今後も増え続けるでしょう。
ZTNAとは何か
SASEや他のセキュリティツールを補完するものである
違います。ZTNAは、SASEの代わりではありません。SASEは、より広範なアーキテクチャです。SASEは、一般的に使用されているクラウドベースのネットワーキングとセキュリティのツールのメリットを集約したもので、ZTNAだけではできないことを「見て」「理解して」「コントロールする」ことができます。しかしZTNAは、エッジでのアプリケーションアクセスの保護、クラウド、Webサイト、モバイルデバイスからのアクセスの制限、侵入時の被害の抑制など、様々な方法でSASEをサポートし、補完することができます。ZTNAソリューションは、企業がより広範なSASEアーキテクチャへ移行する上で、重要な要素であると考えるべきでしょう。
最終的にはVPNを置き換えるものである
Gartner 社によると、企業の 60% が最終的にVPNをZTNAに置き換えるだろうということです。VPNは、リモートユーザーやアプリが乱立する現代のネットワークの要求を満たすための拡張性に欠けるためです。ZTNAは、エンドユーザー、サードパーティー、請負業者などに対して、クライアントの導入を必要しない、よりシンプルなアクセス方法を提供します。さらにZTNAは、VPNでは不可能な、これらのユーザーのアクセスに対する特別なセキュリティ制御を提供します。しかし、多くの企業は過去20年間、VPNアーキテクチャを中心としたネットワークの構築に多くの時間と資金を費やしてきたため、企業がZTNAに移行する際には、ネットワーキングとセキュリティの間で多少の軋轢が生じるかもしれません。
ポリシーエンフォーサーである
セキュリティチームが、自社のコンピューティング環境にあるアプリケーション、そのアプリケーションにアクセスする必要のあるユーザー、およびそのアプリケーションに関連するセキュリティの内容を理解すれば、それらの要素に関するポリシーを設定できます。ZTNAはこれらのポリシーをサポートし、ポリシーが遵守されていることを確認し、必要に応じて「違反」を指摘し、アクセスをブロックします。
企業で使用しているすべてのアプリケーションを把握し、それらのアプリケーションにアクセスする必要があるのは誰か、どのようなセキュリティ管理が必要かを把握することで、ZTNAのソリューションを導入してセキュリティ対策の実施を開始することができるのです。
努力に見合う価値をもたらす
ZTNAを導入するためには、セキュリティ担当者が企業のアプリケーションとアクセスの必要性を理解するための作業を行う必要があり、それには多額の費用もかかります。しかし、一度それが完了すれば、ZTNAはVPN戦略よりもはるかに面倒ではありません。なぜなら、確立されたセキュリティポリシーに従って、アプリケーションを追加し、アクセスを自由に許可することができるからです。
ZTNAはセキュリティの常識を覆す
ZTNAが持つ多くのメリットは、セキュリティ担当者のためのウィッシュリストのようなものです。ZTNAは、いつでもどこでも仕事ができ、リスクを低減し、クラウド環境の可視性を高め、より軽快なコンピューティング環境を実現し、すべてのアクションが行われるユーザーとアプリケーションにセキュリティを集中させることができます。そしてラテラルムーブメントを制限し、監査へのコンプライアンスを確保し、既存のVPN戦略を拡充し、データ流出を防止します。しかしZTNAを最大限に活用するためには、企業はZTNAを自社のビジネス目標に合わせるとともに、セキュリティチームの方針とも整合させる必要があります。