CISO Collective

ゼロトラスト、ZTA、ZTNAの相違点を解説

投稿者 Peter Newton | 2021年4月30日

多くのベンダーが「ゼロトラスト」というバズワードを使いますが、それらは必ずしも同じ意味で使用されていません。本ブログではゼロトラスト、ゼロトラストアクセスゼロトラストネットワークアクセスのそれぞれの概念と相違点について丁寧に解説しています。

多くのネットワーキング / セキュリティベンダーが「ゼロトラスト」という用語を使用していますが、必ずしも同じ意味で使用しているとは限りません。ゼロトラストアクセス(ZTA)とゼロトラストネットワークアクセス(ZTNA)も同義で使用されることが多く、混乱を招いています。このように似た用語や略語が多いため、ソリューションについて話す場合にはベンダーが意図する意味を理解しておくことが重要です。

私は毎週数社のお客様とお話ししますが、ゼロトラストソリューションが話題にのぼることが多くなってきました。詳しい調査の準備として、おおまかな説明を求めているお客様がほとんどであり、ZTNAソリューションの詳しい情報を求めているお客様は少数派です。質問に耳を傾け、いくつかのポイントを確認すると、お客様がソリューション検討のどの段階にいるかが簡単にわかります。

ゼロトラストという概念が登場したのは、「内部は信頼でき、外部は信頼できない」というこれまでのネットワークセキュリティモデルがもはや機能しなくなったためです。ユーザーのモバイル化、ネットワークの外にいるビジネスパートナーのアクセスといった新たな課題に対処する方法として仮想プライベートネットワーク(VPN)や緩衝ゾーン(DMZ)が使用されるなど、この境界ベースのアプローチには長年にわたって微調整が加えられてきました。ところが、現在のネットワークはあまりに複雑になってしまい、このアプローチではとても太刀打ちできません。というのは、境界ベースのアプローチは、暗黙的な信頼を必要以上に付与するためです。直接またはVPNを経由してアクセスしたユーザーやデバイスは、一度接続してしまえば、「内部ネットワーク」の他の部分から信頼を得ることができます。

ゼロトラスト

ゼロトラストモデルは、ネットワーク上の位置に基づいて暗黙的信頼を付与するのではなく、トランザクションごとに信頼を検証します。ゼロトラストでは、ネットワーク上の位置やIPアドレスは、暗黙的な信頼を意味するものではありません。ゼロトラストモデルでは、IDの組み合わせとコンテキストベースの要素に基づいて、信頼が明示的に付与されます。

ゼロトラストという名称は、ネットワークアクセスにおいて、すべてのユーザーやデバイスを例外なく信頼しないこと(つまり、信頼ゼロ)を前提とすることから由来します。ゼロトラストモデルでは、リソースへのアクセスを要求したユーザーやデバイスは、アクセスの前に検証が必要になります。この検証は、ユーザーやデバイスのIDに加えて、日時、地理的な場所、デバイスセキュリティ状態といった属性やコンテキストに基づいて実行されます。

検証が完了すると、適切なレベルの信頼のみが付与されます。アクセスの原則となるのは、「最小限の権限」です。たとえば、人事アプリケーションへのアクセスを要求したユーザーには、検証後、そのアプリケーションのみへのアクセス権限が割り当てられます。

1つのリソースへのアクセスを許可されたとしても、他のリソースにアクセスできるわけではありません。アクセスとは、ネットワーク全体ではなく、特定のリソースにアクセスする権限を意味します。ゼロトラストモデルの重要なポイントは、信頼は継続的に再評価されるという点です。ユーザーやデバイスの重要な属性が変更された場合、再検証が行われ、その結果、アクセス権が剥奪されることもあります。

ゼロトラストアクセス

ゼロトラストアクセス(ZTA)とは、ネットワーク上にあるユーザーやデバイスを識別し、制御することを意味します。ロールベースのアクセス制御は、アクセス管理において重要な役割を果たします。ユーザーが誰なのかを明確に認識しない限り、ロールに基づいて適切なレベルのアクセス権限を割り当てることはできません。ユーザーが従業員、ゲスト、業者なのか、どのようなロールを持ち、どのようなネットワークアクセス権限が適切なのか、を明確にする必要があります。

ZTAは、管理の制御と可視化が必要なユーザーエンドポイントをカバーします。ゼロトラストモデルとは、ロールに最低限必要なネットワークアクセスを割り当て、ネットワークの他の部分にアクセスおよび閲覧する権限を削除するアクセスポリシーを意味します。

ZTAでは、ネットワーク上のユーザーだけでなく、ネットワーク上のデバイスのセキュリティ保護も行います。現在、ネットワーク接続デバイスは増加を続けています。これには、プリンター、エアコンや換気装置、入退室管理システムなど、幅広いIoTデバイスも含まれます。このようなデバイスに、個々を特定するユーザー名やパスワード、ロールはありません。「ヘッドレス」デバイスの検出とアクセス制御には、ネットワークアクセス制御(NAC)ソリューションを使用できます。NACポリシーを使用し、最小限のアクセス権限を付与するゼロトラスト原則をIoTデバイスに適用することで、デバイスの機能上必要なネットワークアクセスのみを割り当てることができます。

ゼロトラストネットワークアクセス

ゼロトラストネットワークアクセス(ZTNA)は、ガートナーなどのアナリストが提唱した影響を受け、業界で標準的な用語として使用されつつあります。ユーザーによるアプリケーションアクセスをブローカーが仲介することを意味するにもかかわらず、「ゼロトラストネットワークアクセス」と呼ばれているため、あまりわかりやすい名称だとは言えません。「ゼロトラストアプリケーションアクセス」という名称の方が明確かもしれませんが、いずれにしてもZTNAという用語が使用されています。ZTNAは、ZTAの大きな価値提案の1つです。

ZTNAは、ユーザーやアプリケーションの場所を問わず、アプリケーションアクセスを制御できるという点で、テレワークの増加を背景に注目が集まっています。ユーザーの場所は、企業ネットワークや自宅など多岐にわたり、アプリケーションが稼働する場所も、社内データセンタ-、プライベートクラウド、パブリックインターネット上などさまざまです。

従来型のVPNは何十年もの間、ネットワークにおいて中心的な役割を果たしてきましたが、VPNの進化型であるZTNAは、より強力なセキュリティ、きめ細かい制御、優れたユーザーエクスペリエンスを今日の複雑なネットワーク環境で実現できるため、テレワーカーを安全に接続する上で賢い選択肢だと言えます。

従来型のVPNは、「ネットワーク境界を通過したユーザーやデバイスを信頼する」という前提に基づいています。ZTNAのアプローチは逆であり、「検証されていないユーザーやデバイスは信頼しない」というアプローチに基づいています。VPNとは異なり、ZTNAはゼロトラストモデルをネットワークの枠を超えて拡張し、アプリケーションをインターネットから隠蔽することで、攻撃対象領域を縮小します。

ゼロトラスト、ゼロトラストアクセス、ゼロトラストネットワークアクセスの相違点

従来型ネットワークの外にあるリソースにアクセスするユーザーが増加すると、ネットワーク境界は消滅し、位置に基づいたアクセス権限の付与は不可能になります。ゼロトラストという用語を目にしたときには、「ユーザーやデバイスを自動的に信頼することはなく、検証後に最小限のアクセス権限を付与し、再検証を行う」という意味が一般的であることを覚えておいてください。ZTAは、この概念に基づき、ネットワークにアクセスするユーザーとデバイスの識別に重点を置いたモデルです。ZTNAは、アプリケーションアクセスの課題に対応するものであり、VPNの代替としてよく使用されます。

 

タグ: