ゼロ トラスト ネットワーク アクセス (ZTNA) とは?

ゼロ トラスト ネットワーク アクセス (ZTNA) が重要なのは、ますます分散化が進むデジタルファーストの職場において、適応性と回復力があるサイバーセキュリティのニーズが高まっているからです。

これが重要なフレームワークとされるようになったのは以下の理由によります。

進化する脅威に対する保護。従来のセキュリティ モデルでは、内部のユーザーに広範なネットワーク アクセスを認めていましたが、サイバー脅威が高度化した現在、特にインサイダー脅威や資格情報の侵害による脅威は、従来のモデルで十分に防ぐことができません。ZTNA では、どのエンティティも本質的に信頼できるものではないという前提に立ち、潜在的な攻撃ベクトルを制限します。

リモート ワークとクラウドベース リソースのサポート。リモート ワークとクラウドの採用が広がっている状況を受けて、企業は、従来のオンプレミス ネットワークからハイブリッドまたは完全なクラウドベースのインフラストラクチャに移行しつつあります。ZTNA は、オンプレミス環境とクラウド環境の療法に一貫したセキュリティ ポリシーを適用し、あらゆる場所から行われるリソース アクセスのセキュリティを確保します。

サイバー攻撃における横移動の軽減。セキュリティ侵害のシナリオにおいて、ZTNA のセグメント化されたアクセスは、攻撃者の横移動を防止し、潜在的な損害の発生する範囲を限定します。知る必要があることに関するアクセスしか許可しないため、攻撃者から見ると、システム間を移動して重要な資産にアクセスすることは、はるかに困難になります。

ビジネスにとって、ZTNA には以下のような多くのメリットがあります。

セキュリティの強化。継続的に ID とデバイスを検証する ZTNA のモデルには、不正アクセスのリスクを減らし、資格情報の侵害による脅威を軽減する働きがあります。ZTNA では、ID、場所、デバイスの正常性などの要素に基づいて個々のアクセス試行を検証するため、全体的なセキュリティ体制を強化され、不正アクセスが最小限に抑えられます。

アクセス制御とポリシーの適用の改善。ZTNA を使用すると、組織はきめ細かなロールベースのアクセス ポリシーを適用できます。各ユーザーに付与されるアクセス権は、その人にとって必要なアプリケーションまたはリソースに対するものだけであるため、機密データに誤って (または意図的に) アクセスする可能性は小さくなります。また、アクセスは制限されてログに記録されるため、データ保護とプライバシーの規制遵守もシンプル化になります。

攻撃面の縮小。ZTNA では、個々のユーザーやデバイスがネットワーク全体へのアクセスを得ることは決してないため、攻撃面の大きさが格段に小さくなります。承認されたユーザーとデバイスのみが、特定のリソースに対してのみ、安全で暗号化された接続を介してのみアクセスを行えるため、データ侵害や不正なデータ露出のリスクが軽減されます。

従来のセキュリティ モデルは、内部ネットワークは "信頼できる" が外部ネットワークは "信頼できない"、したがってファイアウォールと VPN で保護する、という基本的な考え方に依存しています。そうした従来型モデルとゼロ トラスト ネットワーク アクセス (ZTNA) には、以下の重要な違いがあります。

境界ベースと ID ベース。従来のセキュリティは、ネットワーク内のユーザーは信頼できるという前提に立ち、ネットワーク境界を保護することに依存します。一方、ZTNA は、場所に関係なく個々のアクセス試行すべてを潜在的なリスクがあるものとして扱い、ID 確認を毎回要求します。

暗黙的な信頼と明示的な信頼。従来のモデルでは、認証が済んだユーザーは信頼され、多くの場合、ほとんど制限なしにネットワーク内の横移動ができます。一方、ZTNA ではマイクロセグメンテーションと最小特権アクセスの原則を適用して横移動を制限するため、資格情報の侵害に関連するリスクが軽減されます。

静的アクセス制御と動的アクセス制御。従来のセキュリティ モデルでは静的なルールを使用するのが一般的ですが、これは柔軟性が低く、現在の情勢下では通用しない場面が多くなっています。ZTNA では、リスク要因、ユーザーの行動、状況に応じたその他の手がかりに基づいて動的なポリシーを適用します。

VPN と安全な直接アクセス。従来のネットワーク接続モデルでは、リモート アクセスに VPN を使用することが多いため、待ち時間が発生しやすく、規模の拡大に対応することは難しい場合があります。ZTNA ソリューションでは、アプリケーションへの安全なアクセスを直接提供し、すべてのトラフィックを VPN 経由でルーティングすることはないため、パフォーマンスとスケーラビリティが改善されます。

ゼロ トラスト ネットワーク アクセス (ZTNA) は、セキュリティ サービス エッジ フレームワークの一部であり、ゼロ トラストの原則に基づいて構築されたプライベート リソースへのアクセス保護に使用されます。ZTNA 環境下のユーザー、デバイス、アプリケーションは、ネットワーク内外のどこにいるかに関係なく、リソースにアクセスするために自身の正当性を証明し続ける必要があります。主な運用メカニズムとしては以下の要素があります。

ID およびアクセス管理。ZTNA は、厳格な ID 確認から始まります。各ユーザーまたはデバイスは、アプリケーションやリソースにアクセスする前に ID を認証する必要があります。多くの場合、これには多要素認証 (MFA) 方式が使用されます。この認証によって正当なユーザーのみが識別され、アクセスが許可されます。

マイクロセグメンテーション。ZTNA は、単一のネットワーク境界に依存せず、ネットワーク内を、より小さな隔離されたセグメントに分割します。具体的なリソースやアプリケーションは個々のセグメント内にあるため、攻撃者は、1 つのセグメントを侵害した後も、ネットワーク内を簡単に横移動することはできません。

最小特権アクセス。個々のユーザーとデバイスには、その役割上必要とされる特定のアプリケーションまたはデータへのアクセスのみが許可されるため、潜在的な露出が制限されます。この最小特権アプローチにより、1 つのアカウントが侵害されても、そこからアクセスできる対象は限定され、データ侵害や不正アクセスのリスクが最小限に抑えられます。

アプリケーションレベルのアクセス。ZTNA は、広範なネットワークレベルのアクセスを許可するのではなく、アプリケーション固有の接続をサポートします。つまり、たとえデバイスがアクセス許可を得ても、通信できる対象は、アクセスを許可された特定のアプリケーションまたはリソースのみです。ユーザーやデバイスがネットワーク全体について状況把握やアクセスを行うことはできないため、攻撃面はいっそう小さくなります。

継続的なアクセス評価。ユーザーとデバイスの行動に対する継続的評価は、ZTNA の中心的な要素の 1 つです。これには、異常なアクティビティ パターン、デバイスの状態 (セキュリティ更新プログラムがインストールされているかどうかなど)、場所の変化についての監視が含まれます。異常が検出されると、アクセスが失効する場合や、追加の認証が必要になる場合があります。

ゼロ トラスト ネットワークは進化し続け、最新のサイバー脅威やリモート ワーク環境の複雑化に対応しています。初期の ZTNA は、ゼロ トラストの基本原則を導入し、従来型のネットワーク境界防御ではなくユーザー ID とデバイス ポスチャに基づいてアクセスを提供するものでした。その後、サイバー脅威の進化に対応するために、より包括的で適応性の高いアプローチが求められるようになり、ZTNA は以下のような機能を取り入れて発展してきました。

きめ細かなアプリケーション アクセス制御。現在の ZTNA は、単純なネットワークベースまたは IP ベースだけでなく、より詳細なアプリケーション レベルのアクセス制御機能を備えています。各ユーザーに必要な特定のアプリケーションとリソースのみにアクセスを制限できるのに加え、アプリケーション内でも、アクセスを許可するデータや操作の範囲を制限することができます。

継続的な信頼評価。従来の ZTNA では、信頼性評価はセッション開始時に 1 回限り行われるのが普通でした。現在は継続的な信頼モデルが採用され、セッションが継続する間、常にユーザーとデバイスの行動が動的に評価されるようになっています。継続的な監視は、異常や危険な行動をリアルタイムで検出して対応するのに役立ちます。

脅威防止機能の統合。現在の ZTNA では、マルウェア検出、侵入防止、その他のセキュリティ チェックなど、各種の脅威防止機能がアクセス モデルに直接統合されています。このプロアクティブなセキュリティ レイヤーは、万一攻撃者の初期アクセスが成功した場合に、ネットワーク内での横移動を防ぐのに役立ちます。

ユーザーとデバイスのコンテキスト認識の強化。現在の ZTNA には、ユーザー ID やデバイス ポスチャを確認するだけでなく、ユーザーの行動パターン、デバイスの履歴、環境要因 (例: 地理情報、アクセス時間) など、より多くのコンテキスト要素が取り入れられています。このことは、アクセス要求ごとのリスク プロファイルをより正確に作成するのに役立ちます。

セキュア アクセス サービス エッジ (SASE) は、ネットワーキング サービスとセキュリティ サービスを組み合わせて統一的なクラウドネイティブ モデルに取り込んだサイバーセキュリティ フレームワークです。その目的は、さまざまなセキュリティ機能 (セキュア Web ゲートウェイ、クラウド アクセス セキュリティ ブローカー、サービスとしてのファイアウォール、ゼロ トラスト ネットワーク アクセスなど) と広域ネットワーク機能を統合し、ユーザーの場所を問わず安全なアクセスを提供することです。SASE は、分散した就業場所にいる従業員をスケーラブルかつ柔軟に保護できるしくみであり、リモート ワークやマルチクラウドが標準的になった現代の環境において特に有用です。

ZTNA は、SASE モデルに含まれる主要な構成要素の 1 つであり、ゼロ トラスト アーキテクチャに基づくアクセス制御に特化した機能を備えています。ZTNA はアプリケーションとリソースのレベルに厳格なアクセス制御を適用するものですが、SASE は、より広範囲に、セキュリティとネットワーキングの包括的なモデルを提供するものです。要するに、ZTNA はきめ細かなアクセス管理に特化した、SASE の重要な構成要素です。SASE は、ZTNA を取り込んだ大きなセキュリティ ツールセットで、ネットワーク全体を対象とする統一されたエンドツーエンドの保護を提供します。

Microsoft ゼロ トラスト ネットワーク アクセス (ZTNA) のソリューションは、ユーザーの場所を問わずアプリケーションやリソースへの安全なアクセスを提供するように設計されています。


このアプローチのコア コンポーネントである Microsoft Entra Private Access は、従来の VPN を代替するものです。ID 中心の ZTNA ソリューションを使用するユーザーに対し、居場所を問わず、すべてのプライベート アプリやリソースへの安全なアクセスを提供するために役立ちます。Microsoft Entra Private Access を使用すると、レガシ VPN から ZTNA への置き換えが可能になります。アプリにまったく変更を加えることなく、ID 中心のアクセス制御を使用して条件付きアクセス ポリシーを組織のネットワークに拡張し、すべてのプライベート アプリとリソースに対してシングル サインオン (SSO) と多要素認証 (MFA) を有効にすることができます。従業員は、Microsoft のグローバルなプライベート ネットワークを介して、セキュリティと生産性をバランス良く両立した高速でシームレスなアクセス エクスペリエンスを利用できます。