キヤノンMJ/サイバーセキュリティ情報局

ゼロトラストネットワークアクセス(ZTNA)のメリット&デメリット

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ゼロトラストネットワークを実現するZTNAはVPNに取って代わるのか?」を再編集したものです。

 リモートワークを行うユーザーの急増などもあり、クラウドサービスを活用する企業も増えている。その一方で、従来の「境界型防御」というセキュリティ対策も再考を迫られるようになっている。この記事では、昨今のネットワークセキュリティ対策の動向を踏まえ、ゼロトラストネットワークついて解説する。

ゼロトラストとは

 近年、セキュリティ業界で注目を集めているキーワードの1つが「ゼロトラスト」だ。ゼロトラストとは、「ゼロ=何もしない」、「トラスト=信頼する」という言葉のとおり、「すべての通信を信頼しない」ことを前提に対策を講じる、セキュリティ対策における比較的新しい考え方である。

 ゼロトラストの概念は、2010年に米国のフォレスター・リサーチ社のジョン・キンダーバーグ(John Kindervag)が提唱した「Never Trust, Always Verify.(決して信頼せず、常に監視せよ。)」という考え方がベースとなっている。

 従来、ネットワークセキュリティでは内部と外部を切り離して対策を講じることが前提となっていた。この場合、攻撃は外部から生じるものであり、内部すなわち組織・企業内部での通信は信頼できるものとみなす。しかし、テクノロジーの進化、働き方の変化などもあり、その前提は大きく覆りつつある。

 これまでのセキュリティモデルが性善説に基づくものと捉えれば、ゼロトラストセキュリティでは、性悪説に基づいたアプローチにて対策を講じるのだ。

ゼロトラストが注目されるようになった背景

 先述のとおり、ゼロトラストに注目が集まるきっかけとなったのは、テクノロジーの進化や働き方の変化だ。そして、大きなパラダイムシフトとなったのはやはりコロナ禍だろう。

 新型コロナウイルスの蔓延を防ぐため出社自粛が要請されたことによって、出社せずに業務を遂行するリモートワークを導入する企業の数が急増。クラウドサービスを業務で活用する流れも加速するなど、業務環境は大きな変化を伴った。

 その結果、従来の「境界型防御」というセキュリティの考え方から、こうした環境変化を踏まえたセキュリティ対策を講じる必要性に迫られたのだ。

 境界型防御とは、社内ネットワークと外部ネットワークとを切り分け、社内ネットワークの通信は信頼できるもので外部の通信は信頼できないものとして、その境界を防御すれば安心であるという考え方だ。社内ネットワークと外部ネットワークの間にファイアウォールを設置するというのは、典型的な境界型防御における対策の1つである。

 コロナ禍でリモートワークが増加したことやクラウドサービス、モバイル端末の利用拡大により、企業ネットワークの内外を隔てる境界そのものが曖昧となり、攻撃の侵入経路が多様化した。「アタックサーフェスの拡大」とも言われ、攻撃者の選択肢が増えている状況となった。

 また、外部から企業内ネットワークへのアクセス手段としては、従来から一般的にVPNが使われているが、VPNでは基本的にIDとパスワードを用いた認証となる。そのため、これらのアカウント情報が漏えいしてしまうと、容易に不正アクセスされてしまう。その結果、攻撃者によって社内から機密情報などが盗み出されかねない。

 このような背景もあり、従来の境界型防御のセキュリティ対策から、新しいテクノロジーや多様な環境を前提にした対策への転換が迫られているのだ。

ゼロトラストネットワークアクセス(ZTNA)とは

 ゼロトラストネットワークとは、ゼロトラストの概念に基づく新しいネットワークの考え方だ。従来のアカウント情報を用いた認証では、認証された後はネットワークへのアクセスがほぼ制限されない。この状況を改め、事前に管理者が策定したアクセスに関するポリシーに基づき、ユーザーのアクセスの認可をその都度判断して行うことになる。

 認証後のユーザーのコンテキストを認証・認可情報として利用し、その通信がどこに対してのアクセスが許される通信なのかを判別・認可し、アクセスすべきではないサーバーなどには通信できないようにするのだ。

 ゼロトラストネットワークを実現するソリューションの中でも特に重要になるのが、外部からリモートアクセスを行うためのゼロトラストネットワークアクセス(ZTNA)である。ZTNAはVPNに代わるリモートアクセスの方法であり、以下3つの特徴を有する。

最小権限の原則

 VPNではIDとパスワードが合致すれば、社内のすべてのネットワークへのアクセスが許可されるが、ZTNAでは、ユーザーごとに与える権限を最小限にし、自分の業務に必要がないネットワークへはアクセスできないようになっている。

高度なユーザー認証

 IDとパスワードの認証だけでなく、指紋やSMSなど、多要素認証を採用し、ユーザー認証を高度化することで、第三者が別のユーザーになりすまして社内ネットワークに侵入することを阻止する。

端末ごとの信頼性評価

 ユーザーが社内のネットワークにアクセスする際、使用している端末が会社支給か個人所有のものかを判別し、端末ごとにセキュリティソフトやOSのアップデート状況から、信頼性を評価。信頼性の低い端末からのネットワークへのアクセスを拒否する。

ゼロトラストネットワークアクセス(ZTNA)のメリット

 VPNと比較した際のZTNAのメリットは以下のとおりだ。

サイバー攻撃リスクの低減

 原則としてアタックサーフェスが小さくなるため、自ずとサイバー攻撃の被害は抑制される。また、攻撃者が侵入したとしても、最小権限しか与えられないため、組織内ネットワークにてラテラルムーブメント(水平展開または横展開)することを抑止する。

スケーラビリティ

 ユーザーの増加に対して迅速かつ柔軟な対応が可能だ。特に、VPNではユーザーの急増でVPN装置の処理能力が足りなくなり、通信が遅延しているケースが散見される。ZTNAはクラウド上のサービス、すなわちSaaSであるため、状況に応じた柔軟な調整が可能だ。

BYOD

 クラウド経由にてリモートアクセスすることで、個人所有端末も利用可能となる。いわゆるBYOD(Bring Your Own Device)の推進に繋がる。

通信快適性の向上

 先述のとおり、クラウドを用いていることもあり、柔軟な設定で通信を最適化できる。また、ZTNAのベンダーでは、さまざまな国・場所にアクセスポイントを置くことで通信経路の最適化を図っている場合も少なくない。

ゼロトラストネットワークのデメリット

 ZTNAの導入はセキュリティ面から見ると望ましいことばかりのように見受けられるが、以下のようなデメリットがあることにも注意が必要だ。

導入コストと時間がかかる

 ZTNAを導入する前に、現在のITリソースやデータ、ユーザー、ビジネスプロセス、トラフィックフローなどを整理し、最適化する必要がある。導入段階では、専門的な知識を持った技術者による作業が必要であり、一定の導入コストと時間を要する。

ログインに手間がかかる

 基本的に多要素認証を行うため、ログインに手間がかかる。また、短時間で認証が切れるソリューションの場合、その都度認証し直す手間が生じてしまう。

セキュリティ担当者の作業が増える

 導入後もネットワーク上のリソースを常にモニタリングし、ログ監視を行うなどセキュリティ担当者のやるべき作業が増えるほか、ユーザーからのフィードバックへ対応するための工数も必要となる場合がある。

適切なセキュリティ設定をしないと業務効率が落ちる

 セキュリティ設定を厳しくしすぎると、業務に必要なデータにアクセスできなくなったり、個人所有の端末で社内ネットワークに接続できなくなったり、結果として業務効率が低下する可能性がある。適切なセキュリティ設定を行うには、専門的な技術や知識を持った人材が必要になる。

ゼロトラスト化が今後の課題に

 企業ネットワークのゼロトラスト化は、巧妙化・悪質化するサイバー攻撃を踏まえると、今後も広がりを見せていくことは想像に難くない。実際、VPNからZTNAにリプレースしている企業も少なくない。今後もこうした「脱VPN」といった動きは加速していくものと見込まれている。

 しかし、ZTNAは得られるメリットも大きいが、少なくないコスト負担も求められる。導入企業の業種によっては、投じるコストを上回るメリットを享受できない可能性もあり得る。導入にあたっては、自社の事業計画とセキュリティポリシーを天秤にかけながら、バランスの取れた最適解を見つけ出すようにしてほしい。