ゼロトラストネットワークアクセス(ZTNA)とは?背景やゼロトラストを実現する機能を解説
index
2023/05/19
新型コロナウイルスのパンデミックはワークプレイスのあり方を大きく変えました。またテクノロジーの進化は皮肉にもサイバー犯罪者にも恩恵を与えています。従来までの境界型セキュリティではこうした状況に対応しきれない中で、ZTNAという概念やソリューションに注目が集まっています。
ゼロトラストネットワークアクセス(ZTNA)とは?
ゼロトラストネットワークアクセス(ZTNA)は「どのようなトラフィックも信頼しない」というゼロトラストの原則に則り、アプリケーションやデータレベルでユーザーのアクセスを制御する概念です。また上記を実現するセキュリティソリューションを指すこともあります。アプリケーションレベルでアクセスをコントロールする点でSDP(Software Defined Perimeter)とよく似ていますが、後述するCASBやSWGと並んで、ゼロトラストを実現する代表的な機能です。
【動画】ZTNAソリューション「Safous」概要
なぜゼロトラストネットワークアクセス(ZTNA)への関心が高まるのか
近年、ZTNAへの関心は高まり続けています。それにはどのような背景があるのでしょうか? 大きく分けて、ビジネス環境の変化と巧妙さを増すサイバー攻撃といった二つの側面があります。
1. 新型コロナウイルスが加速させたビジネス環境の変化
(1)曖昧になる境界
パンデミックによって、世界的に外出自粛やロックダウンが行われ、多くのホワイトカラーはリモートワークへの移行を余儀なくされました。従来までは社内ネットワークという「境界」の中で行われていた業務は、在宅やカフェなど「境界外」へと拡張しています。「境界」という概念は曖昧になり、セキュリティポリシーをコントロールすることが難しくなった結果、サイバー攻撃によるリスクが高まっています。
(2)クラウドシフトによる情報資産の分散
リモートワークへの移行によって、業務の多くはクラウド中心に移行しました。Webミーティング、クラウドストレージ、チャット、クラウドドキュメントなどです。
これまでオンプレミスのファイルサーバーに集約されていた情報資産は、クラウド(それもパブリッククラウドやプライベートクラウドなど様々)や外部記憶装置などに分散されるようになりました。守備範囲が広がることによって、システム部門の負荷が増すと同時に、情報漏えいのリスクが高まります。
(3)信頼できない端末
急激な体制の変化によって、設備投資が追いつかず、従業員の私用端末を業務利用するBYOD(Bring Your Own Device)なども増加しました。
またリモートワークによってノートパソコンだけでなくスマートフォンやタブレットなど複数の端末を利用するケースも多くなっています。私用端末はセキュリティ対策が不十分なことも少なくありません。このような「信頼できない端末」からのアクセスが増加することで、セキュリティリスクは高まります。
(4)グローバル企業におけるリスクマネジメントの複雑化
増加するトラフィックに対応するために、グローバル企業でも内部ネットワークに繋がるゲートウェイ機器を各国オフィスごとに管理することがあり、そういった背景からセキュリティポリシーの一元管理や統制を複雑化させています。
2. 巧妙かつ凶暴性を増すサイバー攻撃
(1)標的型攻撃
近年、特定の企業や組織を狙った標的型攻撃が増加しています。サイバー犯罪者はあらゆる手段で情報を集め、狙った企業のネットワークへ侵入しようと試みます。脆弱性のあるVPNゲートウェイや私用端末などは格好のターゲットになってしまうのです。
(2)リモート環境を狙ったサイバー攻撃
リモートワークにおける脆弱性を突いたサイバー攻撃も、コロナ禍において顕在化しました。たとえばWindowsのRDP(Remote Desktop Protocol)の脆弱性を狙った攻撃は2020年に急増しています。
(3)サプライチェーン攻撃
サイバー犯罪者が狙うのはグローバル企業だけとは限りません。サプライチェーンに存在する他の企業の脆弱性につけ込み、システムにマルウェアなどを仕掛けようとします。2020年末には著名なセキュリティプロバイダーのソリューションがサプライチェーン攻撃を受けました。
3. 急激に広がるランサムウェアの脅威
(1)石油パイプラインを狙ったランサムウェア
ランサムウェアは今最も恐るべきサイバー攻撃で、その被害額も巨額です。2020年5月には米国の石油パイプラインがランサムウェア犯罪集団ダークサイドに狙われました。
犯罪者はVPNのパスワード認証の脆弱性を狙いシステムに侵入、パイプラインに多大な影響を与えました。このケースでは440万ドルの身代金が支払われています。※そのうち230万ドルは当局によって取り戻されました。
(2)標的型ランサムウェアと2重の脅迫
ランサムウェアも年々巧妙さを増しており、特定の企業や組織を狙ったタイプの攻撃が増加しています。このタイプの攻撃は標的型ランサムウェアと呼ばれ、犯罪者は企業に合わせてランサムウェアをカスタマイズします。さらにデータを暗号化するだけでなく、データを不正に窃取し、金銭を払わなければデータを公開すると脅してきます。これは「2重の脅迫」と呼ばれています。
(3)RaaSという新たなビジネスモデル
RaaS(Ransomware as a Service)はいわばランサムウェアのビジネスプラットフォームです。ランサムウェアは犯罪ビジネスとして進化を遂げており、ランサムウェアのシステムを提供する提供業者とそれを使って攻撃を行う実施者がタッグを組み、攻撃を拡散しています。企業はこれらの進化するサイバー攻撃と変化するビジネス環境に適応していく必要があります。
注目を浴びるゼロトラストという考え方
上述した背景を受け、重要性が高まっているのが「ゼロトラスト」という考え方です。
1. ゼロトラストとは
ゼロトラストとは社内外を問わず、すべての通信を「信頼できないもの」として捉えるセキュリティの概念です。この概念そのものは2010年頃に既に存在していましたが、パンデミックによるワークプレイスの多様化にともない近年注目が集まっています。
一方で従来型のセキュリティモデルは「境界型セキュリティ」と呼ばれています。境界型セキュリティでは基本的に社内からのアクセスや認証後のアクセスを安全として扱っていました。しかし境界が曖昧になりつつある昨今、こうした考え方では限界が生じています。
(参考)「ゼロトラスト」とは?セキュリティ対策の新たな考え方
2. VPNが抱えるリスク
VPNはリモートワークの普及によって加速度的に浸透しましたが、セキュリティ的なリスクを抱えています。たとえば、VPNの認証情報が漏れてしまうと、社内のあらゆる情報資産へアクセスできる危険をはらんでいます。
またVPN装置へのトラフィックの集中によって、システムの応答速度が遅くなるなど、業務遂行に支障が出るケースも考えられます。ZTNAの導入によってこれらのVPNが抱えるリスクに対処できます。
3. 攻撃対象の多様化
上述したとおり、サイバー攻撃は高度化しており、その手口や攻撃対象も多様化しています。メールやSMS、あるいはサプライチェーン上の取引先など境界の内外を問わず、あらゆるタッチポイントが攻撃の起点になり得ます。こうした状況下においては、あらゆるものを信頼しない「ゼロトラスト」がより一層、重要になるのです。
ゼロトラストネットワークアクセス(ZTNA)の機能
ZTNAはゼロトラストの考え方に立脚しており、通信ごとにアプリケーションレベル、データレベルでアクセスを制御します。また端末が通信するのは拠点のVPNゲートウェイではなく、ZTNAのアクセスポイントになるため、トラフィックの集中などによるレスポンス遅延なども抑制できます。それぞれ具体的に解説します。
1. アプリケーションレベルのアクセス制御
ZTNAはネットワークレベルではなく、アプリケーションレベルのアクセス制御を実現します。通信がある度に、ユーザーを評価しアクセス可能なアプリケーションやリソースのみ解放します。万一、認証情報が漏れてしまっても、アクセス可能なリソース以外は守られます。
2. 認証・認可の統合
ZTNAにはMFA(Multi-Factor Authentication)、SSO(Single Sign On)など、認証・認可のポリシーを一元管理、摘要できるIDP統合の機能が備わっています。認証・認可のポリシーを一元管理することで、多様な業務環境でも安全性を保てます。
3. 監査・ロギング
ログ管理の機能はセキュリティにおいて重要です。ZTNAではアプリケーション操作などのアクティビティログをきめ細かく取得、管理できます。
また、ZTNAとは異なるアプローチでゼロトラストを実現する方法として、以下の二つの機能があります。
(1)クラウドベースのセキュリティ(SWG)
SWG(Secure Web Gateway)はクラウドベースのセキュリティサービスで、URLフィルタリング、アンチウイルス、サンドボックスなどの機能を提供します。一部のZTNAソリューションではSWGが組み込まれているものもあります。
(2)クラウド監視(CASB)
CASB(Cloud Access Security Broker)はクラウドの利用を可視化して利用状況を把握することで、クラウドをより安全に業務利用できます。
ゼロトラストネットワークアクセス(ZTNA)を導入するメリット
ZTNAを導入するメリットとしてはどのようなものがあるでしょうか? 6つご紹介します。
1. 攻撃される可能性のある場所を減らす
ZTNAでは通常、ソリューション提供ベンダーのアクセスポイントと通信します。企業のVPNゲートウェイなどのポートが外部にさらされないため、不正アクセスなどのリスクを低減することができます。
2. 有事の際の被害を押さえられる
ZTNAはアプリケーションレベル、リソースレベルでアクセスをコントロールします。万が一、ユーザー端末がマルウェアに感染するなどして第三者に乗っ取られたとしても、ユーザーが許可されたリソースにしかアクセスできず、二次被害を防げます。
3. 場所を限定しないセキュリティ
ZTNAでは認証・認可のポリシーを一元管理できます。SWGやCASBなどのセキュリティ機能をセキュリティ機能を併用すれば、社内外など場所を問わずセキュリティレベルを一定に保つことができます。
4. 快適な業務環境
ユーザーが拠点から離れた場所で業務を行う場合、サービス事業者の提供するクラウド型アクセスポイントと通信するため、アクセスが分散されやすく、結果、遅延が生じにくくなることでユーザーの業務を阻害することがありません。
5. 柔軟なスケーラビリティと管理工数の削減
ZTNAはソフトウェアによる制御を行うため、導入がしやすく拡張が容易という特長があります。サーバーやネットワーク機器の管理を減らせるため、情報システム担当の業務負荷も下げられ、よりコア業務に宣伝できます。
6. セキュリティポリシーの一元管理
すべてのアプリケーションにMFAを適用するなど、セキュリティポリシーやステータスを一元管理できます。一元管理することによって、安全性が高まると同時に、リスクマネジメントを効率よく行えるようになります。
まとめ
ランサムウェアをはじめとした、高度化するサイバー攻撃への備えと、多様化するワークプレイスへの適応を両立する上で、ゼロトラストの原則はますます重要になるでしょう。
ZTNAは安全性を保ちながら、快適な業務環境を提供できるソリューションです。IIJではZTNAソリューションである「Safous」を新たにリリースしました。詳しくは下記Safousのウェブサイトをご覧いただくか、お問い合わせボタンからお気軽にご連絡ください。
