お役立ち資料
Introduction
働き方の多様化やネットワークトラフィックの増大、レガシーVPNに存在する脆弱性などにより、VPNからZTNAに移行する必要性が高まっています。
ZTNAとは、「ゼロトラスト」の概念のもとで、社内や社外などを問わず、厳密にアクセスを制御するセキュリティの考え方です。従来のVPAでは対応しきれないセキュリティのリスクに対応するために、ZTNAを導入する企業が増えています。
この記事では、ZTNAについての基本概要やVPNとの違い、VPNからZTNAに移行する必要性やメリットを解説します。
目次
ZTNA(ゼロトラストネットワークアクセス)とは?
ZTNA(Zero Trust Network Access)とは、「ゼロトラスト」の考え方に沿ったセキュリティの考え方です。
ここでは、ZTNAについて、VPNとの比較なども行いながら詳しくご説明します。
ゼロトラストの概念のもと、アクセス制御を行うセキュリティソリューション
ZTNAとは、「ゼロトラスト」の概念のもとで、社内や社外などを問わず、厳密にアクセスを制御するセキュリティの考え方です。
ゼロトラストとは、社内ネットワークの内部なら安全という考え方ではなく、ネットワークの内側にも外側にも脅威が存在することを前提とした考え方です。社内ネットワークからのアクセスだから安全というわけではなく、すべてのユーザーやデバイスに対して、厳格な検証を行わなければなりません。
このゼロトラストの概念をもとにしたセキュリティに対する考え方が、ZTNAです。ZTNAは、ユーザーがアプリケーションやデータなどにアクセスするたびに評価を行い、アクセスを制御します。これにより、認証情報の漏洩による不正アクセスや、機密情報の漏洩などを防ぐことが可能です。
▽あわせて読みたい▽
>>ゼロトラストとは?意味や従来型セキュリティとの違い、導入方法を解説のページへ
最新のZTNA2 .0について
ZTNAは、ニーズや状況の変化にあわせてアップデートを行っており、現在の最新バージョンは第二世代製品の「ZTNA2.0」となっています。
ここでは、従来の「ZTNA1.0」との違いと変更された理由について、以下の表でご説明します。
【ZTNA1.0とZTNA2.0の違い】
| ZTNA1.0 | ZTNA2.0 | 変更された理由 |
| 過剰な権限付与 | 最小限の権限付与 | 従来は権限の付与が大雑把だったため、結果として過剰な権限を与えてしまっていた可能性があるため |
| 認可後に放置 | 継続的なアセスメント | 一度認可を行って権限を付与した後に、すべての操作を信頼する仕様になってしまっていた可能性があるため |
| セキュリティチェックの欠如 | 継続的なセキュリティチェック | 認可や権限付与は行われるが、通信そのものはチェックしないため |
| データ保護の欠如 | 全データの保護 | 実際にやりとりを行うデータの内容をチェックしないため、情報漏洩を阻止できない |
| すべてのアプリケーションに対応していない | すべてのアプリケーションの保護 | ポートが動的に変わるアプリケーションなどに対応できない、SaaSにも対応していないため |
ZTNAとVPNの違い
多くの企業や組織は、VPNを使ってアクセス制御をしていると思います。VPN(仮想プライベートネットワーク)とは、物理的な専用回線ではなく、仮想的な専用通信網を利用できる仕組みです。VPNを利用することで、安全にインターネット環境にアクセスできるというメリットがあります。
一方、ZTNAは特定のアプリケーションへのアクセスだけを許可し、それ以外のアプリケーションへのアクセスは拒否するものです。両者はセキュリティを守る仕組みそのものが、まったく異なることがわかります。
従来は、VPNを活用したセキュリティ対策が主流でした。しかし、クラウドサービスを利用するケースが増え、インターネットトラフィックが増加したことなどから、VPN通信の速度が遅くなるなどの問題が起こっています。そのため、脱VPNの動きが進み、ZTNAを採用するケースが増えてきています。
VPNからZTNAに移行する必要性
VPNから、ZTNAに移行するケースが増えてきています。その理由について確認していきましょう。
働き方が多様化しているため
新型コロナの影響もあり、テレワークやリモートワークなどの新しい働き方が増えています。従来の社内で業務を行う働き方ではなく、自宅や社外で働くケースが増えたことで、社内ネットワークの内部を守るだけでは不十分となりました。
また、業務に使うのはパソコンだけでなく、スマートフォンやタブレットなど、複数のデバイスを使うことも普通になっています。さらに、自前のデバイスであるBYOD(Bring Your Own Device)を利用するケースもあります。
このように働き方が多様化したことで、従来のVPN接続だけでは、一定のセキュリティレベルを確保できなくなりつつあるのです。
クラウドサービスの普及によりトラフィックが増加しているため
クラウドサービスが普及したことで、ネットワークのトラフィックが増加しています。また、働き方が多様化し、自宅や社外からネットワークを介して業務を行うケースが増えたことも、トラフィックの増加につながっています。
そのため、VPN通信設備が圧迫されるようになり、通信速度の低下やネットワークトラブルが発生するようになりました。
VPNの脆弱性を狙った攻撃が増えているため
レガシーVPNと呼ばれる、旧型のVPN設備やサービスには脆弱性が潜んでいることが多く、サイバー攻撃を受けるリスクが高まっています。また、VPNでは、一度認証を通過すると、ネットワーク内部のリソースにアクセスできてしまう可能性もあります。
VPNの脆弱性をついたサイバー攻撃を受けることで、パスワードなどの認証情報の漏洩、機密情報の漏洩、ランサムウェア感染などの被害を受けるケースも増えているのです。
ここでは、VPNの脆弱性を利用したサイバー攻撃の被害について、実際の事例をご紹介します。
医療機関での被害事例
医療機関のシステムに設置されたVPN機器の脆弱性を用いて、不正アクセスが行われました。システムのID・パスワードが脆弱だったことから攻撃者の侵入を許し、さらにシステムのほかのID・パスワード情報やIPアドレスなどの情報が窃取されました。
この情報を用いて、電子カルテシステムや基幹システムなどにも侵入を許し、電子カルテ情報などが暗号化され、身代金を要求されてしまったのです。
この被害により、基幹システムのサーバーが再稼働されるまで43日間を要し、全体の診療システムの復旧までに73日間もかかっています。
名古屋港での被害事例
あるコンテナターミナルのシステムに、保守用VPNを通じてランサムウェアが侵入しました。サーバー機器やネットワーク機器の脆弱性対策が不十分であったことなどが、原因とされています。
その結果、復旧までに2日半もの時間がかかったそうです。
企業のシステム部門への負担が増大しているため
ネットワークトラフィックの増大、ネットワーク機器の増設、テレワークやリモートワークへの対応など、企業のシステム部門の負担が増大しています。とくに、働き方の多様化により、従業員のデバイス管理やアクセス管理など、管理作業の負担も大きくなってるのが現状です。
その結果、VPNの運用管理がむずかしくなってきているという背景もあります。
ZTNAを導入するメリット
VPNに代わって、ZTNAを導入することで得られるメリットについてご説明します。
外部からの攻撃リスクを抑えられる
ZTNAに守られたネットワークにユーザーがアクセスする際は、ベンダが提供するアクセスポイントと通信を行います。そのため、社内ネットワークなどは外部から隠蔽されることになり、外部からの攻撃リスクを抑えることが可能です。
これにより、VPNと比較すると、外部からの攻撃によるリスクが抑えられるというメリットがあります。
マルウェアやランサムウェアの拡散を防げる
VPNへの接続はネットワークレベルで行われるため、制限が必要なマルウェアやランサムウェアによるアクセスであっても、接続を許してしまいます。一方、ZTNAはアプリケーションレベルでアクセスが制御されるため、マルウェアやランサムウェアによるアクセスを制御することで拡散を防げます。
▽あわせて読みたい▽
>>マルウェアとは?特徴や種類、感染経路を理解し、事前・事後対策する方法を紹介のページへ
>>ランサムウェアとは?種類や被害事例、感染を防ぐための対策まで詳しく解説のページへ
柔軟なアクセス制御ができる
VPNの場合、認証行為がパスワード認証だけのものも多く、アクセス制御の方法が柔軟とはいえません。パスワード情報が漏れれば、不正アクセスが容易に行われてしまうでしょう。
一方、ZTNAは、認証や認可のポリシーをアプリケーションごとに設定でき、属性ベースのアクセス制御(ABAC)や役割ベースのアクセス制御(RBAC)も可能です。また、すべてのポリシーも一元管理でき、アクセス制御を柔軟に行えます。
マンションのセキュリティでたとえると、VPNはエントランスの鍵が開けばすべての部屋に侵入を許してしまうのに対し、ZTNAはすべての部屋に鍵がかかっているイメージです。
トラフィックの増加によるネットワーク遅延を防げる
VPNを利用する際は、基本的にすべての通信が社内ネットワークを経由することになります。そのため、ユーザーが増えると社内ネットワークのトラフィックが集中し、ネットワーク遅延などのトラブルが発生しやすくなります。
一方、ZTNAでは、一度認証が行われれば、社内ネットワークを経由する必要がありません。直接クラウドサービスなどにアクセスでき、社内ネットワークにトラフィックが集中することを防げます。
ZTNAを導入する際の注意点
ZTNAを導入する際は、導入時の時間とコストがかかる問題や、設定管理などの問題もあります。ここでは、ZTNAを導入する際の注意点についてご説明します。これから導入を考えている場合は、事前に問題がないか確認しておくとよいでしょう。
導入に時間とコストがかかる
ZTNAを導入する際には、時間とコストがかかります。すべてのアプリケーションに対する制御を行う仕組みのため、社内ネットワークやシステムなどの環境にあわせた対応が必要です。
ZTNAは、一般的に自社内で設備を整えるスタンドアロン型と、必要な機能だけをサービスとして利用するクラウドホスティング型の2種類があります。ほとんどの企業や組織が、自社に設備を必要としないクラウドホスティングタイプを利用しています。クラウドホスティング型なら、自社に設備を整える必要がなく、使いたい機能だけを利用できるため、導入のための時間とコストを抑えられるでしょう。
自社に適しているのは、スタンドアロン型とクラウドホスティング型のどちらなのか、十分に検討することをおすすめします。
適切な設定をしないと業務効率を下げる場合がある
これまでご説明してきたとおり、ZTNAではアプリケーションごとに、認証や認可の設定を細かく行うことが可能です。これにより、高いセキュリティレベルを保てますが、一方で権限などの設定管理が煩雑になるという問題もあります。
しかし、ZTNAには、アプリケーションごとの設定を一元管理できる機能も存在するため、これをうまく活用するとよいでしょう。
まとめ
この記事では、ZTNAについての基本概要やVPNとの違い、VPNからZTNAに移行する必要性やメリットについて解説しました。働き方の多様化やネットワークトラフィックの増大、レガシーVPNに存在する脆弱性などにより、VPNからZTNAに移行する必要性が高まっています。
従来のVPN通信の仕組みでは、入口のパスワード認証などが見破られると、すべてのリソースへのアクセスを許してしまうことが多く、セキュリティレベルが高いとはいえません。そのため、ZTNAへの移行が必要といわれているのです。
SHIFTでは、単なるツールの導入だけではなく、お客様の環境にあわせたセキュリティソリューションのご提案から運用の最適化まで、一気通貫でお手伝いいたします。セキュリティ対策にお悩みの場合は、お気軽にご相談ください。
>>セキュリティソリューション導入支援のページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
リバースブルートフォース攻撃とは?ブルートフォース攻撃との違いや危険性、対策を解説
2024.05.31
詳しく見る
-
- セキュリティ
PSIRT(ピーサート)とは?CSIRTとの違いや役割について解説
2024.05.29
詳しく見る
-
- セキュリティ
サイバーキルチェーンとは?7段階やセキュリティ対策をわかりやすく解説
2024.05.30
詳しく見る
-
- セキュリティ
DevSecOpsとは?DevOpsとの違いやメリット、課題について解説
2024.05.27
詳しく見る
-
- セキュリティ
パスワードリスト攻撃とは?手口や対策について解説
2024.05.27
詳しく見る
-
- セキュリティ
情報セキュリティポリシーとは?策定するメリットや流れについて解説
2024.05.24
詳しく見る
-
- セキュリティ
ブルートフォース攻撃とは?手口や対策までわかりやすく解説
2024.05.20
詳しく見る
-
- セキュリティ
CPSMとは?CASBとの違いや機能、導入するメリットについて解説
2024.05.20
詳しく見る
-
- セキュリティ
EPPとは?機能や脅威検知の仕組み、EDRとの違いについて解説
2024.05.17
詳しく見る
-
- セキュリティ
標的型攻撃とは?主な手法や被害事例、防ぐための対策について解説
2024.04.30
詳しく見る
