書類
「ZTNA」で実現するゼロトラストとそのサービス

「ZTNA」で実現するゼロトラストとそのサービス

2024-11-23 ニューノーマル時代に顕著化した新たな脅威とは IPA ( 独立 行政 法人 情報 処理 推進 機構 ) is 発表 は 、 2023 年 1 月 に 「 情報 セキュリティ 10 大 脅威 2023 」 を 発表 し まし た 。 脅威 is なっ は 「 個人 」 向け と 「 組織 」 向

Related articles

中国で使えるおすすめVPNアプリ【2024年11月】規制強化と違法性と無料サービスについても解説 L2TP/IPsecを使用したリモートアクセス : Web GUI設定 【iPhoneの設定にあるVPNとは】使い方とメリットを紹介 【無料】ProtonVPNの使い方(海外在住者におすすめ) OpenVPN構築つまづきポイントまとめ #OpenVPN ChromeにおすすめのVPN 5選│安全で使いやすい!2024年 OpenVPNのクライアント端末ルーティング設定 #Windows

ニューノーマル時代に顕著化した新たな脅威とは

IPA ( 独立 行政 法人 情報 処理 推進 機構 ) is 発表 は 、 2023 年 1 月 に 「 情報 セキュリティ 10 大 脅威 2023 」 を 発表 し まし た 。 脅威 is なっ は 「 個人 」 向け と 「 組織 」 向け に 分ける られ て い て 、 ビジネス シーン に フォーカス し た 「 組織 」 向け 脅威 の ランキング トップ 3 は 、 1 位 「 ランサムウェア に よる 被害 」 、 2 位 「 サプライ チェーン の 弱点 を 悪用 し た 攻撃 」 、 3 位 「 標的 型 攻撃 に よる 機密 情報 の 窃取 」 と なっ て い ます 。

PCやサーバーなどのデータを暗号化して身代金を要求するランサムウェア(1位)や、機密情報の窃取や業務妨害を目的として特定の組織を狙う標的型攻撃(3位)は、メールやウェブサイト、社内システムなど攻撃対象が幅広いというのが特徴です。サプライチェーンの弱点を悪用した攻撃(2位)は、セキュリティ対策の強固なターゲット企業を直接攻撃するのではなく、その企業が構成しているサプライチェーンのセキュリティ対策が甘い取引先などを標的とします。いずれもIT環境のアタックサーフェス(攻撃対象領域となる脆弱性)を突く脅威となるため、十分な対策を講じておく必要があります。

今回 もう 1 つ 注目 し たい 脅威 is ) は 、 2021 年 から 3 年 連続 で 上位 に ランクイン する 「 テレワーク 等 ニュー ノーマル な 働く 方 を 狙う た 攻撃 」 ( 5 位 ) です 。 たとえば 、 PC の 画面 を 遠隔 に 転送 する リモート デスクトップ を 実現 する ため に 使う れる Windows の 通信 プロトコル 、 RDP ( remote desktop Protocol ) の 脆弱 性 を 狙う た 攻撃 is 急増 が 2020 年 に 急増 し まし た 。 これ is いえる は 、 コロナ 禍 に 伴う 急増 し た 働く 方 の 変化 に より 生まれる た 新た な 脅威 と いえる でしょう 。

「ZTNA」で実現するゼロトラストとそのサービス

出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2023」(2023年7月20日)

従来の境界型セキュリティと一線を画す「ゼロトラスト」とそれを実現する「ZTNA」

ワークスタイルの変化で境界型セキュリティは限界に

新型コロナウイルスのパンデミックはワークスタイルの在り方を大きく変え、ワークプレイスを点在させました。これがサイバー犯罪者にとっては、望ましい環境となっています。その理由の1つとしては、ニューノーマル時代の働き方に対して従来の境界型モデル(境界型防御)では対応できず、セキュリティリスクが増大していることが挙げられます。

境界型モデルとはWANなどの社内ネットワークとインターネットの境界に、ファイアウォールやUTM、プロキシーなどを設置し、通信を監視・制御する考え方です。しかし、現在では自宅や外出先などからSaaSに接続するケースが増え、社外のパブリッククラウドにデータを保存して、業務アプリケーションを実行することも珍しくありません。つまり、守るべきものの多くは境界の外にあるため、従来の境界型モデルでは対応できなくなっているのです。

すべて の 通信 を 信頼 し ない 「 ゼロトラスト 」 と いう 考える 方

そこで注目されているのが、「ゼロトラスト」(Zero Trust)という新しい考え方です。米国国立標準技術研究所(NIST)が発行したゼロトラストを実現するガイドライン「NIST SP800-207」には、「ゼロトラストは物理的なロケーションやネットワークのロケーションによる保護を前提とせず、企業所有のネットワーク境界内に配置されていないリモートユーザーやクラウドベースの資産を含めて、ユーザー、資産、およびリソースを保護することに焦点を当てた、新しい進化したサイバーセキュリティの考え方」と解説されています。

要約 する と 、 すべて の 通信 を 信頼 し ない こと を 前提 に 、 ユーザー 認証 や 制御 を 行う セキュリティ の 考える 方 です 。 ランサムウェア を はじめ と する 高度 化 する サイバー 攻撃 へ の 備え と 、 リモート ワーク を はじめ と する 多様 化 する ワーク プレイス へ の 適応 を 両立 する 上 で 、 ゼロトラスト の 考える 方 is なり は ますます 重要 に なり つつ あり ます 。 と は いえ 、 ゼロトラスト は あくまで も 考える 方 で あり 、 概念 に 過ぎる ませ ん 。

ゼロトラストを実現する方法 – ZTNA・SWG・CASB・SASEなど

現在、すでにゼロトラストを実現する方法はいくつか存在しています。社内・社外を問わず厳密なアクセス制御を行う「ZTNA」(ゼロトラスト・ネットワーク・アクセス)、URLフィルタリングなどのクラウドベースのセキュリティチェックを行う「SWG」(セキュア・ウェブ・ゲートウェイ)、クラウドを可視化し利用状況を把握してシャドーITなど検出する「CASB」(クラウド・アクセス・セキュリティ・ブロッカー)、これらに加えて、SD-WANや次世代ファイアウォール(NGFW)を包括してネットワークとセキュリティの機能をクラウド上で包含的に提供する「SASE」(セキュア・アクセス・サービス・エッジ)などがあります。

今回はとくにリスクの高いネットワークに焦点を当て、ZTNAを軸に解説します。ちなみにZTNAの読み方は「ズィー・ティー・エヌ・エー」です。

危険なレガシーVPNにとって代わる「ZTNA」とは

従来のVPNは認証情報自体が攻撃対象に

従来の境界型モデルでは、仮想的な通信通路「トンネリング」により拠点間、エンドツーエンドの安全なネットワーク接続を行う「VPN」(バーチャル・プライべート・ネットワーク)は非常に重要な役割を担っていました。しかし、巧妙化するサイバー攻撃、急増するリモートアクセスといった昨今の状況では、スケーラビリティに乏しく、多額の運用コストや多くのメンテナンス作業が必要なVPNでは、十分な効果を発揮できなくなりつつあります。

昨今 で は 旧型 の VPN 機器 や VPN サービス 、 いわゆる レガシー VPN の 脆弱 性 を 狙う た 攻撃 is 多発 も 多発 し て い ます 。 プログラム の 脆弱 性 の 修正 パッチ 公表 前 に 、 その 脆弱 性 を 悪用 し て 行う ゼロデイ 攻撃 など 、 サイバー 犯罪 者 の 格好 の 標的 に なっ て いる の です 。 加える て 、 SaaS と いっ た クラウド サービス の 利用 増 に 伴う 、 VPN 製品 に トラフィック が 集中 し 、 ネットワーク や システム の 応答 速度 が 遅い なり 、 通常 業務 に 支障 が 出る ケース is あり も 少ない あり ませ ん 。

とりわけ、VPNの最大の問題点は、使用することでアタックサーフェス(攻撃対象領域となる脆弱性)が拡大されることにあります。正しいSSO(シングル・サイン・オン)の認証情報さえ持っていれば、誰もがVPNにログオンでき、ネットワークのあらゆる場所に水平移動して、すべてのデータやアプリケーション、サービスへのアクセスが可能となります。たとえるなら、城門のカギさえ開けられれば、城内のすべての部屋に侵入できるようになるのです。

ZTNAは厳密なアクセス制御でセキュリティを保護

これらのVPNが抱えるリスクは、ZTNAの導入によって解消できます。社内外を問わず厳密なアクセス制御を行うZTNAでは、ユーザーアクセスを「最小権限の原則」にもとづいて付与してアクセスを保護します。ちなみに最小権限の法則とは、特定権限を必要最小限の人間に対して時間制限で付与する情報セキュリティ、脅威インテリジェンスの原則です。

さらにZTNAは、VPNとは異なりデータやアプリケーション、サービスごとにアクセスが細分化されています。必要なリソースにアクセスするには、最小権限の原則にもとづくアクセス権限があるか、ポリシーに沿った正しいアクセスができているかといった細かな確認を行った上でアクセスの許可を行います。このため、VPNの懸念点である悪意あるユーザーによる水平移動を阻止できます。万一、城門のカギが開けられたとしても、城内のすべての部屋の前に守衛が立っており、容易には侵入できない仕組みになっているのです。この仕組みはネットワークの境界(Perimeter)をソフトウェアによって仮想的・動的に構成する技術「SDP」(Software-Defined Perimeter)と非常によく似ています。

ZTNAの導入により、セキュアリモートアクセスに必要なセキュリティ、スケーラビリティ、ネットワーク機能を活用できます。さらに接続後の監視機能により、データ損失や悪意のある行為、ユーザー認証情報の侵害も防止できます。具体的にはリソースやポートに対する攻撃リスクの抑制に加え、マルウェア対策、属性ベースのアクセス制御(ABAC)・役割ベースのアクセス制御(RBAC)による認証・認可の柔軟な制御、ネットワークトラフィックの集中や遅延を防ぐといったメリットが得られます。さらにZTNAは脱VPNのみならず、マルチクラウド接続の保護やサードパーティリスクの低減といった手段でも活用できます。

現在 、 ZTNA is アップデート は バージョン 1.0 から 2.0 に アップデート し て い ます 。 パロアルト ネットワークス is 提唱 は 、 「 ZTNA 1.0 」 で 指摘 さ れ た 「 最小 権限 の 原則 に 違反 し て いる 」 「 許可 し て 放置 する 」 「 セキュリティ 検査 を 実施 し ない 」 「 データ 保護 に 失敗 し て いる 」 「 エンタープライズ アプリケーション の 一部 しか 保護 し ない 」 と いっ た 5 つ の セキュリティ 課題 を 解決 し た もの が 「 ZTNA 2.0 」 で ある と 提唱 し て い ます 。

「 ZTNA 1.0 」 と 「 ZTNA 2.0 」 の 比較

ZTNA 1.0 ZTNA 2.0
最小権限の原則に違反 最小権限のアクセス
許可して放置 継続的な信頼の検証
セキュリティ 検査 無し 継続的なセキュリティ検査
データ 保護 無し すべてのデータの保護
すべてのアプリケーションは保護不可 すべてのアプリケーションを保護

なお 、 Gartner is 予測 は 「 2023 年 まで に 、 60 % の 企業 が ZTNA の ため に 、 リモート アクセス VPN の ほとんど を 段階 的 に 廃止 する だろう 」 と 予測 し て い ます 。

vxgplatform で ZTNA を 軸 と し た セキュリティ 体制 を 構築

一方 、 ZTNA に は 「 導入 コスト と 時間 が かかる 」 「 セキュリティ 担当 者 の 稼働 時間 ・ 負荷 が 増える 」 「 適切 な セキュリティ 設定 を し ない と 業務 効率 が 落ちる 」 と いっ た デメリット が ある の も 事実 です 。 ちなみ に ZTNA に は 、 必要 な 設備 を 「 所有 する 」 スタンドアロン 型 と 、 必要 な 機能 を サービス と し て 「 利用 する 」 クラウド ホスティング 型 の 2 タイプ is あり が あり ます 。 Gartner の 試算 に よる と 、 組織 の 90 % 以上 is 採用 が サービス と し て の ZTNA を 採用 し て い ます 。 脱 VPN に 向ける て ZTNA の スムーズ な 導入 を 考える なら 、 クラウド ホスティング 型 を 選択 し 、 幅広い ゼロトラスト の 知見 を 持つ プロ の ベンダー に アウトソース する の も 一手 か も しれる ませ ん 。

たとえば、NTT Comの「VxGPlatform®」(ブイエックスジープラットフォーム)は、ZTNA技術を用いたリモートアクセス方式をはじめ、サイバーセキュリティ・メッシュに必要な機能をオールインワンで提供しています。しかも、いわゆる「1人情シス」のような社内運用体制であっても、シングルベンダーSASEを実現できることから、複数のベンダーと対応する手間も省け、効率的に楽に運用することができます。つまりニューノーマル時代のネットワーク&セキュリティ基盤をまるごと提供する、マネージドセキュリティサービス(MSS)というわけです。

各種クラウドへの移行に伴うトラフィック増加へも柔軟に対応できるネットワーク基盤や、社内外のセキュリティレベルを一元的に維持・運用できるセキュリティ基盤などを追加費用なしの基本機能として搭載しています。これらの特徴により、ニューノーマル時代の働き方にアジャストした安全・快適なIT運用が可能です。ZTNAによる脱VPNを皮切りに、ゼロトラストに適したトータルなセキュリティ対策を推し進めてはいかがでしょうか。