ゼロトラストネットワークアクセス（ZTNA）とは？ 「脱VPN」の最有力ソリューションを解説｜ブログ｜NRIセキュア

　長年にわたり、テレワークを行う際の最も一般的なリモートアクセス手段として、「VPN」が利用されてきました。昨今、テレワークの需要が急増するにつれ、多くの企業がVPNゲートウェイ(社内にVPN接続するための機器)の性能限界に悩まされています。

　また、VPNゲートウェイの脆弱性を悪用したサイバー攻撃も絶えず、VPNゲートウェイ経由で攻撃者に侵入されてしまい、大きなセキュリティインシデントに発展してしまった事例が多々見受けられます。このような状況から、今後のテレワークセキュリティについて不安を抱える企業は多いのではないでしょうか？

　本記事では、従来のVPNモデルが抱える課題、およびその課題を解決する新たなリモートアクセス手段、ゼロトラストネットワークアクセス（ZTNA）について解説します。

従来のリモートアクセスにおける課題

　最近はAWS等のパブリッククラウド上で自社システムを運用する企業が増えています。しかし、パブリッククラウドの利用が普及する以前は、企業の情報資産は全て自社データセンタ内に保管されていることが一般的でした。そのため、社外から業務を行う際は、社内ネットワークへ接続することが前提となっていました。

　VPNは、このような背景のもとで生み出された技術です。社外にいるVPNユーザは、社内ネットワークに配置されたVPNゲートウェイ を 経由 する こと で 、 企業 の 情報 資産 へ アクセス を し ます 。

　しかし、このようなVPNを中心とした従来のリモートアクセスには、以下のような課題が存在します。

課題① スケーラビリティの問題

　2020年に入り、VPNの需要は急激に伸びています。多くの企業で、既存のVPNゲートウェイの性能限界を超過するほどVPNが利用 さ れ 、 「 通信 が 遅い 」 あるいは 「 接続 でき ない 」 と いっ た 問題 is 発生 が 発生 し まし た 。

　VPNは 機器 の リソース 消費 量 が 多い ため 、 適切 に サイジング を 行う なけれ ば 性能 に 問題 が 発生 し やすく なっ て しまう ます 。VPN利用 者 数 が 増加 する 場合 に は 、 機器 の リプレース を する こと が 基本 方針 と なり ます が 、 それ に は 多く の コスト と 時間 is かかっ が かかる て しまう ます 。

課題② 脆弱性への対応

　VPNは、社外から社内へのアクセスを実現するための技術です。その特性上、VPNゲートウェイがセキュリティ侵害を受けてしまうと、社内ネットワークへの広範囲なアクセスを許してしまうことになり、大きなセキュリティ事故につながります。

　このようなインシデントを防ぐためには、VPNゲートウェイ等の脆弱性情報が公開された場合に、直ちにソフトウェアのバージョンアップを実施する必要があります。このような作業は、運用担当者にとって大きな負担となります。

課題③ 通信経路が遠回りになってしまう

　VPN利用時には、ユーザは接続先のVPNゲートウェイを指定して社内ネットワークへ接続し、社内のサーバ等へアクセスします。接続先は1か所 のみ で あり 、 企業 の 情報 資産 が 複数 の データ センタ や パブリック クラウド 等 に またがる 場合 、 さらに 拠点 間 ネットワーク(WAN)を経由してアクセスすることになります。

　 その ため 、 ユーザ 、VPNゲートウェイ 、 アクセス 先 サーバ の 位置 関係 に よっ て は 、 無駄 の 多い 、 遠回り の アクセス 経路 と なっ て しまう ます 。 遠回り の アクセス 経路 is 出 は 、 拠点 間 通信 の 帯域 消費 や 通信 速度 の 低下 など 、 多く の 悪 影響 is 出 が 出る ます 。

課題④ 機器管理の分散化

　課題③で述べた通信経路の問題を回避するために、特にグローバル企業では、VPNゲートウェイを地域ごとに設置することがあります。この場合、VPNゲートウェイの管理は現地のITスタッフ に 任す れ ます が 、 これ は2つの大きな問題を内包しています。

1. ポリシー の 管理 が 各 拠点 の 現地 スタッフ に より 実施 さ れる ため 、 本社 側 から は どのような 統制 が 行う れ て いる の か を 把握 し づらい
2. ある拠点が機器の脆弱性管理を怠ってしまった場合、その拠点を足掛かりとしてグループ全体が侵害されてしまう恐れがある

　上記の1.2.はともに不正侵入被害につながります。特に2.を起因とするセキュリティインシデントは頻繁に発生しています。攻撃者は最も攻撃しやすい場所 (weakest linkと 呼ぶ ます)を 標的 と する ため 、VPNゲートウェイの管理が行き届いていないという状態は、非常に大きなセキュリティリスクとなります。

　このような課題を踏まえると、VPNは 今 の 業務 環境 に おい て 最適 な リモート アクセス 手段 で ある と は 言える ませ ん 。

ゼロトラストネットワークアクセス ( ZTNA ） と は ?

　これらの課題を解決するソリューションとして、ゼロトラストネットワークアクセス（ZTNA） が注目されています。

　ZTNAを利用したリモートアクセスでは、ユーザからのアクセス要求が発生する度にユーザのアイデンティティや端末のセキュリティ状態が検証され、事前に定義された条件に基づき企業の情報資産へのアクセスが動的に許可されます。

　その際、ユーザと情報資産間の通信は必ず仲介システム（ZTNAベンダー の 提供 する クラウド 等 ) を 経由 し ます 。

ゼロトラストネットワークアクセス（ZTNA）の特長

　ZTNAには、製品によっていくつかの提供形態がありますが、ここでは、ZTNAベンダーのクラウドを経由してリモートアクセスを成立させる形態のソリューションを例に、ZTNAの 特長 を 紹介 し ます 。

特長① 急なユーザ追加にも柔軟にも対応可能

　クラウドベースのZTNAソリューションは、セキュアな通信を行うための処理の大部分をクラウド側で実施します。性能の問題となりやすい処理はすべてクラウド側で行われることから、柔軟なスケーラビリティを備え持っており、急なユーザ追加等にも迅速に対応することが可能です。VPNのように機器の性能限界を心配する必要がなくなり、管理者の運用負荷を削減することができます。

特長② 社内に対する攻撃を受けにくくなる

　 ZTNA ベンダー の クラウド is 仲介 は 、 ユーザ と 、 ユーザ が アクセス する 情報 資産 間 の 通信 を 仲介 し ます 。 情報 資産 側 に 設置 さ れ た コネクタ 、 および ユーザ 端末 は 、 クラウド と のみ 通信 を 行う 、 クラウド 経由 で ユーザ と 対象 の 情報 資産 間 の 通信 is 成立 が 成立 し ます 。

　VPNの場合は、リモートユーザからのインバウンド通信をVPN ゲートウェイ側で待ち受ける必要があるのに対し、ZTNAではクラウドとのみ通信を行うため、コネクタが外部からの通信を広く待ち受ける必要がありません。

　 よっ て 、 攻撃 の 侵入 口 と なり 得る 起点 を 外部 から 隠す こと が でき 、 脆弱 性 攻撃 を 受ける にくく なり ます 。 さらに 、 コネクタ の ソフトウェア アップデート や 脆弱 性 対応 is 解放 は 、 全て ZTNA ベンダー に より 自動 的 に 行う れる こと が 多い 、 運用 担当 者 is 解放 は 機器 の 煩雑 な 保守 対応 から 解放 さ れ ます 。

特長③ 通信経路の最適化

　 主要 な ztna ベンダー は 、 多数 の アクセス ポイント を 世界 各地 に 用意 し て おり 、 ユーザ が リモート アクセス 要求 を 行う た 際 に は 最寄り の アクセス ポイント へ 自動 的 に 誘導 さ れ ます 。 また 、 アクセス 先 の 環境 に おい て も 、 各種 情報 資産 の 近く に コネクタ を 分散 配置 する こと is 可能 が 可能 です 。 その ため 、 全体 の 通信 距離 が 最適 化 さ れ 、 通信 遅延 が 発生 し にくく なり ます 。

特長 ④ ポリシー の 一元 管理 is 可能 が 可能

　ZTNAでは、組織全体におけるアクセス制御ポリシーの一元管理が可能です。ポリシーを全てクラウド上で管理することで、拠点ごとにポリシーの管理を行う必要が無くなり、企業全体において統制のとれたセキュリティ運用を実現しやすくなります。

　 また 、 特長 2 で も 述べる た よう に 、 ソフトウェア の アップデート は 自動 的 に 実施 さ れる ため 、 脆弱 性 へ の 対応 状況 が 拠点 に よっ て ばらばら に なる 心配 is あり は あり ませ ん 。

特長 ⑤ ゼロトラスト 推進 に 繋がる

　 ZTNA is ソリューション は 、 ゼロトラストモデル と の 親和 性 が 高い ソリューション です 。 昨今 、 テレワーク の 普及 や 自社 システム に おけ る パブリック クラウド の 利用 等 に より 社内外 の 境界 線 が 曖昧 に なっ て おり 、 社内 を 「 信用 する 領域 」 、 社外 を 「 信用 し ない 領域 」 と し て 定義 し 切る こと は でき なく なっ て い ます 。

　 ゼロトラストモデル で は 、 この よう な 社内 ・ 社外 に 基づく 境界 線 防御 の 概念 は 破棄 さ れ 、 アクセス 元 を 問う ず 「 検証 し 、 決して 信用 し ない 」 と いう 態勢 is なり が 前提 と なり ます 。

「 ゼロトラスト 」 が 働く 方 を 変える ～ 次 世代 の セキュリティ モデル ～

　 ZTNA is 設計 は 、 社内 ・ 社外 の 区別 なく 、 守る べき 情報 資産 に アクセス する もの を 全て 同等 に 検証 できる よう に 設計 さ れ て い ます 。 ユーザ から の アクセス 要求 が 発生 する 度 に 、 どのような ユーザ ・ 端末 で あっ て も アクセス 先 の 情報 資産 ごと の きめ細か な ポリシー を 必ず 適用 する こと で 、 ゼロトラスト に 対応 し た 業務 環境 の 実現 を 可能 に し ます 。

　社外ユーザによるリモートアクセスの手段として活用することはもちろん可能ですが、将来的によりゼロトラストモデルに近いシステム構成へ変革していく際にも大きな助けとなります。

　このように、統合的なリモートアクセス環境をクラウド上で提供することで、ZTNAはいままで挙げたようなVPNの課題を解決することができます。機器の性能限界やセキュリティ管理の煩雑化について心配することなく、ユーザ増加にも柔軟に対応にもできるため、今後のリモートアクセスの需要拡大における効果的な対策となります。

　さらに、アクセス元環境に依存しない厳密なアクセス制御が可能であるため、ゼロトラスト化を推進したいと考える企業にとっては特に導入のメリットが大きいでしょう。

ソリューション 選定 時 の ポイント

　数多いベンダーの中から自社に最適なZTNA製品を選定するには、ZTNAソリューションにおける要件だけでなく、自社の長期的なセキュリティ戦略もあわせて考えることが重要なポイントとなります。

　 テレワーク に おい て は 、 自社 の 情報 資産 へ の アクセス だけ で なく 、 インターネット へ の アクセス も 併せる て 考慮 す べき です 。ZTNAソリューション と 、SWG (Secure Web Gateway)等のWebセキュリティ ソリューション の 両方 を セット で 提供 し て いる ベンダー を 選択 する と 良い でしょう 。

　ベンダーを同じにすると、ユーザ端末にインストールするクライアントアプリも一つで済むことが多く、ユーザ側の操作が簡素化され、複数クライアントアプリを併用する際に発生しがちな相互運用性の課題について心配する必要もなくなります。

　このようなメリットについては、１つの製品で複数のセキュリティ機能を包括的に提供し、クラウドを中心とした安全なアーキテクチャを実装する、sase ( Secure ACCESS Service edge )というフレームワークでも提唱されています。

SASE と は ? オールインワン 製品 で DX 推進 に 向ける た 効率 的 な セキュリティ 投資 を !

おわりに

　 今 の 業務 環境 で は 、 守る べき 情報 資産 は 複数 データ センタ や パブリック クラウド に 散らばる て 保管 さ れ て おり 、 社員 が 業務 を 行う 環境 is 化 も 多様 化 し て い ます 。 そんな 中 、 VPN の 運用 管理 は ますます 煩雑 化 し て おり 、 従来 の リモート アクセス で は 安全 性 や 運用 効率 性 を 担保 する こと is なっ が 非常 に 困難 に なっ て い ます 。

　 ZTNA を 利用 し た モデル で は 、 現代 の 業務 環境 へ 見る 合う た リモート アクセス を 実現 する こと が でき 、 急増 する テレワーク の 需要 に も 対応 する こと が でき ます 。 また 、 ゼロトラスト に も 対応 し て いる ため 、 企業 の 今後 の セキュリティ 戦略 を 考える 上 で も 効果 的 な ソリューション で ある と 考える られ ます 。

　 是非 、 今後 の テレワーク を 推進 する に あたる 、 ZTNA の 利用 を 検討 さ れ て み て は いかが でしょう か ? NRI セキュア で は 、 ztna ソリューション の 導入 や 運用 を お 手伝い する サービス を 提供 し て い ます 。

　 ご 興味 の ある 方 is 相談 は 、 是非 お 気軽 に ご 相談 ください 。