ゼロトラストネットワークアクセス(ZTNA)とは?

ゼロトラストモデルは「決して信頼せず、常に検証する」というセキュリティの原則を体現します。ゼロトラストネットワークアクセス(ZTNA)は、このセキュリティモデルを企業のアクセスポイント全体に実装する方法です。実際には、これは最小権限の原則(PoLP)に基づいており、ユーザーは日常業務に必要なリソースにのみアクセスできる仕組みです。

Forrester Wave ゼロトラスト レポート ZTNAソリューション概要

ゼロトラストネットワークアクセス(ZTNA)とは?

ZTNAはどのように機能するのでしょうか?

ゼロトラストは、ユーザーエクスペリエンスや生産性を損なうことなく、継承された信頼を根絶することを目指しています。

これは、ユーザーが自分の役割に必要なリソースにのみアクセスできるようにすることで実現され、すべてのアクセス要求は厳格かつ繰り返し検証されます。最小特権の原則(PoLP)は、ZTNAの中核をなすものです。つまり、ユーザーのアクセスや権限は、業務に必要なものだけに付与されます。

たとえば、営業部門のリモートユーザーには、Salesforce内の顧客データへの読み取り専用権限が付与されていても、GitHubのコードベースとのやり取りは禁止されている場合があります。

Universal PoLPは、DevOpsスタッフに対して逆の環境を要求します。

組織全体でこれを効率化するには、各アカウントのニーズを十分に理解する必要があります。この原則は、次のような非人的資源にも当てはまります。

  • システム
  • 不正アプリケーション対策
  • デバイス
  • プロセス

これらのリソースに、許可された活動に必要な権限のみを割り当てることで、アクセス権は効果的に最小限に抑えられ、制御されます。これはZTNAとVPNの違いでもあります。

  • VPN基盤となるアカウントの動作に関係なく、企業のVPNサーバーとデバイス上のクライアントの間に暗号化されたトンネルを確立するだけです。
  • ZTNAは、個々のリソースへのアクセスを許可する前に、デバイスのセキュリティステータスを考慮します。

これもまた異なります。ZTNAは、接続されたネットワーク全体へのアクセスを許可するのではなく、要求されたリソースに対してのみ隔離されたアクセスを提供します。

ゼロトラストネットワークアクセスの実装方法

CISOの観点からは、顧客とユーザーエクスペリエンスが維持されていることを確認しながら、高度なセキュリティ検証のバランスを取ることが重要です。ZTNAセキュリティの最終目標は、各アクセス要求について、確立されたアクセスポリシーと照らし合わせて慎重に評価することです。これにより、次のような要素をチェックできます。

 

  • ユーザーの認証情報の現在の状態
  • デバイスの姿勢が企業のセキュリティ基準を満たしているかどうか
  • リクエストされている特定のアプリケーションやサービス

ステップ1:誰が誰なのかを理解する

ゼロトラストでは、誰が何にアクセスしているかを知る必要があります。ゼロトラスト実装の最初のステップは、企業ネットワークを構成するユーザー、デバイス、ワークロードを明確に把握することに重点を置いています。

これを実現するために、多くの組織は企業アイデンティティプロバイダーを選択します。 

これにより、すべての従業員、顧客、請負業者をセキュリティ・エコシステムに取り込み、個別に管理できるようになります。また、認証を実施するための一貫した方法の基盤も確立します。これはユーザーにきめ細かい可視性を提供しますが、ネットワークを介して通信するすべてのサービスのインベントリが付与されるわけではありません。

これは、社内またはサードパーティの資産管理ツールを介したネットワークスキャンを通じて実現可能です。このレベルのきめ細かさにより、攻撃対象領域の特定が可能になります。次のステップでは、最も価値のあるデジタル資産に確実に優先順位を付けます。

以下のDAASアプローチでは、これを4つのステップに分かりやすく分類します。

  1. データ:何を保護する必要がありますか?
  2. アプリケーション:どのアプリケーションが機密情報を扱うのか?
  3. 資産:あなたの最も重要な資産は何ですか?
  4. サービス:悪意のある攻撃者が通常のIT運用を妨害するために標的にする可能性があるのはどのサービスですか?

ステップ2:安全なネットワーク制御を活用する。

ゼロトラストフレームワークは、PoLPに従ってのみユーザーにアクセスを提供します。すべての他のユーザーは、アクセスする必要のないネットワーク全体の広大な領域から実質的に遮断されます。

では、どうやって不要なインバウンドアクセスをすべて遮断するのでしょうか? 

Check Point SASE achieves this by establishing a secure gateway: all access requests are filtered via this gateway, which first establishes the role of the user and the associated resources they have access to. All unauthorized devices are automatically prevented from gaining access, and the individual nature of each connection means that no device has visibility into other ongoing connections.

このセキュアな接続プロトコルの実装は、保護されるアプリケーションによって少し異なります。主に2つのアプリケーションタイプがあります。

  • セルフホストSASEゲートウェイのゼロトラストトンネルは、アプリケーションとファイアウォールのポリシー層の間に確立できます。
  • SaaS。SaaS アクセスはIP アドレスのホワイトリストを使用して制御できます。これは、SaaS ソリューションが検証済みの SASE ゲートウェイからのリクエストのみを受け付けることを意味します。

ステップ3:NGFW保護の実装

安全なアクセス形式が確立されたら、次は誰が何にアクセスできるかを決定します。

セルフホスト型でもSaaS型でも、すべてのネットワークリクエストは次世代ファイアウォールを経由してルーティングされます。NGFWはHTTPS検査とTLS復号化を採用して、データの各パケットを検査することができます。これに加えて、ステートフルインスペクションにより、アクセスが許可される前にユーザーとデバイスの動作を検査することができます。

これらのツールを手にすれば、ZTNAを実現できます!

そこから、継続的に反復することが重要です。ファイアウォールのログを注意深く監視することで、アクセスポリシーのバランスが取れているかどうかを判断するのに役立ちます。外部向け脅威インテリジェンスの視点はさらに洗練させることができますが、これはますます要求の厳しいタスクリストになりつつあります。

だからこそ、セキュア・アクセス・サービス・エッジ(SASE)ソリューションは、ZTNAを導入し、組織内でZTNAを土台に革新を遂げる最も効率的な方法を提供できるのです。

ZTNAのメリット

ZTNAは、組織がネットワークエコシステム内にゼロトラストセキュリティモデルを実装することを可能にします。 これは多くのユースケースに適用でき、組織のセキュリティ体制を改善します。

  • 安全なリモート・アクセス

COVID-19をきっかけに、ほとんどの組織は、ほとんどまたは完全にリモートワークに移行しています。 多くの企業は、これをサポートするために仮想プライベートネットワーク(VPN)を使用しています。 ただし、VPNには、スケーラビリティやセキュリティが統合されていないなど、多くの制限があります。

VPNの最大の問題の1つは、認証されたユーザーにネットワークへの完全なアクセスを許可し、企業がサイバー脅威にさらされる可能性が高まることです。 ZTNAは、ソフトウェア定義型WAN(SD-WAN)またはセキュアアクセスサービスエッジ(SASE)ソリューションの一部として実装され、ZTNAをリモートアクセスソリューションに統合する機能を提供し、リモートワーカーのネットワークへのアクセスを業務に必要なものだけに削減します。

  • セキュアなクラウドアクセス

ほとんどの組織がクラウドコンピューティングを採用しており、多くの企業が複数のクラウドプラットフォームを持っています。 攻撃対象領域を減らすために、組織はこれらのクラウドベースのリソースへのアクセスを制限する必要があります。

ZTNAにより、組織はビジネスニーズに基づいてクラウド環境やアプリケーションへのアクセスを制限できます。 各ユーザーとアプリケーションには、組織のクラウドベースのインフラストラクチャに関連付けられた適切な権限と権限を持つZTNAソリューション内のロールを割り当てることができます。

  • アカウント侵害のリスクを最小化

アカウントの侵害は、サイバー犯罪者の共通の目標です。 攻撃者は、ユーザーのアカウント資格情報を盗んだり推測したりして、それらを使用して組織のシステムに対してユーザーとして認証しようとします。 これにより、攻撃者は正当なユーザーと同じレベルのアクセス権を得ることができます。

ZTNAを実装することで、このレベルのアクセスと、攻撃者が侵害されたアカウントを使用して引き起こす可能性のある損害を最小限に抑えることができます。 攻撃者が組織のエコシステム内を横方向に移動する能力は、侵害されたユーザーアカウントに割り当てられた権限と権限によって制限されます。

Choose Full-Enterprise Zero Trust with Check Point SASE

ゼロトラストの原則に従う必要がある領域はネットワークだけではありません。

通信チャネルとエンドポイントはすべて継続的で進行中の保護を必要とし、ゼロトラストの原則はすべてに適用可能です。

Check Point’s Check Point SASE goes one step further with a full-mesh network architecture that provides zero trust protection across every access point, for every user. Identity-centric security policies combine the real-term resource requirements of every team, with continuous verification to identify and stop suspicious behavior.

Discover how Check Point SASE grants zero-trust protection, in-depth reporting, and high performance with a demo today.