ZTNAとVPNの比較

パンデミックをきっかけにリモートワークが台頭したことで、多くの企業にとって安全なリモートアクセスソリューションが不可欠になりました。 歴史的に多くの組織が 仮想プライベート ネットワーク(VPN)を使用してきましたが、リモートアクセスにはゼロ トラストネットワークアクセス(ZTNA) が多くの企業のニーズにより適したソリューションです。

詳細はこちら ネットワークセキュリティ必須チェックリスト

What is ZTNA?

ZTNAは、アプリケーション固有の権限を持つ ゼロトラストセキュリティ 原則を実装した安全なリモートアクセスソリューションです。 企業資産へのアクセスを要求するリモートワーカーには、役割ベースのアクセス制御と、IPアドレス、場所、ユーザーグループまたは役割、時間制限などのコンテキスト認証データを考慮して、ケースバイケースで特定のリソースへのアクセスが許可されます。

VPNとは?

VPNは、企業ネットワークへの直接接続と同様のエクスペリエンスをリモートユーザーに提供します。 企業ネットワーク上の VPN クライアント ソフトウェアと VPN エンドポイントは、すべてのデータが宛先にルーティングされる前に送信される暗号化されたチャネルを確立します。 これにより、盗聴から保護され、すべてのビジネストラフィックを、そのソースに関係なく、境界ベースのセキュリティソリューションによって検査できるようになります。

VPNの制限

VPNは、従来の境界ベースのセキュリティモデルとうまく連携するため、安全なリモートアクセスのための従来の選択肢です。 ただし、次のようないくつかの制限があり、現代の企業のセキュリティニーズには適していません。

  • 境界に重点を置いたセキュリティ: VPN は、認証されたユーザーに企業ネットワークへのフル アクセスが許可されるため、従来の境界ベースのセキュリティ モデルを強化するのに役立ちます。 これにより、攻撃者は、侵害されたVPN認証情報やVPNの脆弱性を悪用してアクセスした後、企業ネットワーク内を横方向に移動することができます。
  • ネットワークレベルのアクセス制御: VPNは、アプリケーション層を可視化したり制御したりすることなく、ネットワークレベルでアクセス制御を実装します。 これにより、ユーザーに過度に寛容なアクセスが提供され、さまざまなアプリケーション内のリソースへの読み取り、書き込み、および実行アクセス権が付与されます。
  • クラウドサポートなし: VPNは通常、企業ネットワークへの 安全なリモートアクセス を提供するように設計されています。 多くの場合、従来の境界の外側にあるクラウドベースのリソースのサポートは限られています。
  • BYODデバイスのサポートが不十分: BYOD デバイスに企業 VPN へのアクセスを許可すると、管理対象外の非企業エンドポイントから企業リソースにアクセスできるようになります。 これにより、マルウェアやその他のサイバー脅威が企業ネットワークに直接アクセスできる可能性があります。

VPNとゼロトラストアプローチの台頭

VPNは、従来の境界に重点を置いたセキュリティ戦略向けに設計されています。 しかし、この戦略には大きな問題があり、VPNの制限と相まって、Forresterはゼロトラストセキュリティモデルを作成するようになりました。

境界ベースの戦略とは異なり、ゼロトラストでは、従来のネットワーク境界内のデバイス、ユーザー、アプリケーションに暗黙的な信頼は付与されません。 代わりに、企業リソースへのアクセスは最小特権の原則に基づいて付与され、エンティティには、その役割を果たすために必要な最小限のアクセス許可セットのみが割り当てられます。

ZTNAソリューションが企業VPNよりも優れている理由

ゼロトラストセキュリティ戦略により、VPNはもはや実行可能な安全なリモートアクセスソリューションではありません。 ZTNAは、VPNと比較して、次のようないくつかの利点を備えた代替手段を提供します。

  • 論理アクセス境界: ZTNAは、「境界」を物理的なネットワーク境界ではなく、ソフトウェアとして実装します。 これにより、ZTNAを マイクロセグメンテーション に使用し、従来の境界の外側にある資産を保護することができます。
  • 要求ごとの承認: ZTNAは、各アクセスリクエストを個別に承認します。 これにより、ユーザーは自分の役割に必要のないリソースへのアクセスを許可されなくなります。
  • 外部デバイスとユーザーのサポート: ZTNAはクライアントレスであるため、ユーザーデバイスにソフトウェアをインストールする必要がありません。 これにより、外部パートナーや BYOD デバイスが企業リソースに簡単に接続できるようになります。
  • 暗くなったITインフラストラクチャ: ZTNAは、ユーザーがアクセスする必要があるリソースのみを表示します。 これにより、攻撃者がネットワーク内を水平移動したり、企業資産が DDoS攻撃の標的になったりすることがより困難になります。
  • アプリレベルのアクセス管理: ZTNAはアプリケーション層を可視化し、組織がアプリケーション、クエリ、コマンドの各レベルでポリシーを管理できるようにします。
  • ユーザーアクティビティのきめ細かな可視化: ZTNAは、各ユーザーリクエストを個別に認証することで、ユーザーと企業アプリケーションやIT資産とのやり取りに関する SIEMに適した 監査ログを構築できます。

Moving to ZTNA with Workspace Security Connect

VPNには、セキュリティ上の制限に加えて、スケーラビリティとパフォーマンスの問題もあります。 セキュアなリモートアクセスソリューションをアップグレードし、 ゼロトラストアーキテクチャの実装を検討している企業にとって、ZTNAは従来の企業VPNに代わる優れた選択肢となります。

ZTNAは、完全なネットワークセキュリティスタックとソフトウェア定義型WAN(SD-WAN)などのネットワーク最適化機能を組み合わせたセキュアアクセスサービスエッジ(SASE)ソリューションの一部として導入するのが最適です。 SASEを導入することで、組織は境界ベースのセキュリティモデルから、分散型企業向けに構築されたゼロトラストアーキテクチャに移行できます。

Check Point’s Check Point SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Check Point SASE works and see it in action, request a demo.

スタート

BYODアクセス

ZTNAサービスとして

ゼロトラストセキュリティ

関連トピック

What is Check Point SASE?

SD-WANとは?

What is Zero Trust?