ゼロトラストネットワークアクセス（ZTNA） の重要性を解説！

ゼロトラストネットワークアクセスは、近年注目されているゼロトラストという概念に基づくリモートアクセスの方法です。ゼロトラストネットワークアクセスを理解するためにはまず、ゼロトラストについて理解することが必要です。

そもそも「ゼロトラスト」とは？

これまでセキュリティは境界防御型と呼ばれるセキュリティの考え方が主流でした。境界防御型のセキュリティではネットワークを信用する領域とできない領域に分け、その境界のみを監視し、信用できる領域での通信は監視しません。

ゼロトラストとは、「すべての通信が信頼できない」ことを前提としたセキュリティの考え方です。ゼロトラストでは明確な境界を持たず、すべての通信を監視することでセキュリティを維持します。守るべきは境界ではなく、それぞれのデータとそのデータを扱う端末やユーザーであるという考え方です。

ゼロトラストネットワークアクセス（ZTNA）とは？

ゼロトラストネットワークアクセスとは、ゼロトラストの考え方に基づいたリモートアクセスの方法です。

アクセスの許可範囲を社内ネットワーク全体としている仮想プライベートネットワーク(VPN)と異なり、ゼロトラストネットワークアクセスは、社内・社外に関わらずユーザーがアクセスするアプリケーションごとに、アクセスする度にセキュリティ検証が実行されます。

リモートワークで社外から企業のネットワークにアクセスしたり、企業がクラウドサーバーを使用したりしている今日、この新たなアクセスの方法はネットワークのセキュリティを保護するための最も有効な方法の一つです。

これまでリモートアクセスの主流だったのは仮想プライベートネットワーク（VPN）という手法です。
ここではVPNと仕組みを比較することにより、ゼロトラストネットワークアクセスによってゼロトラストが実現できることを紹介します。

従来のリモートアクセス（VPN）の仕組み

従来のリモートアクセス方法として最も一般的なものが、仮想プライベートネットワーク（VPN）です。これは、通信事業者が提供する公衆回線を仮想的に専用回線として扱うことでセキュリティを保護する技術です。VPNは、社内ネットワークと社外ネットワークの境界にセキュリティを構築する境界防御型のセキュリティ方法です。VPNでは境界内での通信は検証していないため、一度悪意のある第三者が境界のセキュリティを突破してしまうと、甚大な被害がもたらされてしまうという問題があります。

ゼロトラストネットワークアクセス（ZTNA）の仕組み

従来のリモートアクセスのセキュリティが境界防御型であったのに対し、ゼロトラストネットワークアクセスでは社内・社外によらずすべての通信でユーザー・通信デバイスの検証を行います。
実際にゼロトラストネットワークアクセス（ZTNA）の環境を構築するには専門のクラウドサービスを導入する必要があり、このサービスが、ユーザーが自社サーバーやクラウドサーバーにアクセスする際に検証を行います。

ゼロトラストネットワークアクセス（ZTNA）でゼロトラストが実現できる理由

ゼロトラストネットワークアクセスではネットワークにおいて、社外・社内という区別がありません。会社の自社サーバーにアクセスするときも、クラウドサーバーにアクセスするときも、すべてのアクセスで検証を行い、予め認められた範囲のみのアクセスを許可します。
これにより、それぞれのアクセスが独立し、ゼロトラストが実現されます。

ゼロトラストネットワークアクセスの4つの大きな特徴についてご紹介していきます。
これら4つの特徴を押さえることで従来のリモートアクセス手法の違いが明らかになり、ゼロトラストネットワークアクセスに移行する重要性を確認することができます。

①ユーザーの追加/削除が容易になる

従来のリモートアクセス手法であるVPNでは自社に設置したVPN機器で通信のセキュリティに関する処理をおこなっていたため、VPN機器の性能限界を意識しつつアクセスを許可するユーザーを管理する必要がありました。

しかし、ゼロトラストネットワークアクセスではそういった通信の処理をすべてクラウドサービス上で行ってくれるため、管理者は性能限界を意識する必要がなく、容易にユーザーを追加・削除することができます。
これにより通信セキュリティの管理コストを減らし、本来の業務に集中できます。

②万が一ハッキングされても被害が拡大する可能性が低い

従来のリモートアクセスの主流であるVPNは境界防御型のセキュリティ対策です。このようなセキュリティ方式では、一度侵入してしまったマルウェアが複数のアプリケーションにアクセスすることができてしまいます。

近年流行している、企業のサーバーのシステムを凍結するランサムウェアなどが侵入してしまうと、そのサーバー上のすべてのデータ・システムが凍結されてしまう恐れがあります。

一方でゼロトラストネットワークアクセスではクラウド上のアクセスポイントごとにアクセス認証が実行されます。これにより仮に1つのアプリケーションにウイルスが侵入しても他のアプリケーションには侵入できません。

このようにゼロトラストネットワークアクセスではハッキングによるデータ流出やデータ破損の被害を抑制することが可能です。

③通信速度が低下しない

従来のリモートアクセス手法のVPNでは、在宅勤務の際にクラウドにアクセスする際にも一度会社のVPN機器にアクセスし、そこからクラウドにアクセスするという経路となっています。これでは余計に中継地点が増えるとともに、VPN機器にアクセスが増えると処理が重くなってしまうといった問題が発生し、通信速度が遅くなる、もしくは接続できないといった問題が発生することが考えられます。
ゼロトラストネットワークアクセスでは在宅勤務であっても出社時であってもクラウド上のZTNAベンダーを通じてクラウドサーバーにアクセスするため、通信速度の低下が防げることを期待できます。

④通信セキュリティを専門業者に任せられる

従来のリモートアクセスであるVPNでは、自社でVPN機器を設置し、その中でセキュリティ対策を行う必要がありましたが、ゼロトラストネットワークアクセスではリモートアクセスの処理をすべてクラウド上のゼロトラストネットワークアクセスベンダーが行うため、管理コストの低下とセキュリティ強度の向上の両立が見込まれます。

また、従来の場合は、社内ネットワークにおいてVPN用のゲートウェイを解放しておく必要がありましたが、ゼロトラストネットワークアクセスのサービスはクラウドのみと通信を行うため、アクセスポイントを隠蔽することができ、構造上セキュリティが向上するという効果もあります。

まとめ

本記事ではゼロトラストの考え方に基づくリモートアクセス手法であるゼロトラストネットワークアクセスについて、従来の手法であるVPNと比較し、特徴を押さえることでその重要性を確認してきました。

企業でもクラウドの利用と在宅ワークの普及により、今後企業のデータを守っていくためにこの新たなアクセス手法に移行してみてはいかがでしょうか。