ZTNAとはなにか？ VPNとの相違点やユースケースなど徹底解説！

ZTNA（Zero Trust Network Access）とは、「すべて疑う」という考えのもと、リモートユーザーが社内のアプリケーションに安全にアクセスするためのテクノロジーや機能のことです。ZTNAの特徴は、「最小限のアクセス権限を付与する」という考え方です。従来リモートワークの際のセキュリティはVPNが多く使われていました。

しかしVPNは、社内アプリケーションへのアクセス権限を一括で付与している為、セキュリティの脆弱性という問題点がありました。そこでZTNAは、きめ細かな方針に則って定義された、「必要があるもの」に対する最低限のアクセス権限を付与します。

こうすることで、リモートユーザーに対してシームレスで安全な接続を提供することが可能になりました。その為、リモートワークが普及している現在、ゼロトラストという考えに基づいた、ZTNA（Zero Trust Network Access）が注目されています。

ゼロトラストとは？

ゼロトラストとは、「すべて疑う」を前提に講じるセキュリティの考え方です。
従来のセキュリティの考えでは、社内のLANやVPNは信用できるものとして、社外のインターネットに対するセキュリティ対策が多く講じられてきました。

具体的には、社内と社外の境界線に当たるネットワークにファイアウォールやアプリケーションゲートウェイ等のセキュリティ機器を設置したり、ペネトレーションテストなどで外部からサイバー攻撃に備えたりする考え方です。

この従来の考えからは、守るべきシステムやデータが社内にあるため成立する考え方でした。一方で現在は、クラウド技術の発達や、リモートワークの普及により、社外に守るべきものがある事は珍しくありません。守るべきものが様々な場所にあるため、従来の考え方では充分なセキュリティを保つことが難しくなりました。そこで現在「ゼロトラスト」の考えが普及しています。ゼロトラストは、「すべて疑う」事を前提に、セキュリティ対策が講じられています。

例えば社内外問わず通信経路の暗号化や多要素認証、ネットワークに接続する多様なデバイスの包括的なログ監視などがあげられます。このようにゼロトラストでは、従来では見過ごされてきた社内にも目を向けてセキュリティ対策を講じています。

ZTNAの仕組み

ZTNAでは、ユーザーがZTNAサービスに対して認証された後で、特定のアプリケーションやシステムにアクセスすることができます。認証されたユーザーは、暗号化された安全なトンネルを介して、特定のアプリケーションやシステムの利用が可能になります。このトンネルでは、アプリケーションやシステムで使われているIPアドレスを非表示にすることでセキュリティ性を確保しています。

上記のようにZTNAの性質は、SDP（Software Defined Permimeter）ととても類似しており、ユーザーがアクセスできるアプリケーションやシステムを限定し、認証されていないものに関しては、一切のアクセスを許さない「ダーククラウド」の考え方に基づいています。この考えのメリットとして、もしサイバー攻撃を受けたとしても、ほかのアプリケーションにはアクセスできないため、同時に複数のアプリケーションへの攻撃を防ぐことができます。

ZTNAとVPNの相違点は多くありますが、一番の違いは根本的な設計です。VPNでは、一度アクセスを許可されたユーザーはネットワーク全体にアクセスできます。一方でZTNAは、必要最小限のアクセス権限しか付与されず、頻繁に認証を行う必要があります。その他の相違点として以下3点のものが挙げられます。

リソースの使用率

VPNは、一括で多くのリソースへのアクセスを許可する為、ユーザーが増え、VPNへの負荷が高くなり、遅延が生じてしまう恐れがあります。そうなると、新しいリソースの追加が必要になるほか、人的リソースも必要になります。一方で、ZTNAはユーザーに対して必要最低限のアクセス権しか付与しないため、ネットワークへの負荷は比較的軽く、遅延が生じてしまう恐れは低いです。

労力と俊敏性

VPNを使用する場合、社内のアプリケーションやシステムを利用するすべてのユーザーが、それぞれのデバイスにVPNソフトウェアをインストールし、構築する必要があります。
デバイスを変えるたびにVPNソフトウェアを構成するのは、労力がかかります。これよりも、セキュリティポリシーとユーザー許可を、当面のビジネスニーズに基づき、追加や削除するほうがはるかに労力がかかりません。ZTNAであればこの作業を、労力をかけず、容易に実行できます。

セキュリティ性

VPNは、社内アプリケーションやシステム、データへのアクセス権限を一括で付与していますが、ZTNAでは全く違った認証方法を採用しています。ZTNAでは、特定のアプリケーション、システム、データに対してそれぞれで認証が必要になります。

VPNとは異なりZTNAでは継続的なID認証を行い、セキュリティの安全性を担保しています。ZTNAでは、それぞれのユーザーやデバイスに対して、特定のアプリケーション、システム、データへのアクセス権限が付与される前に、認証が実行されます。

例えば、VPNとZTNAを組み合わせることで、機密性の高い情報に対して、VPNが攻撃を受けた場合に備えて追加のセキュリティレイヤーで情報を守ることができます。

ZTNAの最大のメリットは、社内のネットワーク外にいても特定のアプリケーションやシステム、データへのアクセスが可能で、更に高いセキュリティ性を担保している点です。このような機能は、昨今のマルチクラウド環境が普及している中では、非常に大きなメリットになります。

今日の企業などの組織は、多様な場所で同時に業務を行うユーザーに対して、場所・時間問わずに柔軟にデジタル資産を提供することが求められます。
このようなニーズに対してZTNAは、柔軟でサイバー攻撃に対する潜在的なリスクを考慮しつつ、更に他のサービスを攻撃されないセキュリティを担保しながら提供できます。

ZTNAの最も多いユースケースとして、VPNの代替があります。上述してきたように、VPNはネットワークに対するアクセス権限を一括で付与するため、セキュリティ面に不安が残ります。

昨今、働き方改革などの影響から、テレワークが普及してきましたが、VPNのセキュリティ面に対する脆弱性からそこに付け込もうとする事例が多く散見されます。高いセキュリティ性を担保するためにも、VPNからZTNAに変更するケースが多くあります。

またサードパーティリスクを軽減するためにもZTNAは導入されます。サードパーティリスクとは、ビジネスシーンでのサードパーティ（第三者）と連携した際に、発生する恐れのあるリスクのことです。

多くの場合、サードパーティには過度なアクセス権が付与されています。ZTNAでは、特定のデジタル資産毎に、認証が必要になる為、外部からのネットワークへのアクセスを制限できます。ZTNAにより、過度なアクセス権の付与を阻止し、サードパーティリスクを軽減できます。

本記事では、ZTNAの基本的な考え方からメリット、ユースケースなどを紹介してきました。
ZTNAは、「すべて疑う」ゼロトラストの考えのもと、頻繁に認証を行うセキュリティ制御の仕組みです。リモートワークが普及している現代では、VPNは、コスト面やセキュリティ面などで課題があります。今後も一層リモート化が進むことが予想されるため、ぜひZTNAの導入を検討してみてください。