ZTNA(ゼロトラストネットワークアクセス)の背景やベンダーを調査
ゼロトラスト・ネットワーク・アクセス(ZTNA)は、従来の技術に取って代わる新しい概念です。もう従業員やパートナーに過度の信頼を寄せてアクセス環境を用意する必要はありません。セキュリティやリスクマネジメントの責任者は、従業員やパートナー向けのアプリケーションを対象としたゼロトラスト・ネットワーク・アクセス(ZTNA)プロジェクトを計画する必要がでてきています。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。
ZTNAを導入する事のメリット
デジタル・トランスフォーメーション(通称DX)においては、システム、サービス、API、データ、プロセスが複数のエコシステムを通じて、時間・場所・端末を問わずインターネット経由でアクセスできるようにする必要があります。これはつまり、攻撃者が標的とする攻撃対象領域が拡大することを意味します。
セキュアなアクセスを提供するシステムは、ユーザーがいる場所、アプリケーションやサービスがよりフレキシブルなクラウドへと進化しなければなりません。SDP(Software Defined Perimeter)が守る対象の多くはクラウドベースです。
テレワーク環境からのアクセス保護手段として、IPアドレスや位置情報はもはや実用的ではありません。
ゼロトラスト・ネットワーク・アクセスは、アイデンティティに応じて精密なアクセス機能を提供します。特定のネットワーク環境に特権的な信頼が付与される状態をなくすことで、過度な暗黙的信頼を排除することができます。
ゼロトラスト・ネットワーク・アクセス(ZTNA)は柔軟性、俊敏性、スケーラビリティを向上させ、デジタルエコシステムがインターネットに直接サービスを公開することなく動作するようにし、攻撃にさらされるリスクを低減します。
仮想プライベートネットワーク(VPN)の置き換えがゼロトラスト・ネットワーク・アクセス(ZTNA)を採用する一般的なドライバーですが、ゼロトラスト・ネットワーク・アクセス(ZTNA)は管理されていないデバイス(BYOD等)がアプリケーションに安全にアクセスできるようにするためのソリューションを提供することもできます。
今後検討すべきZTNAの導入方法
業務システムなどへのセキュアな接続環境を担当するセキュリティおよびリスク管理の責任者は、次のように考えるべきです。
アクセスの安全性を担保するためのプロキシとして、IPアドレスとネットワークの位置を使用するだけでは不十分です。アプリケーションレベルのアクセスには、ユーザーとデバイスの認証を十分に行った後にのみゼロトラスト・ネットワーク・アクセス(ZTNA)を使用します。
従業員やパートナーに向けたアプリケーションの設計を、サービスを直接インターネット接続にさらすようなものに置き換えます。まずはパートナーがアクセスする必要のあるシステムに対して、ゼロトラスト・ネットワーク・アクセス(ZTNA)の導入を試験的に実施しましょう。
リスクの高いユースケースのために、従来のVPNベースのアクセスを段階的に廃止し、逆にゼロトラスト・ネットワーク・アクセス(ZTNA)の段階的導入を開始しましょう。これにより、広く展開されたVPNクライアントをサポートする必要性が減り、クライアントレスなアイデンティティとデバイスを意識したアクセスを導入することができます。さらに、これは従業員がBYODした端末に対応することも中期的に実現できるようになります。
単一の要因を超えてアイデンティティ認証を拡大するゼロトラスト・ネットワーク・アクセス(ZTNA)製品/サービスを選択しましょう。これはリスクベースなアクセス制御を行うゼロトラスト・ネットワーク・アクセス(ZTNA)の重要な選定要素となります。
ZTNAを採択する前提(市場のトレンド)
2022年までに、エコシステムパートナーに開放された新しいデジタルビジネスアプリケーションの80%が、ゼロトラスト・ネットワーク・アクセス(ZTNA)を介してアクセスされるようになります。2023 年までに、60% の企業がリモートアクセス仮想プライベートネットワーク(VPN)のほとんどを段階的に廃止し、ゼロトラスト・ネットワーク・アクセス(ZTNA) を採用するようになるでしょう。更に2023年までには40%の企業が、本調査で説明したVPN以外のユースケースでもゼロトラスト・ネットワーク・アクセス(ZTNA)を採用するようになります。
ZTNAに関する市場の定義
ゼロトラスト・ネットワーク・アクセス(ZTNA)は、SDP(Software Defined Perimeter)としても知られており、アプリケーションまたはアプリケーションのセットの周囲に、アイデンティティとコンテキストをベースとしたアクセス境界線を作成します。アプリケーションは直接的にインターネットにさらされないように隠され、アクセスはトラストブローカーを介して、名前の付いたエンティティのセットに制限されます。ブローカーはアクセスを許可する前に、指定された参加者の身元、コンテキスト、ポリシーの遵守を検証します。これにより、アプリケーションに関連するIT資産は公開部分が大規模に削減できるので、攻撃の対象エリアが大幅に減少します。
ZTNA市場の説明
DXが実現される世界では、「内部は信頼されていることを意味し、外部は信頼されていないことを意味する」という古いセキュリティの考え方(ペリメタモデル)が崩れています。同様に、旧来のモデルでは、すべてのプログラマーがセキュリティ・エンジニアであり、本質的に安全なネットワーク・アプリケーションを構築し、洗練された認証とアクセス制御を組み込むことを期待していました。しかし、この実現は現実的ではありません。
新しいモデルでは、トラスト・ブローカーがアプリケーションとユーザー間の接続を仲介するアプローチを提案しています。ゼロトラスト・ネットワーク・アクセス(ZTNA) はセキュリティ・メカニズムを抽象化して一元化し、セキュリティ・エンジニアとスタッフが責任を持てるようにします。ゼロトラスト・ネットワーク・アクセス(ZTNA)は、信頼度ゼロのデフォルトの拒否姿勢から始まります。ゼロトラスト・ネットワーク・アクセス(ZTNA)はアイデンティティに加えて、その他の属性やコンテキスト(時刻/日付、ジオロケーション、デバイスの姿勢など)に基づいてアクセスを許可し、その時点で必要とされる適切な信頼を適応的に提供します。その結果、柔軟性が向上し、監視が容易になり、より機動力のある環境が実現します。ゼロトラスト・ネットワーク・アクセス(ZTNA)はリモートワーカー、パートナーとの接続やコラボレーションを行うための適応的で安全な方法を探している組織に対して、デジタルビジネスエコシステムとして有効な環境を構築できるソリューションである事は明らかです。
ゼロトラスト・ネットワーク・アクセス(ZTNA)はリソースへの制御されたアクセスを提供し、攻撃の対象エリアを減少させます。ゼロトラスト・ネットワーク・アクセス(ZTNA)を導入することで接続性は向上させる一方、アプリケーションをインターネットに直接公開する必要性をなくせます。インターネットは信頼されないトランスポートとなり、アプリケーションへのアクセスは仲介者を介して行われます。仲介者には、サードパーティ・プロバイダが管理するクラウド・サービスやセルフホスティング・サービスを利用することができます。いずれの場合も、アプリケーションへの受信トラフィックは、ユーザーが認証に成功した後、常に仲介者を通過します。
ゼロトラスト・ネットワーク・アクセス(ZTNA)はある意味では、ユーザー、デバイス、およびアプリケーションのみを包含する個別化された「仮想境界線」を作成します。ゼロトラスト・ネットワーク・アクセス(ZTNA)はユーザーエクスペリエンスを正常化し、社内ネットワーク上にある場合とそうでない場合のアクセスの区別を取り除きます。
ZTNA市場の方向性
ゼロトラスト・ネットワーク・アクセス(ZTNA)の考え方は、2014年のCloud Security Alliance SummitでSDP(Software-Defined Perimeters)の初期仕様が紹介されて以来、勢いを増しています。初期のSDP 仕様はWebベースのアプリケーションのみを対象としており、仕様の更新は遅れていましたが、2019 年後半には予定されています。この初期仕様をほぼベースにした製品が市販されており、GoogleのBeyondCorpなどゼロトラスト・セキュリティをベースにした製品も販売されていますが、これもウェブ対応アプリケーションのみに限定されています。さらに、ウェブアプリケーションに限定されない他のアプローチを用いた代替的な商用製品も多数市場に参入しています。
ゼロトラスト・ネットワーク・アクセス(ZTNA)市場はまだ初期段階ですが、急速に成長しています。ゼロトラスト・ネットワーク・アクセス(ZTNA)は、VPNに代わるより柔軟な代替手段を求める組織や、オンプレミスやクラウドにあるアプリケーションへのより正確なアクセスとセッション制御を求める組織の関心を刺激してきました。ゼロトラスト・ネットワーク・アクセス(ZTNA)ベンダーは、ベンチャーキャピタルからの資金提供を受け続けています。これにより、新しいスタートアップ企業が市場に参入し、差別化の方法を模索することが奨励されています。この市場では、合併・買収(M&A)活動が始まっており、現在3社の新興ベンダーが、より大きなネットワーキング、テレコミュニケーション、セキュリティベンダーに買収されています。
ゼロトラスト・ネットワーク・アクセス(ZTNA)が提供する製品は技術的なアプローチが異なりますが、基本的には同じ価値提案を提供しています。
・アプリケーションやサービスをパブリック・インターネット上の直接の可視性から削除する。
・特定のアプリケーションへの指定されたユーザーの正確な(「ジャスト・イン・タイム」および「ジャスト・イン・フ ァイット」の)アクセスを可能にするのは、本人確認、デバイスの健全性、およびコンテクストの評価が行われた後に限られます。
・ユーザーの物理的な場所やデバイスの IP アドレスに依存しないアクセスを可能にする(ポリシーで禁止されている場合を除く)。アクセスポリシーは、ユーザー、デバイス、およびアプリケーションのアイデンティティに基づいています。
・基盤となるネットワークではなく、特定のアプリケーションのみにアクセスを許可します。これにより、すべてのポートやプロトコル、またはすべてのアプリケーションへの過剰なアクセスを制限します。
・ネットワーク通信のエンドツーエンド暗号化を提供します。
・機密性の高いデータ処理やマルウェアなどの過度のリスクがないか、アクセストラフィックの検査をオプションで提供する。
・異常なアクティビティ、持続時間、帯域幅の必要性を示すセッションの監視をオプションで可能にします。
・ネットワークの場所に関係なく、クライアントレスまたはゼロトラスト・ネットワーク・アクセス(ZTNA)クライアント経由でアプリケーションにアクセスするための一貫したユーザーエクスペリエンスを提供します。
クライアント主導型のゼロトラストネットワークアクセス(ZTNA)
これらの製品は、オリジナルのクラウド・セキュリティ・アライアンス(CSA)SDP仕様をより忠実に踏襲しています。認可されたデバイスにインストールされたエージェントは、そのセキュリティコンテキストに関する情報をコントローラに送信します。コントローラは、デバイス上のユーザに認証を促し、許可されたアプリケーションのリストを返します。ユーザとデバイスが認証されると、コントローラは、直接のインターネットアクセスからサービスを保護するゲートウェイを介してデバイスからの接続性を提供します。このシールドにより、DDoS攻撃からアプリケーションを保護します。
製品によっては、コントローラが接続性を確立した後もデータパス内に残るものもあれば、データパスから削除されるものもあります。このアプローチは、エージェントをインストールする必要があるため、管理されていないデバイスに実装することは、不可能ではないにしても非常に難易度が高いです。場合によっては、サードパーティのモバイル脅威防御(MTD)製品(完全なデバイス管理よりもユーザーが喜んで受け入れ る可能性があります)が、トラストブローカーに姿勢評価を提供することができます。
サービス主導型のゼロトラスト・ネットワーク・アクセス(ZTNA)
これらのモデルは、Google BeyondCorpのビジョンをより忠実に踏襲しています。アプリケーションと同じネットワークに設置されたコネクタが、プロバイダのクラウドへのアウトバウンド接続を確立し、維持します。ユーザーは、保護されたアプリケーションにアクセスするためにプロバイダに対して認証を行います。その後、プロバイダは通常、EIAM(ID管理)製品に対して認証を行います。アプリケーション・トラフィックはプロバイダのクラウドを通過し、プロキシを介した直接アクセスから隔離されます。ファイアウォールは、インバウンド・トラフィックのための開口部を必要としません。しかし、プロバイダのネットワークは、評価しなければならないネットワーク・セキュリティの別の要素となります。
このモデルの利点は、エンドユーザーのデバイスにエージェントが必要ないことで、管理されていないデバイス(BYOD等)にとっては魅力的なアプローチとなります。欠点は、アプリケーションのプロトコルが HTTP/HTTPS をベースにしなければならないことで、ウェブアプリケーションや、http を介したSecure Shell (SSH) や Remote Desktop Protocol (RDP) などのプロトコルにアプローチが制限されてしまうことです。
ベンダーによっては、両方の選択肢を提供しているところもあります。これにより、企業は特定のユースケースに対応するために、必要に応じて組み合わせて使用することができます。
ZTNA市場の分析
インターネットは、接続をブロックするために設計されたのではなく、物事を簡単に接続するために設計されました。インターネットは本来弱い識別子(具体的にはIPアドレス)を使って接続します。IP アドレスとルートを持っていれば、他の IP アドレスに接続して通信することができますが、これは決して認証メカニズムとして設計されたものではありません。認証の面倒な問題は、スタックの上位レベル、一般的には OS やアプリケーション層で処理されます。ネットワーク接続の場合、このデフォルトの許可姿勢は、過剰な量の暗黙の信頼を生み出します。
攻撃者はこの信頼を悪用します。最初にパブリック・インターネットに接続した企業は、社内ネットワークがインターネットに接続するための境界線が必要であることにすぐに気付きました。これが最終的に、境界ファイアウォールの数十億ドル規模の市場を生み出しました。内部のネットワーク化されたシステムは「信頼された」ものであり、お互いに自由に通信することができました。外部システムは「信頼されていない」システムであり、外部との通信は、インバウンドでもアウトバウンドでも、デフォルトでブロックされていました。外部との通信が必要になった場合、ファイアウォールに一連の例外(つまり穴)を設ける必要がありましたが、これは維持管理や監視が難しく面倒でした。
この信頼された/信頼されていないネットワークセキュリティモデルは、比較的粗雑で粗雑な制御であるが、当初は有効であった。しかし、このモデルは(内部に)過剰な信頼を生み出し、それが外部からの攻撃者に悪用されてしまいます(一度防御を突破して内部に侵入してしまうと)。当社のシステムやサービスへの外部からのアクセスが必要な場合、通常は次の2つのうちのいずれかを行います。ユーザーによっては、VPNを作成してファイアウォールを通過して内部ネットワークに接続できるようにします。一旦「内部」に入ると、VPN接続は信頼されたものとして扱われます。
もう一つは、サービスのフロントエンドをネットワークの一部に分割して、インターネットに直接接続できるようにすることです。どちらの方法も過剰な信頼を生み、横方向への動きを制限することはほとんどできず、潜在的なリスクが発生します。VPNの場合は、認証されたアクセス権を持つ攻撃者がネットワークにアクセスできるようになっています。同様に、サービスがDMZで公開されている場合、ウェブ・アプリケーション・ファイアウォール(WAF)で保護されていても、インターネット上の誰もが(攻撃者全員を含めて)それを見ることができます。
過度のネットワーク信頼は、過剰な潜在的リスクにつながります。これは必然的に悪用され、違反につながり、法的、財政的、規制上のリスクにさらされることになります。ネットワーク接続(「ping」やサーバーを見る権利であっても)は権利ではなく、信頼に基づいて獲得すべきものです。インターネットに接続されたサービスの数が驚異的に増加し、サービスやユーザーが事実上あらゆるIPアドレスに存在する可能性が高まっていることが、従来のモデルの弱点をさらに悪化させています。
ZTNAのメリットと用途
ゼロトラスト・ネットワーク・アクセス(ZTNA)のメリットはすぐに得られます。従来のVPNと同様に、ゼロトラスト・ネットワーク・アクセス(ZTNA)環境内で提供されるサービスは、もはやパブリック・インターネット上では見えないため、攻撃者から保護されます。さらにゼロトラスト・ネットワーク・アクセス(ZTNA)は、ユーザーエクスペリエンス、俊敏性、適応性、ポリシー管理の容易さにおいて大きなメリットをもたらします。クラウドベースのゼロトラスト・ネットワーク・アクセス(ZTNA)製品では、スケーラビリティと導入の容易さがさらなるメリットとなります。ゼロトラスト・ネットワーク・アクセス(ZTNA)は、従来のアクセスアプローチには不向きなデジタルビジネス変革のシナリオを可能にします。デジタル・トランスフォーメーション(DX)の取り組みの結果、ほとんどの企業では、アプリケーション、サービス、データを社内よりも社外に置くようになります。クラウドベースのゼロトラスト・ネットワーク・アクセス(ZTNA)サービスは、ユーザーとアプリケーションが存在する場所(クラウド)にセキュリティ制御を配置します。ゼロトラスト・ネットワーク・アクセス(ZTNA)の大手ベンダーの中には、低遅延のユーザー/デバイス・アクセスを実現するために、世界中の数十の拠点に投資しているところもあります。
いくつかのユースケースはゼロトラスト・ネットワーク・アクセス(ZTNA)に適しています。
・VPNやDMZを必要とせずに、流通チャネル、サプライヤー、請負業者、小売店などの共同エコシステムメンバーにアプリケーションやサービスを開放します。アクセスは、アプリケーションやサービスとより密接に結びつきます。
・アプリケーションアクセスのユーザーエクスペリエンスを正常化 します。ゼロトラスト・ネットワーク・アクセス(ZTNA)は企業ネットワークのオンとオフの区別をなくします。
・キャリアやクラウドプロバイダーを信頼しないシナリオのために、エンドポイントに至るまで暗号化を提供します。
・VPNベースのアクセスの代替として、IT請負業者やリモートまたはモバイルの従業員に特定のアプリケーションに特化したアクセスを提供します。
・M&A活動中に、サイト間VPNやファイアウォールのルールを設定することなく、買収した組織へのアクセスを拡張する。
・世界の潜在的に危険な地域にいるユーザーに、その地域に起因するリスクを軽減または排除する方法でアプリケーションやデータとのやりとりを許可する(強力なアイデンティティとエンドポイント保護の要件に注意を払いたい)。
・ネットワークまたはクラウド内で価値の高いエンタープライズ・アプリケーションを分離することで、内部脅威を減らし、管理者アクセスの職務分離に影響を与えます。
・個人デバイス上でのユーザー認証を実現したい。ゼロトラスト・ネットワーク・アクセス(ZTNA)は完全な管理要件を減らし、より安全なアプリケーションへの直接アクセスを可能にすることでセキュリティを向上させ、BYOD (Bring Your Own Device) プログラムを簡素化することができます。
・モノのインターネット(IoT)デバイスの安全な囲い込み、または接続のためのIoTネットワークセグメント上の仮想アプライアンスベースのコネクタを作成します。
・コラボレーションに使用されるパブリック・インターネットに面したシステムなど、敵対的なネットワーク上のシステムをクローキングする。
・SaaSアプリケーションが企業のオンプレミスまたはIaaS(Infrastructure as a Service)ベースのサービスと相互作用する必要があるプロセスのために、SaaSアプリケーションが企業のシステムやデータに戻って接続できるようにすること。
ZTNAを採択する事のリスク
ゼロトラスト・ネットワーク・アクセス(ZTNA)は全体的なリスクを大幅に低減しますが、これらの例が示すように、すべてのリスクを完全に排除するわけではありません。
トラストブローカーがあらゆる障害の一点張りになる可能性があります。ゼロトラスト・ネットワーク・アクセス(ZTNA)を使用して完全に分離されたアプリケーションは、ゼロトラスト・ネットワーク・アクセス(ZTNA)サービスがダウンすると動作を停止します。適切に設計されたゼロトラスト・ネットワーク・アクセス(ZTNA)サービスは、全体的な可用性に影響を与える停止の可能性を最小限に抑えるために、複数の入口と出口を備えた物理的および地理的な冗長性を含んでいます。さらに、ベンダーのSLA(またはSLAがない場合)は、ベンダーが提供しているサービスをどれだけ堅牢に評価しているかを示す指標となります。ビジネスの混乱を最小限に抑えるSLAを提供しているベンダーを選ぶようにしましょう。
攻撃者は、トラストブローカーのシステムを侵害しようとする可能性があります。可能性は低いですが、リスクはゼロではありません。パブリッククラウド上に構築されたゼロトラスト・ネットワーク・アクセス(ZTNA)サービスや大手インターネットキャリアは、プロバイダの強力なテナント分離メカニズムの恩恵を受けています。それにもかかわらず、テナント分離が崩れると、攻撃者はベンダーの顧客のシステムに侵入し、ベンダーの顧客内や顧客間を横方向に移動することが可能になります。危殆化したトラストブローカーは、直ちに冗長化されたものにフェイルオーバーしなければなりません。それができない場合は、クローズドフェイル、つまり悪用を回避できない場合はインターネットとの接続を切るべきです。このようなスタンスを採用しているベンダーを優先してください。
危殆化したユーザの資格情報は、ローカル・デバイス上の攻撃者がデバイスを監視し、デバイスから情報を流出させることを可能にする可能性があります。デバイス認証とユーザ認証を組み合わせた ゼロトラスト・ネットワーク・アクセス(ZTNA) アーキテクチャは、この脅威をある程度封じ込め、攻撃がデバイス自体を超えて伝播するのを阻止します。可能な限り、アクセスのためのより強力な認証を使用することを提案します。
ゼロトラスト・ネットワーク・アクセス(ZTNA) ベンダーの中には、ウェブ・アプリケーション・プロトコル(HTTP/HTTPS)のみをサポートすることを選択しているものもあります。レガシーなアプリケーションやプロトコルをゼロトラスト・ネットワーク・アクセス(ZTNA) サービスで実行することは、より困難になる可能性があります。
市場は流動的であり、小規模なベンダーが消滅したり、買収されたりする可能性があります。
ZTNAを技術的に評価する上での重要事項
ゼロトラスト・ネットワーク・アクセス(ZTNA)の技術を評価する際の重要な質問をご紹介します。
・ベンダーはエンドポイントエージェントのインストールを要求していますか?サポートされているOSは?どのようなモバイルデバイスですか?他のエージェントの存在下でエージェントはどの程度動作するか?
・トラストブローカーへの身元確認の初期形態としてシングルパケット認証(SPA)をサポートしていますか?SPAにより、ブローカーは、最初の通信の試みが特殊な暗号化されたパケットを含まない限り、通信の試みを無視することができます。
・統合エンドポイント管理(UEM)ツールを必要とせずに、デバイスのセキュリティ姿勢評価(OSバージョン、パッチレベル、パスワード、暗号化ポリシーなど)を実行する機能を提供していますか?管理されていないデバイスでこれを実現するためのオプションはありますか?
・この製品はUEMプロバイダーと統合されているのか、それともローカルエージェントがアクセス決定の要因としてデバイスの健全性とセキュリティ姿勢を判断することができるのか?ゼロトラスト・ネットワーク・アクセス(ZTNA)ベンダーはどのようなUEMベンダーと提携していますか?
トラストブローカーはどのような認証標準をサポートしていますか?オンプレミスのディレクトリやクラウドベースのIDサービスとの統合は可能ですか?トラストブローカーは、組織の既存の ID プロバイダーと統合しているか? トラストブローカーは、多要素認証(MFA)の共通オプションをサポートしていますか?プロバイダーは、管理者に対して強力なユーザー認証を実施できますか?
・ゼロトラスト・ネットワーク・アクセス(ZTNA)で保護された環境内で何か異常が発生したときに識別できるユーザーおよびエンティティ行動分析(UEBA)機能があるか?
・ゼロトラスト・ネットワーク・アクセス(ZTNA)製品の一部または全部がクラウドベースのサービスとして提供されているものがあります。これは、組織のセキュリティおよび居住要件を満たしているか。
・ベンダーの出入り口(エッジロケーションおよび/またはプレゼンスポイントと呼ばれる)の地理的多様性は世界的にどの程度か。ベンダーはどのようなエッジ/物理的インフラストラクチャ・プロバイダーやコロケーション施設を利用しているか?
・・ゼロトラスト・ネットワーク・アクセス(ZTNA)サービスが持続的な攻撃を受けた場合のベンダーの技術的な動作は?サービスはフェイル・クローズド(そのためデジタル・ビジネス・パートナーが企業サービスにアクセスできないようにする)なのか、それともフェイル・オープン(オープン)なのか?特定のエンタープライズ・アプリケーションに対して、フェイル・クローズドまたはフェイル・オープンを選択することは可能ですか?フェイルオープンが要件である場合は、ゼロトラスト・ネットワーク・アクセス(ZTNA)サービスによってシールドされなくなったアプリケーションを保護するために、他の防御層を追加することも忘れないでください。
提供するサービスはウェブアプリケーションのみをサポートしているのか、それともレガシーアプリケーションでも同じセキュリティ上の利点を得ることができるのか?
・ベンダーはどのようなアルゴリズムと鍵の長さを選択したのか?ベンダーはどのような第三者認証を取得しているか?ベンダーの製品説明は、現代の暗号技術の実践を理解しているか、それとも、あまりにも優れた真偽不明の暗号「スネークオイル」が混入されていないか。
・ユーザーとデバイスが認証を通過した後、トラストブローカーはデータパス内に留まるか。このアプローチは検討に値する。データパス内に残るトラストブローカーは、より高い可視性を提供し、異常な活動や不審な活動を監視することができます。しかし、ボトルネックや単一障害点になる可能性があります。フェイルオーバーサポートを含む設計はこの懸念を軽減するが、検査を迂回しようとする DDoS 攻撃に対して脆弱になる可能性がある。
ベンダーは、不適切な機密データの処理、マルウェアの検出、異常な動作について、セッションフローとコンテンツの検査を提供できるか。
・隔離されたアプリケーションのセキュリティ要件の一部として、部分的または完全なクローキング、またはインバウンド接続の許可・禁止は、どの程度まで可能か。おそらく、コンテンツ配信ネットワーク(CDN)の最低限の保護で十分でしょう。異なるエンタープライズアプリケーションには、異なる要件があるかもしれません。
・プロバイダは、バグバウンティプログラムを維持し、信頼性の高い、責任ある、公開または非公開の公開ポリシーを持っているか?ソフトウェアプロバイダは、製品の脆弱性を常にテストして除去することが重要です。積極的にテストを行っているプロバイダを選ぶようにしましょう。
ゼロトラストネットワークアクセス(ZTNA)の代替品
ゼロトラストネットワークアクセス(ZTNA)にはいくつかの代替アプローチがあります。
レガシー VPN は依然として人気がありますが、デジタル時代のビジネスにおけるダイナミックな性質を考えると、露出したサービスのリスク管理が十分ではなく、管理が難しいかもしれません。デバイスとユーザの認証を必要とする常時接続型 VPN は、ゼロトラスト・ネットワーク・アクセス(ZTNA)モデルと一致していますが、基本的なネットワークアクセス型 VPN はそうではありません。VPN モデルとユーザーの満足度にセキュリティ要件を組み込む。サードパーティによる企業システムへの特権的なアクセスについては、特権的アクセス管理(PAM)ツールが VPN の代替手段として有用です。
リバースプロキシベースの WAF を通じて Web アプリケーションを公開することも選択肢の一つです。サービスとしての WAF(すなわち、クラウド WAF)では、トラフィックはプロバイダのWAFサービスを通過し、目的地に配信される前に検査を行います。誤検出やアプリケーションの誤動作の可能性を避けるために、クラウドWAFは、他のWAFと同様に、通常、テストとルールの調整にある程度の時間を必要とします。保護されたサービスは、パブリック・インターネット上で攻撃者に見える状態にあるため、隔離はWAFの強度に制限されます。しかし、パートナーや従業員向けのアプリケーションは、通常は WAF の候補にはなりません。
既存の設計パターンを維持し、従来の DMZ でデジタル・ビジネス・アプリケーションを公開するという選択肢もあります。しかし、DMZ は、現代の攻撃(一般的にはリバース・プロキシ WAF)に対して限定的な隔離を提供します。さらに、DMZ は、すべての攻撃者がアプリケーションを発見できる状態にしておきます。
リモートブラウザ分離製品は、特にウェブ対応アプリケーションのアクセスを分離するための別のオプションを提供しています。ここではブラウザセッション自体がエンドユーザーのデバイスから、そして一般的にはサービスとして社内ネットワーク(例:クラウドベースのリモートブラウザサービス)からレンダリングされ、双方の分離を提供します。
CDN は DDoS 攻撃を吸収し、ボット攻撃のノイズや脅威を軽減し、ウェブサイトの改ざんを防ぐことができます。サイトを狙う攻撃者は、サイトが CDN で保護されていることを発見し、CDN に存在する脆弱性を悪用しようとする可能性があります。多くの CDN には基本的なクラウド WAF が含まれています。
完全なインタラクティブなインターネット接続を必要とせず、代わりにAPIのみを公開するアプリケーションは、APIゲートウェイによって保護される可能性がありますが、ゼロトラスト・ネットワーク・アクセス(ZTNA)はここでも機能します。APIゲートウェイは認証を強制し、認可を検証し、アプリケーション API の正しい使用を仲介します。これは、アプリケーションがAPIセキュリティを確保するためのメカニズムを欠いている場合に特に有用です。ほとんどのAPIゲートウェイは、ネイティブのモニタリングツールや、一般的なセキュリティ情報とイベント管理(SIEM)ツールとの統合を通じて、すべてのアクティビティのログを公開します。企業ディレクトリやシングルサインオン(SSO)プロトコルと統合するAPIゲートウェイをお勧めします。
完全なIaaSに移行することも可能です。ゼロトラスト・ネットワーク・アクセス(ZTNA)や他の隔離手段が十分でない場合は、アプリケーションを完全にエンタープライズから切り離すことが最善の選択肢です。提案されている分離メカニズムの多くは、クラウドに置かれたワークロードで利用可能であり、企業の分離というよりは、一次保護のために設計されています。目標はアプリケーションとデータを保護することにシフトし、分離への懸念は少なくなります。しかし、レガシーDMZアーキテクチャがクラウドに複製されている場合は特に、システムが攻撃にさらされることになります。
ZTNAベンダーの選定基準
ベンダーの製品は大きく2つに分けられます
ゼロトラスト・ネットワーク・アクセス(ZTNA)の製品やサービスは、2つの方法のいずれかで業者が提供しています。
・クラウドからのサービス
・お客様が責任を持ってサポートするスタンドアローン製品
サービスとして提供されるものは、スタンドアロンのものに比べてセットアップやメンテナンスが少なくて済みます。サービスとして提供されるものは通常、エンドユーザーまたはサービス側でプロビジョニングが必要で、ポリシーを実施するためにベンダーのクラウドを経由してトラフィックをルーティングします。スタンドアロン型の製品では、顧客は製品のすべての要素を導入して管理する必要があります。さらに、主要な IaaS クラウド・プロバイダーのいくつかは、顧客向けに ゼロトラスト・ネットワーク・アクセス(ZTNA) 機能を提供しているケースもあります。
ZTNAを採択する際に気をつける事
パブリック・インターネットが示す大きなリスクと、インターネットにさらされたシステムを侵害して企業システムに侵入することの影響の大きさを考えると、企業はデジタル・ビジネス・サービスをパブリック・インターネットによる可視性から分離することを検討する必要があります。ゼロトラスト・ネットワーク・アクセス(ZTNA) は、攻撃者からサービスを隠蔽し、攻撃者が回避するのが従来の単純な難読化の概念よりも困難であることが証明されている、真の障壁を構築します。
レガシーなVPNアクセスについては、ゼロトラスト・ネットワーク・アクセス(ZTNA)サービスを介して業務を行うターゲットユーザーのセットが、組織の全体的なセキュリティ態勢を改善するための直接的な価値を提供できるシナリオを探してください。ほとんどの場合、これはパートナーや従業員向けのアプリケーションになります。ゼロトラスト・ネットワーク・アクセス(ZTNA)プロジェクトは、ゼロトラストネットワークのセキュリティ体制をより広く普及させるためのステップです。具体的には、ネットワーク接続を拡張するためのリスクと現在の状況を考えると、十分な信頼が確立されるまでは何もアプリケーションリソースと通信することはできません。
DMZベースのアプリケーションでは、どのようなユーザーがアクセスを必要とするかを評価します。定義されたユーザーのセットを持つアプリケーションについては、今後数年の間にゼロトラスト・ネットワーク・アクセス(ZTNA)サービスへの移行を計画しましょう。これらのアプリケーションのパブリック・クラウドIaaSへの移行を、このアーキテクチャ変更の契機としてください。
ZTNA実現時の具体的な推奨事項
ゼロトラストネットワークアクセス(ZTNA)プロジェクトを予算化し、試験的に実施して、ゼロトラストネットワークアクセス(ZTNA)の利点を組織に実証する。
ユーザーからアプリケーションへのマッピングを計画します。これには、役割ベースのアクセス制御(RBAC)が役立ちます。すべてのユーザーがすべてのアプリケーションにアクセスできるようにすることは避けてください。
ゼロトラスト・ネットワーク・アクセス(ZTNA)の候補にならないアプリケーションやワークフローを特定し、対象から除外する。これには、アプリケーションやコンシューマ向けアプリケーションで保護されていない非構造化データへのアクセスやダウンロードも含まれます。
ゼロトラスト・ネットワーク・アクセス(ZTNA)市場は新興市場であるため、市場が成長・成熟してもベンダーを柔軟に選択できるように、12~24ヶ月以内の短期契約のみを締結してください。
ほとんどのデジタルビジネスにおけるシナリオでは、導入が容易で可用性が高く、DDoS攻撃からの保護が可能なゼロトラスト・ネットワーク・アクセス(ZTNA)をサービスとして提供しているベンダーを選ぶようにしましょう。リスニングサービスのためにファイアウォールの開口部を必要としないベンダーがベストです。
セキュリティ要件でゼロトラスト・ネットワーク・アクセス(ZTNA)製品のオンプレミスインストールが必要な場合は、ファイアウォールの開口部の数を可能な限り減らすことができるベンダーを選択してください。
管理されていないデバイスを指定されたユーザが使用する場合は、リバースプロキシベースのゼロトラスト・ネットワーク・アクセス(ZTNA)製品またはサービスの導入を計画し、エージェントのインストールの必要性を回避します。
ベンダーが組織やパートナーが現在使用している認証プロトコルをサポートしていることを確認してください。クラウドSSOプロバイダーやSaaS型アクセス管理プロバイダーなど、利用可能な範囲が広ければ広いほど良いです。
パートナーが ID ストアを使用することを期待しないこと。SAML、OAuth、OIDC、および同様の IDフェデレーション機能のサポートを必要とする。
ベンダーが、UEM、エンドポイント検出応答(EDR)、MTD などの他の種類のデバイス・エージェントを照会して、アダプティブ・アクセスの判断を改善するための追加のコンテキストを取得する機能の有効性を評価する。
攻撃者はゼロトラスト・ネットワーク・アクセス(ZTNA)トラストブローカーを標的にします。オンプレミスのゼロトラスト・ネットワーク・アクセス(ZTNA)製品の場合は、オンプレミスの導入をサポートするクラウドワークロード保護プラットフォーム(CWPP)ツールを使用してホストOSを強化します。また、システムのハード化を維持するためにパッチ適用だけに頼らないようにしましょう。
小規模なプロバイダを選択した場合は、契約書に適切な条項を記載したり、必要に応じて代替プロバイダのリストを用意したりして、買収の可能性に備えましょう。
ゼロトラストの原理や原則を詳しく知りたい方は、こちらのホワイトペーパーもご覧ください。
この記事が気に入ったらサポートをしてみませんか?