「誰も信用しない」防御を実現するための重要なポリシー「ZTNA」

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「ZTNA」（Zero Trust Network Access）です！覚えにくそうなこの用語、実は前回登場した「SASE」を構成する重要な技術・考え方です。すなわちゼロトラストに基づくセキュリティを実現するためにぜひ知っておきたいものです。早速見てみましょう！

ZTNAとは何か？

ZTNA（Zero Trust Network Access）は、日本語で「ゼロトラスト」が言葉に含まれているとおり、「誰も信用しない」というゼロトラストの原則に基づいてネットワークを設計・実装するものです。

ZTNAは、このゼロトラストの考え方をネットワークアクセスに適用し、ユーザや端末が物理的にどこにいても、同じセキュリティシステムによって監視などの防御を行います。

このように、ZTNAは、特定の単一の技術を指しているのではなく、ゼロトラストの原則に基づいたネットワークアクセスのアプローチ全体を指します。具体的には、認証、認可、ポリシーエンフォースメントなどの技術と手法を組み合わせて、アクセスを管理・制御する体系です。

ここまでOKですね。

これまでのネットワークとの違い

ZTNAがゼロトラストに基づくアクセス制御のポリシーというのですから、ゼロトラストの考え方を念のためおさらいしておきましょう。

従来のネットワークセキュリティは、「内側」と「外側」に分けて考え、内側の機器やユーザーに対しては比較的自由なアクセス権を与え、外からのアクセスは厳しく制御します。すなわち「境界防御」（ペリメターモデル）の考え方が基本でした。

しかし、現代ではクラウドサービスの利用やリモートワークなどにより「内」と「外」を厳密に区別する意義が薄れてしまいました。さらに、内部犯がいたり、内部の端末がマルウェアに感染し、そこから攻撃が行われるケースもありますね。

ZTNAはこのような状況に対応し、内外を問わず一貫したセキュリティを提供しようというわけです。

ではZTNAはどう実装する？

ZTNAの実装は、アプリケーションやデータ資産へのアクセス前にゼロトラストモデルに基づいた検証を行うことが特徴です。まずは、「誰が、どの端末がアクセスしようとしているのか」を厳しく確認します。

これにより、どこにユーザーがいて、どんなデバイスを使っていても、一貫した基準によりセキュリティを提供できます。これを達成するため、例えば、MFA（多要素認証）やIAM（ユーザの認証・認可を管理）などがZTNAを構成要素といえましょう。

SASEの構成要素としてのZTNA

前回少し触れましたが、ZTNAは、SASE（Secure Access Service Edge、システムへのアクセスを一つのクラウドサービスに統合する考え方）の重要な構成要素の一つとされています。

ZTNAの他にSWG（Secure Web Gateway）、CASB（Cloud Access Security Broker）がSASEを構成する主要なセキュリティ機能です。ZTNAは、これらの機能と連携して、ユーザーがどこにいても安全にネットワークやアプリケーションにアクセスできる環境を提供します。

ZTNA、SWG、CASBは、「SASEを構成する代表的技術」として3点セットで覚えておきましょう！

はい、本日はここまで！今回は「ZTNA」をご紹介しました！