ZTNA(Zero Trust Network Access)
とは?
とは?
ゼロ・トラスト・セキュリティは、デジタル・ビジネス時代における主要な焦点であり、バズワードである。作業環境の変化により従来のセキュリティ製品の限界が明らかになるにつれ、ゼロ・トラストのパラダイムに基づくセキュリティの採用への関心が高まっている。Zero Trust Network Access(ZTNA)は、Zero Trustベースのセキュリティ・ソリューションの中でも中心的なセキュリティ・ソリューションとして際立っている。
ZTNAは、いつでもどこからでもリモート・ユーザーに対して、企業のプライベート・アプリケーションへの安全でシームレスなゼロ・トラスト・アクセスを提供するセキュリティ・ソリューションである。ZTNAは基本的にゼロ・トラスト(Zero Trust)のコンセプトに基づいており、セキュリティ境界の内外を問わず、何も信用しないことを意味する。
ZTNAはネットワーク中心のセキュリティではなく、SDP(Software-Defined Perimeter)アプローチに基づいて運用され、ネットワークの内外を問わず、いかなるユーザーやデバイスもデフォルトでは信頼されるべきではないと仮定している。アプリケーションへのアクセスは厳密に制御され、知る必要がある場合にのみ許可される。ZTNAは、「最小特権アクセス」を許可する前に、ユーザーIDやデバイスIDなどのコンテキストベースの情報を厳密に検証し、データのセキュリティと完全性を確保します。
ZTNAは、セキュアアクセスサービスエッジ(SASE)フレームワークまたはセキュリティサービスエッジ(SSE)の最も重要なコンポーネントの1つとして中心的な役割を果たし、SWG、CASB、FWaaS、NG DPI、ATP、RBIなどのセキュリティサービスと連携して、安全なアクセス制御を確保します。
ZTNAのメリット
ZTNAモデルの採用は、企業に多くの利点と利益をもたらしている。
ここでは、ZTNAがもたらすさまざまな利点のいくつかを紹介する:
ここでは、ZTNAがもたらすさまざまな利点のいくつかを紹介する:
ZTNAは、VPNのような従来のアクセス・コントロール・セキュリティ製品を完全に置き換える。
VPNは中間者攻撃(Man-in-the-Middle Attack)、
横移動攻撃(Lateral Movement Attack)などの脅威に対して脆弱である。
や横移動攻撃などの脅威に弱く、すべてのリモート・ユーザー
のアクセスをサポートするためにかなりの帯域幅コスト を必要とします。
ZTNAは、ビジネスへのセキュリティ提供を劇的に簡素化します。
プライベート・アプリケーションへのセキュアな直接接続により ネットワーク
の複雑さとコストを大幅に削減します、これにより、
セキュリティを維持するための企業の負担が軽減されます。
VPNは中間者攻撃(Man-in-the-Middle Attack)、
横移動攻撃(Lateral Movement Attack)などの脅威に対して脆弱である。
や横移動攻撃などの脅威に弱く、すべてのリモート・ユーザー
のアクセスをサポートするためにかなりの帯域幅コスト を必要とします。
ZTNAは、ビジネスへのセキュリティ提供を劇的に簡素化します。
プライベート・アプリケーションへのセキュアな直接接続により ネットワーク
の複雑さとコストを大幅に削減します、これにより、
セキュリティを維持するための企業の負担が軽減されます。
ZTNAはプライベート・アプリケーションへのセキュアなリモート・アクセスをサポートします。
従来のソリューションでは、
ユーザーはアプリケーションにアクセスするために企業ネットワークに接続する必要があった。
しかしZTNAでは、アクセスにゼロ・トラスト・ベースのセキュリティ・トンネルを使用するため、
企業ネットワークに接続することなくアプリケーションにアクセスできる。
ZTNAは、パブリック・ネットワーク内のインフラを完全に隠蔽します、
セキュアなリモートアクセス環境を提供し、ネットワーク脅威によるリスクを大幅に軽減します。
従来のソリューションでは、
ユーザーはアプリケーションにアクセスするために企業ネットワークに接続する必要があった。
しかしZTNAでは、アクセスにゼロ・トラスト・ベースのセキュリティ・トンネルを使用するため、
企業ネットワークに接続することなくアプリケーションにアクセスできる。
ZTNAは、パブリック・ネットワーク内のインフラを完全に隠蔽します、
セキュアなリモートアクセス環境を提供し、ネットワーク脅威によるリスクを大幅に軽減します。
ZTNAは、アプリケーションにアクセスするユーザーのきめ細かなアクセス制御を可能にします。
従来の境界ベースのセキュリティアプローチでは、
有効なログインキーを持つユーザーであれば、ネットワーク全体へのアクセスが可能でした。
ZTNAは、デバイスのポスチャーチェックと「知る必要性」
アプローチに基づく厳格なユーザー認証により、最小権限のアクセスを許可します。
ZTNAはアプリケーション固有のアクセスポリシーをサポートし、
複雑なネットワークセグメンテーションを不要にします。
従来の境界ベースのセキュリティアプローチでは、
有効なログインキーを持つユーザーであれば、ネットワーク全体へのアクセスが可能でした。
ZTNAは、デバイスのポスチャーチェックと「知る必要性」
アプローチに基づく厳格なユーザー認証により、最小権限のアクセスを許可します。
ZTNAはアプリケーション固有のアクセスポリシーをサポートし、
複雑なネットワークセグメンテーションを不要にします。
VPNとZTNAの違い
多くの企業は従来、エンドユーザーの企業ネットワークやリソースへの安全なアクセス管理の手段としてVPNを利用してきた。しかし、ハイブリッド・ワーク環境の台頭により、長期のリモート・ワーカーが増加し、拡張性の欠如やメンテナンス・コストの高さなど、VPNの限界が明らかになっている。さらに、パブリック・クラウド・サービスの採用が増加しているため、ネットワーク・セキュリティ境界の外側にいるリモート・ワーカーに一貫したセキュリティ・ポリシーを適用することが難しくなっている。
非効率的な従来のサービスに代わるものへの需要が急増しており、ZTNAはまさにこの需要に応えるソリューションです。
| VPN | ZTNA | |
|---|---|---|
| アクセス制御 | VPNは、有効なログイン認証情報を持つすべてのユーザーにネットワーク全体へのアクセスを許可します。ログイン・キーを所有する攻撃者は、ネットワーク・アクセスを取得し、横移動攻撃を試み、ビジネスに関わる重要な資産を盗む可能性があります。 | ZTNAは、組織のセグメント化されたアプリケーションへの最小特権アクセスを、許可されたユーザーのみに提供します。企業のコンプライアンス要件に従って、ユーザーと組織に異なるアクセス・ポリシーを適用し、横の動きやデータ漏洩などの脅威を効果的に防止します。 |
| デバイスの姿勢 | VPNは、ユーザーを企業ネットワークに接続する過程で、デバイスの独立したチェックを行いません。マルウェアやウイルスに感染したデバイスや、重要な脆弱性のアップデートが必要なデバイスからのネットワークアクセスは、企業ネットワークに重大な脅威をもたらす可能性があります。 | ZTNAは、企業アプリケーションにアクセスしようとするすべてのデバイスの姿勢を検証します。デバイスのセキュリティ・ポスチャーに基づいて、ZTNAはアダプティブ・アクセスを適用し、デバイス上で脅威が検出された場合は、セキュリティ・リスクを最小限に抑えるために接続を直ちに終了します。 |
| セキュリティ監視 | VPNでは、ユーザーが企業ネットワークに入った後の行動を可視化することができない。特に、ウェブやクラウドSaaSの利用といったアプリケーション・レイヤーに対する可視性がないため、セキュリティの観点からは脆弱である。 | ZTNAは、すべてのユーザーの行動をログに記録し、より深い可視性とリアルタイムのモニタリングを通じて、データ中心の制御を実施します。さらに、SIEMやEDRなどのサードパーティ・ソリューションと統合することで、セキュリティをさらに強化することができます。 |
| ユーザー体験 | VPNに暗号化とルーティング処理を追加すると、一時的にインターネットのパフォーマンスが低下する可能性がある。さらに、ユーザーの接続ポイントからVPNサーバーまでの物理的な距離や、ネットワーク・バックボーンに複数の中間ノードが存在することが、ユーザー・エクスペリエンスの妨げになることもある。 | ZTNAは、すべての使用トラフィックが、データセンターやバックホールを経由することなく、目的のセグメント化されたアプリケーションに直接接続されることを保証し、高速接続を保証します。 |
check compare table
AIONCLOUD ZTNA
Secure Remote Access
Secure Remote Access
AIONCLOUDのセキュアリモートアクセス(SRA)は、あらゆる場所やデバイスからプライベートアプリケーションへのきめ細かいゼロトラストアクセスを可能にするZTNAソリューションです。統合されたクラウドネイティブなセキュリティサービスとして、SRAはSSEサービスのセキュアインターネットアクセス(SIA)と組み合わせて、簡単に導入でき、従来のネットワークソリューションをシームレスに置き換えることができます。
SRAは、全ユーザー、全エンドポイント、全アプリケーション
のきめ細かなアクセス管理を可能にするシングルポイント・セキュリティ・ソリューションです。
のきめ細かなアクセス管理を可能にするシングルポイント・セキュリティ・ソリューションです。
複雑なネットワーク設定を必要とせず、迅速で簡単な導入でサービスを開始できる。
SRAは多要素認証(MFA)とシングルサインオン(SSO)をサポートしています。
AzureADやOKTAなどのIDプロバイダーと統合することで、
リモートアクセスのセキュリティを強化します。
AzureADやOKTAなどのIDプロバイダーと統合することで、
リモートアクセスのセキュリティを強化します。
すべてのユーザートラフィックは、AIONCLOUDのグローバルエッジを経由して、
企業のデータセンターまたはクラウドに送られます。
AIONCLOUDのエッジネットワークは、予期せぬネットワーク障害や遅延の問題など、
レガシーVPNが抱えるセキュリティ上の課題を完全に排除します。
企業のデータセンターまたはクラウドに送られます。
AIONCLOUDのエッジネットワークは、予期せぬネットワーク障害や遅延の問題など、
レガシーVPNが抱えるセキュリティ上の課題を完全に排除します。
クラウド・スケールのリモート・アクセスにより、
従来のアプライアンス・セキュリティ・モデルを悩ませていた容量の制約が解消されます。
クラウドプラットフォームの柔軟性と拡張性により、
特別な設定変更を必要とせず、必要に応じてユーザーを追加することができます。
従来のアプライアンス・セキュリティ・モデルを悩ませていた容量の制約が解消されます。
クラウドプラットフォームの柔軟性と拡張性により、
特別な設定変更を必要とせず、必要に応じてユーザーを追加することができます。
