what is ztna2

ZTNA(Zero Trust Network Access)の重要性とは?メリットなども解説!

働き方改革とコロナ禍の影響から、日本企業でもテレワークのリモート・在宅勤務の導入が増加しています。そして、テレワーク増加と比例して増加している事例がVPNの脆弱性を狙ったサイバー攻撃です。 そんななか、VPNのような境界型セキュリティでは防ぐことのできないサイバー攻撃に対応できる次世代のセキュリティとして注目されている概念が「ZTNA(Zero Trust Network Access)」です。ZTNAの概念やセキュリティモデルについての詳細は、こちらの記事で解説しています。 ZTNA(Zero Trust Network Access)とは?概念とセキュリティモデルを解説! 本記事では、次世代セキュリティとして注目されるZTNAの重要性と導入のメリットについて解説しています。ぜひ、最後までご覧ください。  

企業担当者必見!ZTNA(Zero Trust Network Access)の重要性とは?

ZTNAが注目されるようになった背景には、ITの技術や働き方の変化によって、VPNなどの従来の境界型セキュリティでは守り切れない事例が頻出してきたことが挙げられます。IT技術の変化や企業のクラウド環境への移行が進むとともに、求められるセキュリティ対策も変わってきました。そしてテレワークのリモート・在宅勤務の増加など働き方が急激に変化する中、リモートアクセスに対するセキュリティ対策を見直す必要があるという議論がはじまって、従来のVPNに代わる対策としてZTNAが注目されました。 それでは、なぜZTNAの導入が重要なのでしょうか?まずは、クラウド環境におけるZTNAの重要性について、詳しく解説していきます。

クラウド環境ではZTNAが重要!

近年、ランニングコスト削減効果や安価でスピーディーな環境構築などを目的にクラウド環境の導入・移行に踏み切る企業が増加傾向にあります。クラウド環境とは、離れた場所にあるシステムの本体(物理的なサーバなど)から、インターネットなどのネットワークを介して、ユーザにサービスを提供する形態のことです。 境界型セキュリティと呼ばれている従来のセキリティは、下記のポイントを軸に対策されています。
  • 外部ネットワークとの「境界線(ペリメータ)」でセキュリティ対策を行う
  • 内側(社内)と外側(社外)の接点における悪意のある第3者の存在
つまり、従来のセキュリティ対策としての考え方は、外側は信用できず内側は信頼できるという意識が働いていました。システムの本体が内側にあれば、従来のセキュリティ対策でも、悪意のある第3者からの攻撃は防げるでしょう。 しかし、クラウド環境で離れた場所にシステムの本体がある場合、境界型セキュリティでは攻撃を防ぐことはできません。それに対して、ZTNAは、ゼロトラストという「ネットワークの外側も内側も依存しない」という考えでセキュリティ対策を行うため、クラウド環境にも対応しています。だからこそ、クラウド環境に移行した企業や移行を考えている企業は、クラウド環境にある情報資産を守れるセキリティ対策として、ZTNAの導入は重要となります。

 VPNが安全な対策であると言えない理由は?

境界型セキュリティとして最も一般的で、テレワークでのリモート・在宅勤務での主流となっていた仕組みと言えば、VPNがあります。テレワークの推進やコロナ禍の影響でリモート・在宅勤務をする方が増加したことで、社内ネットワークに外部から安全にアクセスする際に使うVPNは急速に多くの企業に拡がりました。しかし、VPN製品の脆弱性が相次いで発見され問題となりました。そして、その脆弱性を利用したサイバー攻撃や攻撃者の侵入が次々と発覚し、もはやVPNは安全なセキュリティ対策ではないといわれています。  また、脆弱性があることだけでなく、VPNのような境界型セキュリティは「内側が安全」と考えられているため、他者のなりすまし攻撃に弱いという特性があります。そのため、社内ネットワークへの攻撃を防ぐことは困難といえるでしょう。

ZTNAは脱VPN事故に不可欠!

VPNを狙った悪意のある第3者によって、VPN事故(VPNの欠陥をついた攻撃による情報流出などの事故)が発生する可能性は十分あります。VPNは、もはや安全なセキュリティ対策とはいえなくなっており、一刻も早く「脱VPN」への対策が必要といえるでしょう。そして、そんな脱VPN対策として注目されている概念が、ZTNAの導入です。  

VPNの代わりに注目されるZTNA(Zero Trust Network Access)のメリットとは?

ZTNAであれば、VPNなどの境界型セキュリティでは守り切れない資産を守ることができますが、他にも下記のようなメリットが得られます。
  • アクセス速度が早まる
  • セキュリティが強固となる
  • 管理者の負担が減る
  • ユーザの増加に柔軟に対応できる
それでは、ZTNA導入におけるそれぞれのメリットについて、詳しくみていきましょう。

アクセス速度が早まる 

ZTNAは、VPNとは異なり、許可された限られたユーザしかネットワーク上のアプリケーションやデータにはアクセスができません。そのため、これまでより無駄なアクセスが減り、接続が最適化されたことでアクセス待ちの時間が短縮します。また、クラウド環境でVPNを利用したリモートワークは、下記のようなアクセス経路を辿ります。
  1. リモート端末
  2. 社内ネットワーク
  3. クラウド
そのため、社内ネットワークに対して、VPNアクセスとクラウドへのアクセスで2重に負担がかかることで速度が遅延しやすいという特性がみられます。ZTNAを導入すれば、効率的なクラウド利用が可能となるでしょう。

 セキュリティが強固となる

ユーザがIDとパスワードによる認証が通過すれば、ZTNAでは、アクセス権限を持つアプリケーションのみアクセスが可能となるよう権限の制御が可能です。もしユーザの端末が乗っ取られても、悪意のある第3者は限られたアプリケーションにしかアクセスできないため、被害を抑えられるでしょう。また、IPアドレスは許可されないユーザには公開されないため、IPアドレスの外部公開によるサイバー攻撃の軽減も期待できます。

 管理者の負担が減る 

VPNの場合、拠点ごとにアクセス制御ポリシー(保護リソースに対するアクセスをユーザに許可するか拒否するかを定義する一連の条件)の管理が必要です。ZTNAを導入すれば、組織全体のアクセス制御ポリシーがすべてクラウド上で一元管理できるため、拠点ごとに管理する必要がありません。そのため、管理者の負担が大きく軽減されるでしょう。また、ACL(アクセス制御リスト)も簡素化できることから、さらに管理者の負担は減るところは大きなメリットです。

ユーザの増加に柔軟に対応できる

VPNの場合、ユーザが増加すると、利用規模に対してサーバなどの性能や容量が負荷に耐えられません。そのようなシステム障害の発生を防止するためには、サイジングの必要性や急なユーザ追加に対して、柔軟に対応しなければなりません。しかし、ZTNAを導入すれば、性能による問題などの処理はすべてクラウド上で行えるため、急にユーザ増加があっても柔軟で迅速な対応ができます。  

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

脱VPNのセキュリティ対策として、ZTNAを選ぶ企業もあることでしょう。すでに、各企業からいくつものZTNA製品(ZTNAソリューション)の提供を開始しています。しかし、製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要。そして、導入するZTNA製品を見極める際のポイントとして、は、下記の4つが挙げられます。
  • セキュリティ能力
  • 情報の管理のしやすさ
  • 相互運用性の良さ
  • 問題が起きた際の対処・対応速度
これら4つのポイントからおすすめするZTNAソリューションといえば「Cloudbric RAS」があります。マルチ・クラウド上に構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティサービスです。  

さいごに

今回は、ZTNAの重要性やメリットなどについて解説してきました。セキュリティコンサルティングを世界的に展開しているガートナー社によると、現在「VPN」を利用している企業の約6割が、2023年までにZTNAへ移行すると予想しています。これまで、VPNは利用すべき安全対策といわれてきましたが、今の時代や環境に対応できていない事例が数多く報告されているのが現状。今後のテレワークを推進や会社のクラウド化を目指しているのなら、ぜひZTNAを導入して、脱VPNを検討してみてはいかがでしょうか。   ZTNA ソリューション「Cloudbric RAS」の詳細はこちら https://www.cloudbric.jp/cloudbric-ras/ ...
what is ztna

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

現代社会において、インターネットを利用するさまざまなサービスの通信手段としてVPN接続が活用されています。しかし、多くの利用があることもあり、VPN接続の脆弱性を悪用した第3者によるサイバー攻撃が年々増加しています。そして、VPN接続の脆弱性を悪用したサイバー攻撃・トラブルを解決できる新しいセキュリティとして注目されている仕組みが「ZTNA(Zero Trust Network Access)」ソリューションです。 本記事では、従来の境界型セキュリティからの転換を実現するZTNAについて解説しています。また、クラウド環境でのZTNAの重要性や従来のVPN接続を使い続けたときの危険性のうち、日本国内でのVPN関連事故の事例も紹介していますので、ぜひご覧ください。  

企業担当者必見!ZTNA(Zero Trust Network Access)の概念とは?

まずは、ZTNAの概念について解説します。ZTNAとは、「Zero Trust Network Access(ゼロトラストネットワークアクセス)」の略語です。ゼロトラストとは、ネットワークの外側も内側も何も信頼しないという概念です。従来のセキュリティは、外側は信用できなくても内側は信頼できるという概念で対策されていました。その理由は、悪意のある第3者からのサイバー攻撃から保護する対象(データ・情報)がネットワークの内側にあったためです。しかし、クラウド時代の到来により、現在は保護する対象がネットワークの外側に存在しているケースが主流を占めています。そのため、こうした保護する対象がネットワークの内側と外側に点在するようになったことで、従来のセキュリティ対策では守り切れない状況に陥っています。そこで、生まれた概念がZTNAです。 具体的には、「ゼロトラスト」の概念から考えられたセキュリティソリューション(コンサルティング・対策・運用監視・インシデント対応までをトータルサポートするセキリティ対策)を行います。

ZTAとの違いは?

ZTNAと同義の言葉に、ZTA(Zero Trust Architecture、ゼロトラスト・アーキテクチャ)があります。そもそも、アーキテクチャという言葉は、「建築(物)・建築術・建築様式、・構造・構成」などの意味を持ちます。そして、ITの分野では、コンピュータやソフトウェア・システム、あるいはそれらの構成要素などにおける、基本設計や共通仕様・設計思想などを指します。 つまり、ZTNAはゼロトラストの概念を取り入れたセキュリティソリューションのことであり、ZTAとの違いはゼロトラストの特徴をそのまま反映させたシステム構想を意味します。

VPNの代わりに注目されるZTNAのメリットとは?

VPN接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークのことで、インターネットを利用するさまざまなサービスの通信手段として利用されています。 基本的に、VPN通信は暗号化できることから、安全に通信可能と言われています。そのため、ネットワークの外側と内側の境界線を構築し、セキリティ強化が見込めます。 一方、ZTNAには境界線が存在しないことから、ネットワークの内側外側のどちらにも脅威が存在することを前提にセキュリティ対策を行わなければなりません。そのため、より強固なセキュリティ対策が行われる必要があります。  ZTNAのメリットには、下記の4つが挙げられます。
  • 高度なユーザ認証ができ、より詳細な制御が可能
  • 最小の権限での認可が可能となり、セキュリティ管理者の負担が軽減する
  • 端末ごとの信頼性評価で接続の可否を判断するため、乗っ取られても被害を最小限に抑えられる
  • ユーザに対する透明性がアップする
ZTNAの重要性やメリットについては、こちらの記事で詳しく解説しています。 ZTNAの重要性とは?メリットなども解説! 次章では、そんなZTNAのメリットを活かせるセキュリティモデルについて解説します。  

ZTNA(Zero Trust Network Access)のセキュリティモデルは?

次世代のセキュリティモデルと言われているZTNAには、「サービス主導型」「クライアント主導型」の2つのタイプが存在します。これら2つのタイプの解説と、ZTNAソリューションの例を紹介します。 「サービス主導型」は、SDP(Software Defined Perimeter)と呼ばれる概念を取り入れたタイプです。Webアプリケーション構築プラットフォームやソフトウェアを利用してアクセス制御やサイバー攻撃を防ぎます。通常、Web制作会社や開発会社が快適にアプリケーションを構築し、クライアントに提供できるようにするためのプログラムを採用します。 一方、「クライアント主導型」は、クライアントが必要に応じて、バックアップ・リカバリー処理を指示する方法を採用した形態であるため、クライアント主導型の方が、ユーザにとって導入しやすいといわれています。

ZTNAソリューションの例|Cloudbric RAS

「Cloudbric RAS(クラウドブリック・ラス)」は、マルチ・クラウド上構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティ・サービスです。既存のDirectConnectやVPNの構築などが不要で、DNS情報を変更するだけで利用開始でき、ユーザ向け認証用画面と管理者向け統合管理画面の2つのインターフェースを提供することが特徴です。 企業システムをドメイン単位で管理できるようになるため、複数のシステムが一元管理できることも大きな魅力です。また、認証セキュリティの強化によってZTNAだけでなく、従業員と企業の安全の確保でき、簡単かつ安全なテレワーク環境の実現できます。  「Cloudbric RAS」の詳細を確認する  

日本でのVPN関連事故の事例を紹介!

ここでは、VPN接続のリスクと関連事故の事例について紹介します。それでは、詳しくみていきましょう。

Pulse Secure社のVPN製品

2021年4月下旬、Pulse Secure社がVPN製品「Pulse Connect Secure」で深刻な脆弱性(CVE-2021-22893)が存在し、その脆弱性を狙ったサイバー攻撃による被害を受けていたことを発表しています。悪意のある第3者がこの脆弱性を悪用した場合、認証を回避して任意のコードを実行可能となります。同年5月に、この脆弱性を修正したバージョンが提供されており、日本国内での被害はありませんでした。  しかし、国内での悪用は確認されており、修正バージョンの提供まで約1か月間かかったことから、今後被害が確認される可能性もあるでしょう。 また、Pulse Secure社のVPN製品は、他にも下表のような脆弱性が確認されています。
バージョン 概要
CVE-2019-11510 HTTPS経由で送信・細工されたURIを処理することにより、任意のファイルが読み出される可能性
CVE-2019-11509 管理用Webインターフェースにログインしたユーザによって、PulseSecureアプライアンス上で任意のコードを実行される可能性
CVE-2019-11508 Pulse Connect SecureのNetwork File Share (NFS) の実装には脆弱性があり、認証されたユーザが悪意あるファイルをアップロードすることによって、ローカルシステム上に任意のファイルが書き込まれる可能性
CVE-2019-11542 管理用Webインターフェースにログインしたユーザから受け取った、細工されたメッセージを処理することによって、スタックバッファオーバーフローが発生する可能性
CVE-2019-11541 Reuse Existing NC(Pulse) SessionオプションでSAML認証を使用しているユーザの認証情報が漏えいする可能性
CVE-2019-11540 Pulse Secureには脆弱性があり、遠隔の攻撃者によって VPN サーバに接続するエンドユーザを対象としたセッションハイジャック攻撃が行われる可能性
CVE-2019-11539 管理用Webインターフェースにログインしたユーザによって、任意のコマンドが実行される可能性
CVE-2019-11538 Pulse Connect Secure の Network File Share(NFS) の実装には脆弱性があり、認証されたユーザによってローカルファイルシステム上の任意のファイルにアクセスされる可能性

Citrix社製品のVPN製品

2019年12月にCitrix社の一部のVPN製品で、任意のコードを実行可能な脆弱性(CVE-2019-19781)が確認されました。さらに2020年1月11日には、この脆弱性を悪用する攻撃コードが、インターネット上で公開されていることも確認されました。また、同年7月にも、Enterprise Cloud 2.0(ECL2.0)のロードバランサー(NetScaler VPX)メニューで提供しているCitrix社のNetScalerで、脆弱性(CVE-2020-8257/CVE-2020-8258)が確認されました。これらの脆弱性を狙って、国内外で継続した非常に多くのサイバー攻撃が行われたとのことです。  

さいごに

今回は、ZTNAの概念とセキュリティモデルについて解説してきました。コロナ禍の影響もあり、テレワークのリモート/在宅勤務を導入する日本企業が増えています。そのため、日本国内でもVPNの脆弱性を狙ったサイバー攻撃が活発化しています。これまでは、VPNだけでも安全に通信ができました。しかし、クラウド環境への変化に加え、働き方の多様化によって安全であるはずのVPN接続は安全ではなくなっています。時代の変化に合わせ、悪意のある第3者からの攻撃から重要な情報・データを守るためには、ZTNAを導入しVPN環境から脱することも検討する必要性が高まりつつあります。   ZTNA ソリューション「Cloudbric RAS」の詳細はこちら https://www.cloudbric.jp/cloudbric-ras/ ...