ゼロトラストネットワークアーキテクチャを採用すべきか?

Networking
2022年3月1日

ゼロトラストネットワークアクセスとは何か、その仕組みはどうなっているかを考察しながら、貴社がゼロトラストアーキテクチャを採用すべきかどうかついて見ていきます。

組織がリモートワークをサポートするプロセスやモデルへと移行する際は、セキュリティを最優先事項とすべきです。そこで登場するのが、安全が確認されるまですべてのユーザーを潜在的な脅威と見なす「ゼロトラスト」アプローチです。ゼロトラストネットワークアクセス (ZTNA) は、このトレンドの中核を担う機能です。

Gartner® は次のように述べています。「2024 年末までに、企業の 10% が、自社所有のキャンパス LAN でネットワークアクセス制御 (NAC) や組み込み型スイッチングセキュリティ機能を ZTNA に切り替えることが予想される。これは 2021 年のほぼゼロパーセントからの増加となる。」1

Gartner® による 2022 年予測の詳細については、当社のブログ記事をご覧ください。

クラウド業界において急速に大きな話題となっているのがゼロトラストです。ZTNA を使いこなしたいという場合は、以下で ZTNA の仕組みと、ゼロトラストアーキテクチャの採用を検討すべきかどうかについてご覧ください。

ZTNA とは?

ゼロトラストネットワークアクセス (ZTNA) とは、企業のアプリケーションの周りに、アイデンティティやコンテキストに基づいた論理的なアクセス境界を作成するプロダクトまたはサービスです。簡単に言えば、すべてのエンドポイントを敵対的なものとして取り扱うネットワーク設定です。この設定は、アプリケーションが検知されないように保護し、アクセスを許可された限定的なエンティティ (通常は組織のリモート従業員) に制限するものです。

トラストブローカーがこれらの制限を制御し、アクセスが許可される前に各エンティティのアイデンティティ、コンテキスト、ポリシー遵守状況を確認します。さらに、これらのエンティティは、サイバー脅威に対するネットワークの露出を最小限に抑えるために、セッション中に許可されたアプリケーションからネットワーク内の別の場所に移動することを禁止されています。

ZTNA を実現するために、企業のネットワークチームは、ほとんどのネットワークスイッチングや管理機能セットで見られるフィルタリング、プロファイリング、エンドツーエンドセグメンテーションなどのセキュリティ機能を組み込まずに企業ネットワークを編成します。その代わりに、こうした機能をクラウドサービスに置き換え、そこからアプリケーション認証と承認のリクエストをパブリッククラウドの Points of Presence (PoP) に送信します。つまり、セキュリティ管理プロセスがクラウドに移管されるということです。ZTNA がネットワークに与える負荷の増大によって生じる、アプリの可用性、帯域幅、パフォーマンスの低下の可能性を軽減する役割は、ローカルゲートウェイが担います。

企業のネットワークに ZTNA アプローチを採用することは、アダプティブトラストモデルと呼ばれる、条件付きではくケースごとに信頼性が付与されるモデルにつながります。このアプローチにより、特にハイブリッド型やリモートワーク型の職場では、サイバー攻撃の可能性が大幅に低減されます。

ZTNA を採用すべきか?

サイバー攻撃の技術は常に進化しているため、サイバーセキュリティを強化することは常に良いアイデアだと言えます。特に、ハイブリッドワークフォースを導入済み、あるいは導入に向け移行中の企業は、ネットワーク全体にマルウェアが拡散するリスクを低減するため、ゼロトラスト戦略を検討すべきです。

他のネットワークアクセス制御 (NAC) ソリューションに比べると、ユーザーからアプリケーションへのセキュリティプロセスのセグメント化することで、よりシンプルで強力なセキュリティがもたらされます。さらに、他の多くの NAC ソリューションと比較してコストが下がるという追加の利点もあります。

また、ZTNA はその仮想的な性質により、既存の多くのセキュリティソリューションよりも構築が容易で、手軽な価格となっています。さらに、接続元やネットワークに関係なく、一貫した接続体験を提供します。

ただし、ZTNA を検討する際に留意すべき重要な点は、アダプティブトラストビジネスモデルを採用するには、企業ネットワークに対する視点を変える必要があるということです。何らかの明確な対抗手段が確立されるまで、すべてのネットワークアクセスユーザーを敵対的なものとして取り扱うプロセスを全社的に導入するには時間がかかることがあります。

ZTNA を使い始めるにはどうすればよいか?

Gartner は次のように提案しています。「ZTNA や SASE、その他のクラウドネットワーキングオファリングに対して 1～3 年の短期投資を行うことで、ニーズの変化やベンダーの動向に柔軟に対応できるようにする。」1

ZTNA を使い始めるには、企業が使用している従来の VPN を置き換えた後、ネットワークファブリックをキャンパスや企業 LAN 全体に拡張する方法を検討するのが最善です。

ZTNA はさまざまなベンダーから提供されていますが、汎用的なソリューションはありません。

ベンダーを選ぶ際は、従業員から下請業者、納入業者まで幅広いワークフォースをリモートやオンプレミスで制御するためのレールを敷いてくれるベンダーを探します。評価段階では、エンドポイント管理者と協力して社内 IT 管理システムをクラウドに移行することも重要です。

ZTNA 投資を最適化するには、堅牢でマニュアルが充実した API を備え、契約制ではなく従量課金制で提供される軽量な「クラウド対応」プロダクトを優先します。2022 年においては、このような俊敏性が、長く使える物理インフラストラクチャに投資することよりも重要になっています。

2022 年にネットワークセキュリティを確保する方法の詳細をご覧ください。

ZTNA と Megaport

ローカルアプリケーションアクセスで発生する可能性がある潜在的な遅延時間を相殺するために、ZTNA を採用する企業は、低遅延で拡張性に優れたオンデマンド型プライベート接続プラットフォームの活用を検討する必要があります。ゼロトラストネットワーク編成を支えるためにソフトウェア定義ネットワーク (SDN) を構築することで、 ZTNA の効率と制御がさらに向上し、長期的な成功に必要な柔軟性と拡張性がもたらされます。

クラウドネットワークを Megaport のプライベート SDN で補強すれば、Megaport Portal で、ポイント、クリック、接続という手軽さで、接続をプロビジョニングし、管理できます。当社の拡張性に優れたネットワークは、ゼロトラストネットワークをオンデマンドで見直して拡張するための俊敏性を提供します。

Megaport API でネットワーク接続のプロビジョニングと管理を自動化することで、時間と労力も節約できます。ISO/IEC27001 セキュリティ認証を取得済みの Megaport は、情報セキュリティ管理の分野で国際的に認められた規格を遵守する信頼の置ける企業です。

**結論

ネットワークを保護する上で、ZTNA は見過ごせない存在だということです。ZTNA を採用して最前線に立ちましょう。しかし、ゼロトラストネットワークの俊敏性、拡張性、持続可能性を確保するには、移行の前に適切な準備を行う必要があることを忘れないでください。

ZTNA を採用する準備は整いましたか?Gartner Predicts Report をダウンロードして、究極のハウツーガイドをご覧ください。

1 Gartner®, Predicts 2022:Connecting the Digital Enterprise, By Andrew Lerner, John Watts, Joe Skorupa, 2 December 2021.

SWG と SD-WAN が連携する仕組み

Gartner® Predicts 2022 によると、2025 年までに、企業の 40% が同じベンダーから SD-WAN とクラウド対応 Secure Web Gateway (SWG) を採用するとのことです。これは、2021 年 8 月の 5% 未満からの増加になります。この予測が貴社にとって何を意味するかを解説します。新型コロナウイルス感染症が蔓延した期間、多くの従業員が在宅勤務となりました。この人口動態とコンピューターおよびネットワークへの依存から、企業はネットワークのセキュリティと信頼性をさらに強化する必要がありました。 2025 年までに、約 22% のアメリカ人 (約 3,620 万人) がリモートワーカーになる見込みです。これは、「パンデミック前の水準から 87% 増」という驚くべき数字です。現在、リモートワーカーが多い分野は、医療 (15%)、技術 (10%)、金融サービス (9%) ですが、そのすべてに破壊的なデータ漏洩に対する脆弱性がみられます。この急激な変化によって、IT 部門の多くがネットワークのセキュリティ確保に頭を悩ませています。人為的なミスによって、ハッカーの思うつぼになることが多いからです。その要因は、パスワードの脆弱性、パッチの不備から、ネットワークへのアクセス権限があるユーザーの管理の甘さまで多岐にわたります。IBM Security の『Cost of a Data Breach (データ漏洩のコスト)』レポート (2021 年) によれば、リモートワーカーが関与した可能性があるデータ漏洩件数は約 5% に過ぎませんが、リモートワークがその原因の一部となってからの平均コストは 107 万ドルを超えたそうです。医療保険請求事務所などのクローズドシステムでは、ユーザーが内部ケーブルやその他のハードウェアを介して接続されたリモートアクセス仮想プライベートネットワーク (VPN) を通じてコンピューターファイルにアクセスします。しかし、従業員が在宅勤務中に社内のソフトウェア定義ワイドエリアネットワーク (SD-WAN) を介して会社のリソースにアクセスしていると、データは攻撃にさらされやすくなります。クラウドベースの Secure Web Gateway (SWG) を Secure Access Service Edge (SASE) の一部としてインストールすることで、このリスクを低減できます。

インターネット接続がビジネスにダメージを与えていますか？

クラウドへの接続方法の正しい選択は、ビジネスの成功を左右する可能性があります。では、インターネットの使用を避けるべきですか? それともクラウドネットワークを利用できますか? クラウドベースのサービスは多くの企業に不可欠であり、いつでもどこでも接続できる仮想オフィスと柔軟性を従業員に提供します。しかし、デジタル相互接続のユースケースが増えるにつれ、_なぜ_クラウドベースのソリューションを企業に取り入れる必要があるのか、という疑問は少なくなり、_どの_タイプのクラウドベース接続を使用すべきか、と考えるようになりつつあります。パブリッククラウドのネットワークおよび接続方法 (パブリックインターネット) は、ビジネスワークロードに接続するために最も一般的かつ簡単な方法のひとつとして使用され、多くの企業に人気があります。しかし、必ずしもお客様の企業に最適なオプションと言えるでしょうか? パブリックネットワークとプライベートネットワークまず、パブリック接続とプライベート接続の違いを考えてみましょう。プライベートクラウドネットワークは、その名のとおり、他の組織と共有されません。プライベートクラウドサービスへのコンピューティングリソースと接続方法はすべて、安全なプライベートネットワーク経由で提供され、単一ビジネス専用として使用されます。大企業は独自のネットワーク、データセンターラックなどを設計、使用する場合がありますが、Network as a Service (NaaS) プロバイダーを通じた既存のプライベートネットワーク層の活用は、ほとんどの企業にとって、はるかに柔軟かつ手頃な価格のオプションとなっています。その一方、パブリッククラウドネットワークには、パブリックインターネットに依存するクラウドプラットフォームと接続方法が使用されます。つまり、それらは異なる顧客や企業間で共有されます。データとアプリケーションは、他の顧客に非表示になりますが、保護はされません。一見、パブリッククラウドネットワークは、コスト効率に優れ、簡単にプロビジョニングできるように見えます。しかし、パブリックインターネットのみに依存したビジネス接続の支持に注意を払うべき理由がいくつかあります。パブリックインターネットの欠点セキュリティ侵害クラウドに関して企業が抱える最大の悩みのひとつは、安全性です。クラウドは通常、安全ですが、常に安全な環境を確保することに依存します。しかし、ハッカーやサイバー犯罪者が、プライベート接続よりもより簡単にパブリッククラウドおよび接続パスへ侵入することを防ぐことはできません。クラウドネイティブのビジネス状況では、クラウドプラットフォームが、多くの個人情報および財務情報を処理します。ただし、データがパブリックネットワークを通過しなければならない場合、多くの自律システム (AS) パスを通る必要があるため、長時間セキュリティの脅威にさらされることになります。また、エンドツーエンド暗号化や Firewall as a Service (FWaaS) 機能の組み込み無しでは、データの安全を運に任せるしかありません。情報の漏洩により、顧客対応の問題が生じた場合、お客様のクラウドプロバイダーではなく、お客様のブランドが責任を負わなければなりません。ネットワークの統合は、サイバー攻撃を回避する重要な要素かもしれません。詳しくはこちらをご覧ください。コストの上昇一般的に、パブリッククラウドの全体的なセールスポイントは、コスト効率に優れていることですが、必ずしもそうではありません。当初、パブリッククラウドソリューションは、コスト効率に優れていたかもしれませんが、そのようなコストは、手に負えなくなる可能性があります。理由のひとつとして、ほとんどのクラウドプロバイダーがデータをパブリックインターネットに移動するために、プライベートネットワーク層に移動するよりも高額のエグレス料金を請求します。さらに、低い冗長性と効果の低い災害復旧により、パブリックネットワークユーザーに頻繁なダウンタイムが生じると、大きな損失をもたらす可能性があります。Gartner によると、その額は 1 分あたり 5,600 米ドルにも及びます。この額は、ボトルネックおよびダウンタイムによって生じる生産性の低下を考慮した場合のみに増加します。その額を数か月にわたり、大企業に対してスケーリングすると、非常に高いコストが生じることがわかります。パブリッククラウドでは、事前の資本コストを必要とせずインスタントアクセスが可能な一方、企業は独自の機器を実装し、代替クラウドベースソリューションを取り入れることが、より費用対効果の高いオプションであるかどうかを考慮する必要があります。