ztna
製品とサービス 製品とサービス

ZTNA (ゼロトラストネットワークアクセス) とリモートアクセス VPN の比較

リモートアクセス VPN は長い間利用されてきましたが、最近のリモートワークの増加により、この古い技術の限界に注目が集まっています。

** 本記事は、Zero trust network access (ZTNA) versus remote access VPN の翻訳です。最新の情報は英語記事をご覧ください。**

リモートアクセス VPN は、数十年前からほとんどのネットワークの定番となっており、ネットワーク上のシステムやリソースにリモートで安全にアクセスする方法を提供しています。しかし VPN は、オフィスにいるときと同様の体験を模倣するために開発されたため、一旦 VPN の中に入ると、あらゆるものに広くアクセスできてしまいます。

一方、ZTNA (ゼロトラストネットワークアクセス) の特徴は「何も信用せず、すべてを検証する」という一文に集約されます。これは、接続が認証され、承認され、リソースへのアクセスが許可されるまで、ネットワークへの接続は敵対的なものとして扱われるという原則に基づいています。

簡単に言えば、仮想プライベートネットワーク (VPN) は幅広いネットワークアクセスを提供し、ZTNA は特定のアプリケーションへのアクセスを提供します。

従来のリモートアクセス VPN と ZTNA の比較

従来のリモートアクセス VPN と ZTNA の間には、いくつかの違いがあります。ここでは、信頼性、デバイスの健全性、管理などについて、重要なものをいくつか紹介します。

信頼性

リモートアクセス VPN では、ユーザーはリソースへの幅広いアクセスを黙示的に信頼されますが、これは深刻なセキュリティリスクを生み出す可能性があります。

ZTNA は、各ユーザーとデバイスを個別に扱い、ユーザーとデバイスがアクセスを許可されたリソースのみを利用できるようにします。ユーザーにネットワーク上の完全な移動の自由を与える代わりに、アクセスが許可されたアプリケーションの特定のゲートウェイとユーザーとの間に、個別のトンネルが設けられます。

デバイスの健全性

リモートアクセス VPN は、接続するデバイスの健全性を認識することができません。危険なデバイスが VPN 経由で接続した場合、ネットワークの残りの部分に影響を与える可能性があります。

ZTNA は、デバイスのコンプライアンスと健全性をアクセスポリシーに統合し、コンプライアンスに準拠していなかったり、感染していたり、または侵害されているシステムを、企業のアプリケーションやデータへのアクセスから除外するオプションを提供します。これにより、データの窃取や漏洩のリスクを大幅に軽減できます。

リモート接続

リモートアクセス VPN は、ネットワーク上に単一の POP (ポイントオブプレゼンス) を提供します。これは、複数の場所、データセンター、またはアプリケーションからのトラフィックを、リモートアクセス VPN トンネルを通じて非効率的にバックホールする可能性があることを意味します。

ZTNA は、自宅、ホテル、喫茶店、オフィスなど、どのような接続ポイントからでも同様に安全に機能します。接続管理は、ユーザーとデバイスの所在地に関係なく安全かつ透過的に行われるため、ユーザーがどこで作業していても接続が途切れることはありません。

ZTNA は、リモートデスクトッププロトコル (RDP) セッションのセキュリティ管理強化にも最適な方法です。よく知られている RDP の課題には、デフォルトポートの露出、多要素認証 (MFA) がサポートされないこと、広範なネットワークアクセス、そしてもちろんセキュリティの脆弱性などがあります。RDP サーバーの脆弱性や誤って開いてしまった RDP 接続は、攻撃者に直接悪用される可能性があります。攻撃者はそれらを悪用することで信頼できる RDP ユーザーとして自身を認識させることができます。 しかし ZTNA では、このようなユーザーは認証機能によって敵対者として扱われます。

可視性

リモートアクセス VPN は、自身が使用しているトラフィックと使用パターンを認識できないため、ユーザーアクティビティとアプリケーションの使用状況を可視化することが難しくなります。

ZTNA のアクセスはマイクロセグメント化されているため、アプリケーションのアクティビティを詳細に可視化できます。これにより、アプリケーションの状態の監視、キャパシティプランニング、ライセンス管理と監査がより簡単になります。

ユーザーエクスペリエンス

リモートアクセス VPN のクライアントは、長い応答時間やパフォーマンスへの悪影響、接続性の問題、一般的なヘルプデスクへの負担など、ユーザーエクスペリエンスが非常に低下する場合があることが知られています。

ZTNA は、必要に応じて自動的に安全な接続を確立することにより、スムーズで安定したエンドユーザーエクスペリエンスを提供します。すべてがバックエンドで処理されるため、ほとんどのユーザーは、ZTNA ソリューションがデータの保護を一役買っていることに気付くことがないでしょう。

管理

リモートアクセス VPN のクライアントは、設定、展開、新規ユーザーの登録、および退職したユーザーの登録解除が困難です。また VPN は、ファイアウォールやゲートウェイ側での管理も困難です。複数のノード、ファイアウォールのアクセスルール、IP 管理、トラフィックフロー、ルーティングなどの管理が必要な時は特に大変で、多くの手間がかかります。

ZTNA ソリューションは、よりスムーズかつシンプルで、展開や管理も簡単です。また、ユーザー、アプリケーション、デバイスの出入りが激しい環境でも俊敏に対応できるため、日々の管理を迅速かつ容易に行うことができます。

ZTNA ソリューションに求められるもの

各ベンダーの ZTNA ソリューションを比較する際には、以下のような重要な機能を考慮する必要があります。

クラウドで提供されクラウドで管理されるか

クラウド管理によって、迅速な立ち上げと運用、管理インフラの削減、簡単な展開と登録、どこからでもどのデバイスからでもアクセスできる安全性など、多大なメリットを享受することができます。

他のサイバーセキュリティソリューションとの統合

ほとんどの ZTNA ソリューションはスタンドアロン製品 (単独で動作している製品) として完全に機能しますが、ファイアウォールやエンドポイントなど、他のサイバーセキュリティ製品と緊密に統合されたソリューションを導入することで大きなメリットが得られます。共通の統合クラウド管理コンソールは、トレーニング時間や日常的な管理のオーバーヘッドを削減するための強力なツールとなり得ます。

テレメトリを共有している場合は特に、さまざまな IT セキュリティ製品の情報を取り込んだ優れた情報を得ることができます。これによりセキュリティが劇的に強化され、ネットワークに侵入したデバイスや脅威に対してリアルタイムに対応できるようになります。

ユーザーエクスペリエンスと管理エクスペリエンス

導入を検討されているソリューションによって、優れたエンドユーザーエクスペリエンスと容易な運用管理の両方を得られるか確認してください。リモートで仕事をするユーザーが増える中で、新規ユーザーの生産性をできるだけ早く向上するためには、登録と効率的なデバイス設定が重要になります。

ZTNA エージェントの導入方法と、新しいユーザーをポリシーに追加するのがどれくらい簡単かということに注意を払う必要があります。また投資するソリューションが、エンドユーザーにとってスムーズで摩擦のないエクスペリエンスを提供するものであることも確認してください。さらにそのソリューションが、アプリケーションのアクティビティを可視化し、ピーク時の負荷、キャパシティ、ライセンス使用量、さらにはアプリケーションの問題を特定できるかどうかも確認してください。

Sophos ZTNA

Sophos ZTNA は、ゼロトラストネットワークアクセスを簡単に、統合的に、安全に実現するために一から設計されています。

Sophos ZTNA はクラウドで提供、管理され、世界で最も信頼されているサイバーセキュリティプラットフォームである Sophos Central に統合されています。Sophos Central では、ZTNA だけでなく、ソフォスのファイアウォール、エンドポイント、サーバー保護、モバイルデバイス、クラウドセキュリティ、メール保護など、さまざまな機能を管理することが可能です。

Sophos ZTNA は、Sophos Firewall と Sophos Intercept X で保護されたエンドポイントの両方と緊密に統合する点でも独自性があります。それによりファイアウォール、デバイス、ZTNA、Sophos Central の間でデバイスの状態をリアルタイムに共有して、脅威やポリシーを遵守していないデバイスに自動的に対応することが可能です。Sophos ZTNA は、24 時間体制の管理者のような役割を果たし、侵害されたシステムがクリーンアップされるまで、自動的にアクセスを制限し隔離します。

ソフォスのお客様は、完全に統合されたソフォスのサイバーセキュリティソリューションがもたらす時間短縮のメリットについて高く評価しています。脅威の自動識別と応答のためにソフォスの製品群を併用することで、IT チームの規模が 2 倍になったような効果があると言われることもあります。もちろん Sophos ZTNA は他のベンダーのセキュリティ製品とも連携できますが、ソフォスの他のエコシステムと連携させることで、可視化、保護、応答について明確な恩恵をもたらします。

詳細については Sophos.com/ZTNA を参照してください。トライアルもぜひお試しください。