Sophos ZTNA のアーリーアクセスプログラム (EAP) の開始日が近づいてきました。そこで、このソリューションに関して数多く寄せられているご質問にお答えしたいと思います。
本記事で ZTNA への理解を深めていただき、アーリーアクセスプログラムに登録された方には EAP の開始日をいち早くお知らせいたします。
アーリーアクセスプログラムへの登録
アーリーアクセスプログラムの開始は 3 月上旬を予定しています。詳しい情報と登録方法については、sophos.com/ztnaをご覧ください。
Sophos ZTNA に関するよくある質問
ZTNA とは何ですか?
ゼロトラストネットワークアクセスについては、わかりやすくまとめられたこちらの記事 (リンク先: 英語) を参考にしてください。
リモートアクセス VPN と比較した場合、ZTNA のメリットは何ですか?
リモートアクセス VPN のサービスは今後も継続されますが、ZTNA には、重要なアプリケーションやデータに接続するユーザーにとってより魅力的なソリューションとなる、次のような数多くのメリットがあります。
- よりきめ細やかな制御: ZTNA を使用すると、アプリケーションやデータにアクセスできるユーザーをより詳細に制御できるようになるため、ラテラルムーブメントを最小限に抑え、セグメンテーションを改善できます。VPN は「ゼロか 100 か」であるため、いったんネットワークに接続すると通常はすべてのものにアクセスが可能になります。
- セキュリティの強化: ZTNA は「絶対的な信頼」を排除し、アクセスポリシーにデバイスのステータスとセキュリティ状態を組み込んで、セキュリティをさらに強化します。VPN ではデバイスのステータスは考慮されないため、セキュリティ侵害を受けたデバイスや非準拠デバイスに対して、アプリケーションデータが危険にさらされる可能性があります。
- 従業員の登録が容易: ZTNA では、新規雇用者、特にリモートワーカーのロールアウトや登録が非常に簡単になります。VPN のセットアップと導入のほうが、課題が多く困難です。
- 透明性: ZTNA では接続管理がシームレスであるため、「Just Works (確認なし)」の透明性がユーザーに提供されます。VPN は簡単ではなく、サポートへの問い合わせが発生しがちです。
Sophos ZTNA は何で構成されていますか?
Sophos ZTNA は、クラウドで提供・管理されるまったく新しい製品で、重要なネットワークアプリケーションをきめ細やかな制御で簡単かつ透過的に保護します。アーリーアクセスプログラム (EAP) の開始が予定されています。
Sophos ZNTA は次の 3つの要素で構成されています。
- Sophos Central – Sophos ZTNA をはじめ、すべてのソフォスの製品群に究極のクラウド型管理とレポートソリューションを提供します。Sophos ZTNA は、簡単な導入、きめ細かいポリシー管理、クラウドからの洞察に優れたレポートを提供する Sophos Central で使用できる、完全なクラウド対応製品です。
- Sophos ZTNA Gateway – ネットワークアプリケーションを保護するためのさまざまなプラットフォーム用の仮想アプライアンスとして、オンプレミスまたはパブリッククラウドで提供されます。AWS と VMware ESXi のサポートの次には Azure、Hyper-V、Nutanix などが予定されています。
- Sophos ZTNA Client – ID とデバイスのセキュリティ状態に基づいて、制御下にあるアプリケーションに対する透明でシームレスな接続をエンドユーザーに提供します。この製品は、Synchronized Security for Heartbeat とデバイスのセキュリティ状態とを統合します。ワンクリックするだけで Intercept X と同時にインストールできるオプションを使用すれば、Sophos Central から非常に簡単に導入できます。あるいは、任意のデスクトップ AV クライアントとスタンドアロンで動作させることができます (Windows Security Center からセキュリティ状態を取得)。今後の予定では、最初に Windows をサポートし、続いて macOS、Linux とモバイルデバイスプラットフォームの順でサポートします。
Sophos ZTNA が利用可能になるのはいつですか?
EAP (アーリー アクセス プログラム) の第一弾は、3 月上旬に開始予定です。発売は 2021年半ば頃を予定しています。EAP へはこちらから登録していただけます。
ZTNA に適しているのは、どのタイプのアプリケーションですか?
Sophos ZTNA は、企業のオンプレミスネットワーク、もしくはパブリッククラウドやその他のホスティングサイトでホストされるネットワークアプリケーションを保護します。ネットワークファイル共有への RDP アクセスから Jira、Wiki、ソースコードリポジトリ、サポートおよびチケットアプリなどのアプリケーションまで、すべてが対象です。
ZTNA は、Salesforce.com や Office365 のような SaaS アプリケーションを保護できません。これは、これらのアプリケーションが、多くのクライアントへサービスを提供しているパブリックインターネット接続アプリケーションであるためです。これらのアプリケーションへのセキュアなアクセスは、SaaS ベンダーとアプリケーションによって提供されており、多くの場合、多要素認証によってセキュリティが強化されています。
どのクライアント、ゲートウェイ、ID プラットフォームがサポートされますか?
- クライアントプラットフォームでは、最初はすべてのクライアントプラットフォーム (EAP1)、ネイティブ Windows サポート (EAP2 と GA) および macOS サポート (2022 年初め) でのクライアントレスのオプションが含まれ、その後 Linux とモバイルデバイスプラットフォーム (iOS および Android) の順で発表されます。デバイスのセキュリティ状態の評価は、最初は Synchronized Security Heartbeat (EAP2 と GA)、続いて Windows Security Center (2022 年初め) で行われ、将来的には追加のデバイス評価が統合される予定です。
- ゲートウェイプラットフォームでは、仮想アプライアンスのみ (ハードウェアを含まない) とし、最初は EAP1 で VMware ESXi 、EAP2 と GA で AWS パブリッククラウドを予定しています。これは今後、Azure、Hyper-V、Nutanix、K8S、GCP などの他のプラットフォームにも拡張されます。
- ID プラットフォームについては、Sophos ZTNA は最初に EAP1 で Azure Active Directory (AD) と EAP2 で Okta をサポートします。EAP 2 と GA でサポートされるディレクトリサービスには、Azure とオンプレミスの AD (Sophos Central が現在サポートしている AD Sync を含む) が含まれます。お客様は、今後のリリースで提供されるサードパーティ製の MFA ソリューションのサポートにより、すぐに Azure の MFA オプションを利用できます。
ZTNA はスタンドアロン製品ですか、それとも別のソフォス製品が必要ですか?
Sophos ZTNA はスタンドアロン製品で、別のソフォス製品を必要としません。無料である Sophos Central により管理されており、お客様がほかのソフォス製品をお使いの場合は数多くのメリットがあります。Intercept X と同時に簡単に導入できますが、Intercept X は必須ではありません。Sophos ZTNA は、あらゆるベンダーのデスクトップ AV またはファイアウォールと連動できます。
Sophos ZTNA クライアントの導入はどのように機能しますか?
Sophos ZTNA は、Sophos Central を介してデバイスを保護する際に、Intercept X およびデバイス暗号化機能と一緒に導入できるオプションです (下図参照)。
ZTNA は Sophos XG Firewall および Intercept X と統合されますか?
Sophos ZTNA は、XG Firewall および Sophos Intercept X と完全に互換性があり、Security Heartbeat を利用してデバイスのセキュリティ状態を評価します。評価の結果は、ZTNA ポリシーで使用することができます。
前述したように、ZTNA クライアントの導入は、Intercept X のロールアウトの一環として簡単に実行できます (チェックボックスをオンにするだけです)。当然ながら、Sophos ZTNA は他のベンダーのデスクトップ AV やファイアウォール製品と完全に連動しますが、XG Firewall や Intercept X などのソフォス製品との連携でより優れた効果を発揮します。
ライセンスと価格設定はどのような仕組みになっていますか?
Sophos ZTNA は、ソフォスのエンドポイント製品と同様に、ユーザーデバイスごとではなくユーザーごとにライセンス供与されます。つまり、ユーザーが 3 台のデバイスを所有している場合でも、必要なライセンスは 1 つだけです。
お客様は、全アプリケーションを保護するのに必要な数の ZTNA ゲートウェイを導入することができます。ゲートウェイまたは Sophos Central 管理に料金はかかりません。
次のものと ZTNA とを比較した場合
DUO?
Duo は、多要素認証 (MFA) に重点を置いた ID テクノロジープロバイダーで、ユーザーによる ID 確認を支援します。ID と MFA の 2 つ、つまり Duo は ZTNA ソリューションの一部です。また、ZTNA はデバイスのセキュリティ状態も検証します。Sophos ZTNA はまず、Azure MFA をサポートし、最終的には Duo やその他の MFA ソリューションなど、Azure と統合するあらゆるID プロバイダーをサポートする予定です。
NAC?
NAC テクノロジーと ZTNA テクノロジーは、どちらもアクセスを提供するものですが、類似点はそれだけです。NAC (ネットワークアクセスコントロール) は、ローカルのオンプレミスネットワークへの物理的なアクセスを制御することに焦点を当てています。一方、ZTNA は、データと特定のネットワークアプリケーションがどのネットワークにあるかに関係なく、アクセスを制御することを重視しています。
VPN?
リモートアクセス VPN は十分なサービスを提供してくれますが、ZTNA には上記で概説した VPN よりも優れた数多くのメリットがあります。当然ながら、状況によっては VPN の方がソリューションとして適していることもあります。たとえば、IT 部門などの少人数のユーザーがネットワークアプリケーションやサービスを管理するために幅広いアクセスが必要な場合です。
確かに VPN はサイト間接続に役立ちますが、ほとんどの組織のユーザーにとって ZTNA は、リモートアクセス VPN に取って代わり、より透過的で簡単でありながらも、さらにきめ細かで強化されたセキュリティソリューションを提供します。
ファイアウォール?
ZTNA は、VPN と同様、ファイアウォールにとって有用です。企業のネットワークやデータセンターのアセットを攻撃、脅威、不正アクセスから保護するうえで、ファイアウォールは以前と変わらず非常に重要な役割を果たしています。ZTNA は、クラウドまたはオンプレミスのネットワークアプリケーションに対し、きめ細やかな制御とセキュリティを追加することで、ファイアウォールを強化します。
WAF?
WAF と ZTNA は、さまざまなタイプのアプリケーションをさまざまなタイプのユーザーから保護するように設計されています。WAF は、ファイアウォールや脅威検知、SQL インジェクション攻撃対策のような他のセキュリティ強化を提供することで、パブリックアプリケーションを保護するように設計されています。ZTNA は、内部アプリケーションへのアクセスを制御するように設計されています。パブリックアクセスを提供するためのものではなく、実際には、パブリックユーザーが ZTNA で保護されたアプリケーションにアクセスできないようにするために設計されています。
Synchronized Security?
ZTNA および Synchronized Security は、どちらもデバイスのセキュリティ状態に基づいてネットワークアクセス権限を判断する、という点で概念的には似ています。実際、Sophos ZTNA は、デバイスのセキュリティ状態を評価する際の重要なコンポーネントとして Security Heartbeat を使用します。
ユーザーの所有しているデバイスの Heartbeat が赤色である場合、ファイアウォールでネットワークアクセスが制限できるように、ポリシーによってアプリケーションアクセスを制限することができます。しかし、ZTNA は、ユーザー ID 検証機能を統合することで、Synchronized Security よりもさらに機能が強化されています。
また、ZTNA は、アプリケーションに対する権限やアクセスの制御に重点を置く一方、 Synchronized Security は脅威への自動対応や脅威によるデータの移動や盗難を防止することに重点を置いています。
SASE?
SASE (Secure Access Service Edge、読み方「サシー」) は、ネットワーキングとセキュリティのクラウドデリバリーに関するもので、ファイアウォール、SD-WAN、セキュア Web ゲートウェイ、CASB、ZTNA など、クラウドを介してあらゆるネットワーク上のあらゆる場所でユーザーを保護するために設計された数多くのコンポーネントで構成されています。このように、ZTNA は SASE のコンポーネントであり、SASE 戦略全体において非常に重要な部分です。
Sophos ZTNA についての詳しい情報とアーリーアクセスプログラムへのお申し込みは、Sophos ZTNA の Web サイトをご覧ください。