世界でZTNA 2.0が必要とされる理由

This post is also available in: English (英語) 简体中文 (簡体中国語) 繁體中文 (繁体中国語) 한국어 (韓国語)

ゼロトラストへの関心が最近爆発的に高まっていますが、その原因の一端は、名前がキャッチーであることに加え、サイバーセキュリティ業界で広く使われているように見えることにあります(ゼロトラスト ウォッシングでしょうか)。しかし、ゼロトラストへの関心の高まりには、他にもっと説得力のある理由があります。–それは、必要だからです。

お客様との会話の中で、ハイブリッドワークやアプリケーションへの直接接続に関連したリスクの扱いに苦慮しているという声を多く聞きます。攻撃対象が大幅に拡大する一方で、サイバー攻撃は高度化し量も増えているというのが新しい現実です。アプリケーションや脅威の種類ごとに新しいツールを導入するというモグラたたきのような方法では、セキュリティの管理と適用が過度に複雑化します。

古くて扱いにくいVPNベースのソリューションは、セキュリティとパフォーマンスの観点から役に立たないと多くの企業が気付いています。こういった従来のソリューションでは、コンテキストという概念がないため、アプリケーションベース、ユーザーベース、デバイスベースの最小権限アクセスを適用する仕組みを実現できません。その代わりに、ネットワークセグメント全体に信頼されたアクセス権を与えてしまいます。そしてハイブリッドワークとクラウド移行の時代になり、レガシーであるVPNは用済みとなりました。

ゼロトラスト ネットワーク アクセス(ZTNA)アプローチは、レガシーであるVPNによって生じる問題に対応するために登場しました。しかし、第一世代の製品(ZTNA 1.0と呼んでいます)には、次のような致命的な限界があるため、有用というよりも危険であることが明らかになっています。

  • 過剰なアクセス権はゼロトラストと言えない – IPアドレスやポート番号など、L3/L4のネットワーク構造に基づいてアプリケーションを分類しながらも、粒度の粗いアクセス制御しかサポートしていません。このため、ZTNA 1.0では、特にダイナミックポートやダイナミックIPアドレスを使用するアプリケーションに対して、過剰なアクセス権を与えてしまいます。
  • いったん許可したら放置 – アプリケーションへのアクセスが一度許可されると、その通信はその後永遠に信頼されます。ZTNA 1.0では、ユーザーの行動とアプリケーションの動作は常に信頼できると想定されており、これが惨事を招きます。
  • 不十分なセキュリティ – 一部のプライベートアプリケーションしかサポートしないうえ、マイクロサービスベースのクラウドネイティブなアプリケーション(音声アプリケーションやビデオアプリケーションなどのダイナミックポートを使用するアプリケーション)やサーバー起動型アプリケーション(ヘルプデスクやパッチシステムなど)を適切に保護できません。そのうえ、従来型ZTNAのアプローチでは、SaaSアプリケーションは完全に無視され、データの可視化や管理もほとんどできません。

ZTNA 1.0がレガシーであるVPNに取って代わるという約束は、明らかに果たされずじまいです。そこで別のアプローチが必要となります。

ZTNA 2.0のご紹介

パロアルトネットワークスでは、ZTNA 2.0と呼ぶ新しいアプローチに移行する時期が来たと考えています。ZTNA 2.0は、Prisma Accessから提供され、使いやすく統一されたセキュリティ製品を中心に設計されています。ZTNA 2.0では、次のような機能を提供することでZTNA 1.0の欠点を解消しています。

  • 最小権限のアクセス – アプリケーションをレイヤー7で識別し、IPやポート番号などのネットワーク構造に依存しない、アプリケーションレベルとサブアプリケーションレベルでの正確なアクセス制御を可能にすることで実現します。
  • 継続的な信頼の検証 – アプリケーションへのアクセス権が付与されると、デバイスの状況、ユーザー行動、アプリケーション動作の変化に基づいて、信頼が継続的に評価されます。
  • 継続的なセキュリティ検査 – 許可された接続であっても、すべてのトラフィックを詳細かつ継続的に検査し、ゼロデイ脅威を含めてすべての脅威から防御します。
  • すべてのデータの保護 – プライベートアプリケーションやSaaSも含めて、企業で利用されるすべてのアプリケーションのデータを、一つのDLPポリシーで一貫性を持って管理します。
  • すべてのアプリケーションの保護 – 最新のクラウドネイティブなアプリケーション、レガシーなプライベートアプリケーション、SaaSアプリケーションなど、企業の至る所で使用されるアプリケーションをすべて保護します。これには、ダイナミックポートを使用するアプリケーションや、サーバー起動型の接続を利用するアプリケーションも含まれます。

この時代になって、「仕事に行く」が「仕事をする」になりました。パンデミックのピーク時には、多くの企業がVPNインフラの拡張に力を入れました。しかし、それではうまくいかないとなり、すぐにZTNA 1.0ソリューションに向かいましたが、期待通りにならないことが分かっただけでした。ZTNA 2.0は、ZTNA 1.0の限界を乗り越えるために必要なパラダイムシフトであり、お客様の組織を長期的に支えるものとして間違いのないアーキテクチャなのです。

6月16日のウェビナーでは、Prisma AccessによるZTNA 2.0がどのようにハイブリッドワーカーの安全を守るのかについて、さらに詳しくお話しします。