ZTNA 2.0: パンデミック以後の世界にゼロトラストが不可欠な理由

This post is also available in: English (英語)

このブログは、弊社のパートナーシップにより、ZTNA 2.0を利用して今日のハイブリッド勤務およびハイブリッド環境を保護している仕組みの詳細を説明したシリーズ「ZTNAパートナー」の一部です。

デジタル変革は、「いつかかなえる」目標ではなく、「今すべき」必須事項です。このパンデミック以後の世界では、82%の組織がハイブリッドクラウド戦略を採用しており、勤務とは、もはや単なる通勤ではなく、遂行している活動を意味することとなっています。実際、ほとんどの組織が、組織の環境内で平均110のSaaSアプリを使用しています。また、あらゆる場所に存在するアプリだけではなく、あらゆる場所に存在するユーザーも課題となっています。攻撃対象領域が劇的に広がるためです。脅威がさらに高度化している状況が組み合わされば、最悪の状況となり、組織はエクスポージャーを制限してセキュリティを強化するために何か違う手段を取ることを求められます。

ゼロトラスト ネットワーク アクセス(ZTNA)への関心とその導入が爆発的に広がってきました。しかしながら、ハイブリッド勤務およびハイブリッドネットワークやクラウドへの急速な変革において、最初のZTNAアプローチではさまざまな弱点を露呈することとなりました。ZTNA 2.0をパロアルトネットワークスのPrisma® Accessとともに発表した際に、私はDeloitteのパートナー/プリンシパルでサイバーリスク/ゼロトラスト担当責任者のAndrew Rafla氏と同席し、ZTNAとその進化について説明しました。

「ゼロトラスト環境を実現し、「信頼しないで常に検証する」という概念に向けて実際に進んでいく際の大きな課題の一つが、アプリケーションとユーザーの資産の基本的な把握です」と、Andrewは私に言いました。「つまり、クライアントの環境内にどのようなアプリケーションが存在するのか、そういったアプリケーションへのアクセスを誰にどのような条件で許可するのかということです。これらは、解決すべき基本的な問題であり、ゼロトラストモデルの利点を完全に活用できるのは、ZTNA 2.0モデルだけです」

ZTNA 1.0の欠点

ZTNAのこれまでのイテレーションは、こういった要件に対処するには不十分でした。何よりもまず、第1世代のZTNAベンダー導入(ZTNA 1.0)は、アプリケーションのIPアドレスまたはポート番号をアプリケーション自体のプロキシとして使用するため、最小権限アクセスという中核の基本的な原則に違反しています。アプリケーションをネットワーク構成要素で定義することは常に、アクセスの容易さを高めることにつながります。

航空会社のフライトのセキュリティを例にとってみましょう。空港では、搭乗券と運転免許証を提示します。運転免許証はユーザーIDとして使い、搭乗券はアクセス権を得るためのリソースを表します。つまり、特定のゲートから特定の時刻に出発する航空機内の、特定のセクションにおける1つの座席を表します。ZTNA 1.0では、搭乗券にIPアドレスしか示されません(基本的に空港のアドレスを示していますが、空港内のいずれの航空機へのアクセスにも限定していません)。

ZTNA 1.0の2つ目の限界は「許可して放置」です。空港保安検査を通過したからといって、やりたい放題できるわけではありません。客室乗務員の邪魔をしたり、ルールを無視したりできません。このため、継続的なモニタリングを通した継続的な信頼性検証が必要です。

3つ目の限界は、データ検査およびデータセキュリティへの対処です。空港の例に戻ると、乗客(ユーザー)だけでなく荷物(データ)も検査する必要があります。

パンデミック以後の世界で、ZTNA 2.0では、これらの基本的な欠点に対処して、今日のハイブリッド勤務の保護を強化できます。

パンデミック以後の世界にゼロトラストが不可欠な理由

ゼロトラストが初めて発表されてから10年経ちましたが、その間にビジネス環境は劇的に変化しています。パンデミック以後の世界では、組織は、従業員が働く場所だけでなく、働き方や働くために使用するアプリケーションに対しても柔軟性を求めていることを認識しています。

「モバイル勤務やハイブリッド勤務はこのまま続くでしょう」と、Andrewは私に言います。「人々が働き方、働く場所、働くために使用するデバイスに柔軟性がある組織で働きたいと考えていることを認識している組織は徐々に増えてきました。ゼロトラスト環境の実現における考慮事項の一つが、まさにサポート性です。増えつつあるモバイル勤務とハイブリッド勤務のサポートです。これには、従来のノートPCとデスクトップの両方との互換性、およびモバイルデバイス上の一般的なオペレーティングシステムとの互換性が必要です」

ZTNA 2.0では、最小権限アクセスという中核の基本的な原則を維持しながら、組織のこういった要件に対処できます。ZTNA 2.0は、追加の負荷を必要とせずにセキュリティ機能を最大限に活用する、一貫したスムーズなエンドユーザーエクスペリエンスを提供します。最後に、ZTNA 2.0は、継続的な信頼性検証を実現し、すべてのアプリケーションに詳細なセキュリティおよびデータ保護を提供します。

ZTNA 2.0導入の取り組み

Andrewに、ZTNA 2.0の導入を検討している組織にどのようなアドバイスをするか尋ねたところ、いくつかの提案がありました。

1. テクノロジよりビジネスニーズを優先する – 組織が、ゼロトラストの導入を、システムを完全に入れ替えるためのテクノロジイニシアチブと捉えないことが重要です。そうではなく、ゼロトラストの導入では、組織がセキュリティ、俊敏性、および変化への耐性を強化できるような方法で重要なビジネスイニシアチブをサポートすることを目的とすべきです。
2. ゼロトラストの必要性に関する合意を促進する – サイバーセキュリティチームに留まらず、IT運用チーム、ヘルプデスク、エンドユーザー、およびその他のビジネス関係者の合意を得ることが重要です。
3. 反復可能で増分的なアプローチを取る – 一連の低リスクのユーザーやアプリケーションといったリスクの低いターゲットから開始して、運用に影響がおよぶ可能性を最小限に抑え、取り組みを進める過程で得られた教訓を活かしていきます。最終的には、得られたこれらの教訓を組織の最も価値の高い「資産」に取り入れることができます。その資産とは、組織のミッションクリティカルなアプリケーションとデータのことです。

ゼロトラストへの取り組みでは、テクノロジよりビジネスニーズが優先されます。パンデミック以後の世界で、取り組みの過程にある組織のセキュリティ、俊敏性、および変化への耐性が強化されます。

パロアルトネットワークスのPrisma Accessは、業界で唯一のZTNA 2.0ソリューションです。Prisma AccessをDeloitteのゼロトラストフレームワークおよび専門サービスと組み合わせることで、組織はゼロトラストサイバーセキュリティ戦略の導入を加速できます。

Prisma AccessおよびZTNA 2.0の詳細については、オンデマンドで視聴できるZTNA 2.0ローンチイベントをご覧ください。