目次
ゼロ・トラストとVPNの導入
信頼ゼロ一方、VPNは最初の1回の認証の後に広範なネットワーク・アクセスを許可し、「信頼されたトンネル」を作成するが、漏洩すると安全性が低下する可能性がある。一方、VPNは暗号化されたネットワーク・アクセスを提供するため、漏洩した認証情報がネットワーク内の広範囲な横移動につながるリスクがある。
主な違いは以下の通り:
- 信頼モデル:ゼロ・トラストは「決して信用せず、常に検証する」ことを基本とし、VPNは「信用するが検証する」ことを基本とする。
- アクセス粒度:ゼロトラストは特定のアプリケーションへのアクセスを提供するが、VPNはネットワーク全体への広範なアクセスを許可する。
- セキュリティの焦点:ゼロ・トラストはID、デバイス、コンテキストを継続的に検証し、VPNは接続と転送中のデータの暗号化に重点を置く。
- 使用例:ゼロトラストは、現代の分散型ワークフォース、クラウド環境、きめ細かなセキュリティを優先する組織にとって、より優れたソリューションである。VPNは、基本的で広範なネットワーク・アクセスには依然として有効だが、高度な脅威に対してはあまり有効ではない。
ゼロ・トラスト/ZTNA対VPN:主な違い
1.信頼モデル
VPNは、境界中心のセキュリティ・モデルに基づいて構築されており、ネットワーク外のユーザーがアクセスするには、安全なトンネルを経由して接続する必要がある。一旦認証されると、ユーザーは信頼されたものとして扱われ、内部ネットワークの大部分をナビゲートすることができる。このモデルは、内部トラフィックが安全であることを前提としているため、攻撃者が盗んだ認証情報や侵害されたデバイスを通じてVPNアクセスを獲得した場合に問題となる。
ZTNAはこのモデルを完全に転換する。組織の内外を問わず、あらゆるつながりを敵対的なものとして扱うのだ。信頼は決して仮定されません。各リクエストは、ユーザーID、デバイスの健全性、アクセス時間、行動など複数の要素を用いてリアルタイムで評価されます。このアプローチにより、VPNが与える暗黙の信頼を防ぐことができ、ZTNAは内部の脅威や危険なエンドポイントに対してより強くなります。
2.アクセス粒度
VPNは、ユーザーをネットワーク・セグメント全体にリンクすることで、粗い粒度のアクセスを提供する。例えば、VPNを利用するリモート社員は、必要なのは1つだけであっても、複数のサーバーやアプリケーションを含むサブネット全体にアクセスする可能性がある。このような過剰なプロビジョニングは、横方向の移動のリスクを高め、攻撃者やマルウェアが足掛かりを得ればシステム間を移動できるようにする。
ZTNAは、きめ細かな役割ベースのアクセス制御(RBAC)を実施します。ユーザは、明示的に使用を許可された特定のアプリケーションやサービスのみにアクセスを許可されます。各アクセスの決定には、ユーザーの役割、デバイスのセキュリティ・ステータス、時間帯や地理的な場所などのコンテキスト要因を含むポリシーが考慮されます。この厳格なセグメンテーションにより、アクセスは大幅に制限され、最小特権の原則に合致します。
3.認証と認可
VPNでは通常、セッション開始時に1回限りの認証プロセスを使用する。これには証明書やMFAのような強力な方法が含まれることもあるが、セッションがアクティブになると、通常はそれ以上の再評価は行われない。ユーザーのコンテキストが変化しても(例えば、デバイスが危険になったり、ユーザーがネットワークを切り替えたり)、セッションは中断されることなく継続されることが多い。
ZTNAは、ID ドリブンの認証と継続的な認可を統合している。アクセスは、ID(SSO またはフェデレーション経由)、デバイスの健全性(エンドポイント・セキュリティ・ツールの使用)、セキュリティ・ポリシーへの準拠など、複数の要素を検証した後にのみ許可される。アクセスはセッション中に継続的に評価され、リスク条件が変化した場合(デバイスがコンプライアンスから外れた場合など)、セッションを終了するか、再認証を要求することができる。
4.可視性とモニタリング
VPNは多くの場合、限られた可視性しか提供しない。ネットワーク管理者は、ユーザーがいつ接続し、どのIPを使用しているかは確認できるが、どのアプリケーションやデータにアクセスしたかは確認できない。VPNは一般的に、セッション・レベルのログやユーザーのアクティビティに関するコンテキスト・メタデータを提供しない。
ZTNAは、より深い可視性と監査機能を提供する。アクセスはアプリケーションごとに行われるため、各接続はユーザーID、デバイスのステータス、要求されたリソース、アクセス時間などのメタデータとともにログに記録される。セキュリティ・チームはこれらのログを分析し、予期しない場所からのアクセスや未承認リソースへのアクセス試行などの異常な動作を検出することができます。
5.パフォーマンス
VPNは通常、すべてのトラフィックが通過しなければならない中央集線装置またはゲートウェイに依存している。クラウドベースのリソースに到達するために、多くのユーザーが接続したり、トラフィックがこれらの中央ポイントを経由しなければならない場合、パフォーマンスが低下します。特にグローバルな組織ではレイテンシーが増大し、スケーリングにはインフラへの多大な投資が必要になります。
ZTNAは分散型アーキテクチャを採用しており、ユーザーがアプリケーション・ゲートウェイに直接接続する。これにより、トラフィックのローカルブレイクアウトが可能になり、企業のデータセンター経由ですべてをバックホールする必要がなくなります。その結果、特にSaaSやパブリック・クラウド・アプリケーションでは、低遅延、信頼性の向上、ユーザー・エクスペリエンスの向上が実現します。
6.実装の複雑さ
VPNは使い慣れた技術であり、基本的なユースケースであれば比較的簡単に設定できる。しかし、組織が規模を拡大したり、ハイブリッド環境やマルチクラウド環境を管理したり、よりきめ細かいアクセス制御を実施したりすると、VPNの設定は複雑になる。アクセスリスト、IPの競合、ルーティングの問題、拠点間のファイアウォールルールの管理は、オーバーヘッドを増やし、設定ミスの可能性を高めます。
ZTNAは、IDプロバイダー、エンドポイント管理プラットフォーム、およびセキュリティ・ツールとの統合を必要とするため、初期実装はより複雑である。ポリシーは、ユーザーの役割、アプリケーション、ビジネスニーズに基づいて慎重に定義する必要がある。しかし、一度導入すれば、ZTNAはコントロールとポリシー管理を一元化し、長期的な運用を簡素化する。変更は動的に行うことができ、自動化によって人的ミスを減らすことができます。
7.コスト
VPNは、既存のネットワーキング・インフラを利用し、ファイアウォール・アプライアンスとバンドルされていることが多いため、初期コストが低い傾向にある。しかし、継続的な運用コストは、メンテナンス、ハードウェアのリフレッシュ、同時使用ユーザーのライセンス、ピーク負荷に対応するためのインフラ拡張の必要性などのために増大する可能性がある。
ZTNAソリューションは、多くの場合、初期ライセンス費用と統合費用が高くつく。しかし、一般的にクラウドネイティブで拡張性が高いため、インフラストラクチャーのオーバーヘッドを削減することができる。ZTNAはまた、侵害の修復、ネットワークの複雑さ、手動設定に関連するコストを削減することができる。時間が経てば、運用とセキュリティの効率は先行投資を上回るかもしれない。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
専門家からのアドバイス
私の経験から、VPNからゼロ・トラストへの移行、あるいは既存のゼロ・トラスト戦略の最適化に役立つヒントを紹介しよう:
- ZTNAと並行してマイクロセグメンテーションを導入:内部環境にネットワークレベルのマイクロセグメンテーションを統合することで、アプリケーションレベルのアクセスを超える。これにより、ZTNA認証後も東西トラフィックを制御し、クラウドやデータセンター環境におけるワークロード間の横方向の移動を制限します。
- 行動分析を統合して適応型アクセス制御を実現:ZTNAをUEBA(User and Entity Behavior Analytics)と組み合わせることで、長期にわたるユーザー行動の微妙な異常を検出します。これにより、バイナリーアクセス判定からアダプティブトラストスコアリングに移行し、完全な侵害の前に先手を打ったアクセス制限が可能になります。
- ZTNA接続にはエフェメラルな認証情報を使用する:静的なAPIトークンや長期間のセッションクッキーは避ける。リクエスト/セッションごとに動的に発行されるエフェメラルな期限付きトークンを活用することで、盗まれた認証情報の価値を最小限に抑えます。
- CI/CDパイプラインによるポリシー更新の自動化:大規模な環境では、手作業によるポリシー管理は不可能になります。ZTNAのポリシー更新をCI/CDパイプラインに統合することで、アプリケーションやインフラストラクチャの変更が自動的に対応するアクセス制御の調整をトリガーします。
- 高リスクシナリオのためのZTNAキルスイッチの確立:侵害が疑われる場合に、複数のレイヤー(ユーザー、デバイス、アプリ、場所)でのアクセスを即座に取り消すことができる迅速な封じ込めメカニズムを導入する。SIEM/SOARと統合し、リアルタイムのアラートに基づいてこれを発動する。
VPNの長所と短所
VPNは、何十年もの間、セキュアなリモート接続の主力となってきた。VPNは、ユーザーと企業ネットワークとの間に暗号化されたトンネルを提供するが、その広範なアクセスモデルと集中型インフラへの依存は、組織が規模を拡大したりクラウド環境に移行したりする際に課題をもたらす。
Pros:
- 成熟した標準と広範なベンダーのサポートを備えた、シンプルでなじみのある技術
- 転送中のデータに強力な暗号化を提供
- 最小限のセットアップでオンプレミス・リソースへのリモート・アクセスが可能
- ほとんどのデバイスとオペレーティングシステムで動作
- 既存のインフラを利用した費用対効果の高い初期展開
Cons:
- 内部ネットワークの境界を拡大し、横方向の動きに対する露出を増やす。
- アプリケーション・レベルのアクセスではなく、幅広いネットワーク・レベルのアクセスを許可する。
- 高負荷時や集中型ゲートウェイを経由してトラフィックをルーティングする場合、パフォーマンスが低下する
- 分散環境やクラウド環境では効率的な拡張が難しい
- ユーザー・アクティビティとアプリケーション・レベルのアクセス・パターンの可視性が限定的
- ハイブリッドやマルチサイトのネットワークでは、構成の複雑さが増す
ゼロ・トラストの長所と短所
ゼロ・トラスト・ソリューションとZTNAソリューションは、アクセス制御に対して、より現代的でアイデンティティ主導のアプローチを提供する。これらのソリューションは、暗黙の信頼を最小化し、アプリケーションに必要最小限のアクセスのみを許可することで、分散環境やクラウドファースト環境におけるセキュリティと管理性の両方を強化します。
Pros:
- 攻撃対象領域を減らすために、最小特権、アプリケーション固有のアクセスを強制する。
- ユーザーID、デバイスの姿勢、コンテキストを継続的に検証します。
- ユーザーとアプリケーションのアクティビティに関する詳細な可視化とロギングの提供
- ハイブリッド環境やマルチクラウド環境でも容易に拡張可能
- リソースへの最適化された直接接続によるユーザー体験の向上
- 動的なポリシー実施により、データ漏洩や内部脅威のリスクを低減
Cons:
- 初期設定の複雑さと統合要件が高い
- 成熟したIDおよびデバイス管理システムに依存
- 政策の定義と維持には慎重な計画が必要
- レガシーネットワークやアプリケーションのアクセスモデルの再構築が必要になる場合がある。
- ライセンスとサブスクリプションのコストは、当初は従来のVPNよりも高くなる可能性があります。
関連コンテンツガイドを読むゼロトラスト・アーキテクチャ
VPNとゼロ・トラスト:どう選ぶ?
VPNとゼロトラスト(ZTNA)のどちらかを選択する場合、適切なアプローチは、組織のインフラ、セキュリティ成熟度、長期戦略によって異なります。どちらもリモート・アクセスを可能にするという目的は果たすが、アーキテクチャとセキュリティの考え方が根本的に異なる。
1.セキュリティ要件の評価
社内のリソースにアクセスするリモート従業員に迅速で安全な接続性を提供することが主なニーズであれば、VPNは基本的なニーズを満たすことができる。しかし、セキュリティ、特にクレデンシャルの盗難、横移動、内部脅威に対するセキュリティが最優先事項であれば、ZTNAの方が適しています。ZTNAは、最小特権アクセスを強制し、ユーザーとデバイスを継続的に検証します。
2.アプリケーションとインフラを考える
VPNは、主にオンプレミスのアプリケーションと静的なネットワーク境界を持つ環境で最も効果的に機能する。SaaS、IaaS、またはハイブリッド・アーキテクチャに移行している企業にとって、VPNはトラフィックのバックホールやスケーラビリティの制限によって非効率を生む可能性がある。ZTNAはクラウドネイティブでアプリケーションに特化しているため、分散環境やクラウドベースの環境とより自然に統合できます。
3.オペレーションの複雑さとマネジメントを評価する
VPNは初期導入は簡単だが、環境が大きくなるにつれてメンテナンスが面倒になる。IPベースのアクセスリスト、ルーティング、ファイアウォールルールを地域間で管理することは、運用上のオーバーヘッドをもたらします。ZTNAは、初期段階ではより多くの計画と統合を必要としますが、集中化と自動化により、長期的にはポリシー管理を簡素化します。
4.パフォーマンスとユーザー・エクスペリエンスの分析
グローバルに分散したユーザーがクラウドやSaaSアプリケーションにアクセスする場合、ZTNAは最適化された直接接続を可能にすることで、より優れたパフォーマンスを提供します。VPNは、すべてのトラフィックを集中型ゲートウェイ経由でルーティングするため、ボトルネックが発生する可能性があります。
5.コストと戦略的価値のバランス
VPNは、特に組織がすでに互換性のあるハードウェアを所有している場合は、初期コストが低い。しかし、従業員の規模が拡大し、ハイブリッド業務が継続するにつれて、インフラと管理のコストは増大する。ZTNAソリューションは多くの場合、初期コストは高いが、長期的な運用コストは低く、特に侵害リスクの低減と管理の簡素化を考慮すると、その効果は大きい。
6.将来の計画
インフラを最新化したり、ゼロトラスト原則に移行したりする組織にとって、ZTNAに直接移行することは戦略的投資である。ハイブリッドモデルを採用し、レガシーアプリケーションのVPNを維持しながら、クラウドとSaaSワークロードのZTNAを徐々に展開し、移行時の混乱を最小限に抑える組織もある。
VPNは依然として小規模で従来型のセットアップに適しているが、ZTNAはスケーラブルでセキュア、かつクラウドに沿ったアクセスを実現する、将来を見据えた選択肢である。ZTNAは、スケーラブルでセキュアなクラウドアクセスを実現する、将来を見据えた選択肢です。
関連コンテンツゼロ・トラスト戦略ガイドを読む(近日公開予定)
ゼロ・トラスト・セキュリティExabeam
ゼロ・トラストと ZTNA はアクセスの付与方法を変えるが、付与されたアクセスが適切に使用されているか悪意を持って使用されているかを説明することはできない。VPNとZTNAソリューションはどちらもアクセス遠隔測定データを生成するが、そのデータはエンドポイント、アイデンティティ、クラウド、アプリケーションのアクティビティから切り離された状態で存在することが多い。Exabeam、これらのシグナルを分析・相関させることに重点を置き、セキュリティ・チームがアクセス決定そのものを超えたリスクを理解できるように支援する。
Exabeam New-Scale Analyticsは、ZTNAプラットフォーム、VPNインフラ、IDプロバイダー、エンドポイントツール、クラウドサービス、SaaSアプリケーションからテレメトリーを取り込みます。これにより企業は、移行期間中、ユーザーがレガシーVPN、最新のZTNA、またはその両方のハイブリッドのいずれを経由して接続するかに関係なく、アクセスアクティビティをコンテキストで評価できるようになります。アクセス・イベントは、単独の接続ログではなく、統一された行動モデルの一部となります。
UEBAエンジンは、行動分析を適用して、アクセス方法にわたるユーザー、デバイス、サービスアカウントのベースラインを確立します。異常なログインタイミング、アクセス後の非定型的なアプリケーション使用、異常なデータ移動、ユーザーの役割と矛盾する行動などの逸脱を特定します。これは、認証後も有効なアクセスが悪用される可能性があるゼロトラスト環境では特に重要です。
調査中、Exabeamは、ZTNA または VPN アクセスイベントを、特権の使用、クラウド設定の変更、エンドポイントプロセスの実行、機密データへのアクセスなど、下流のアクションと関連付けます。これらのイベントは、どのようにアクセスが許可されたかだけでなく、次に何が起こったかを示す証拠に裏付けられたタイムラインに組み立てられます。これにより調査時間が短縮され、アナリストはアクセス・セッションが通常の作業なのか潜在的な侵害なのかを判断できるようになります。
Exabeamは、ゼロトラスト導入時の運用上の意思決定もサポートします。VPNからZTNAに移行する組織は、行動インサイトを使用して、リスクの高いアクセス・パターンを特定し、ポリシーの有効性を検証し、より厳格な管理が必要なユーザーやアプリケーションに優先順位を付けることができます。行動コンテキストで強化されたアクセス遠隔測定は、静的なアクセス強制から継続的なリスク評価への移行を支援します。
Exabeamは、VPNやZTNAプラットフォームを置き換えるものではなく、アクセス決定を強制するものでもない。両モデルを補完する分析および相関レイヤーとして機能する。アクセス遠隔測定と行動分析およびその他のセキュリティ・データを組み合わせることにより、Exabeamは、ゼロ・トラスト・エンバイロメントとレガシー環境にわたるユーザーとエンティティの活動をより明確に把握できるようにし、企業がアクセス戦略を近代化しながらリスクを低減できるよう支援します。
