境界防御からゼロトラストへ ～ZTNAの位置づけを再考する～

松田　幸裕　記

以前の投稿、「境界防御からゼロトラストへ ～AD対応ITDRのすすめ～」では、オンプレミスのシステムを「ゼロトラスト」という考えの中でどのように守っていくべきなのかを考え、一つの対策としてITDR（Identity Threat Detection and Response）を取り上げました。

クラウドサービスのように最初からインターネットに面していて、しっかり認証しなければ安心できないサービスと異なり、オンプレミスのシステムは「社内は安全」という思想の中でつくられてきました。それゆえに、実際に社内に侵入されてしまうと、守ることが難しいという現状があります。そこで、考え方を変えて「攻撃されないようにするのではなく、攻撃を検知し迅速に対応すること」にフォーカスしてお話をしました。社内に入られた場合、このような考え方もしていかないと社内ITを守ることができない、という考え方からこのような話をしました。

ただ、、、先日の投稿を書いていて、「それで安心できるのだろうか？」、「やはり「ゼロトラスト」の思想に基づき、「すべてを信頼せず、安全性を検証する」を行うべきではないだろか？」という思いも残りました。そこで、ZTNA（Zero Trust Network Access）について改めて着目し、考えてみることにしました。

ZTNAの「ZT」は「Zero Trust」であり、ネットワークアクセスにおいて「すべてを信頼せず、安全性を検証する」というソリューションです。このZTNAの各種紹介記事を見ると、多くの場合「リモートアクセスVPNの代替」として語られています。リモートアクセスVPNは、一度社内ネットワークに入ってしまえば社内ネットワーク全体にアクセスできてしまう、というまさに境界防御の思想に基づいた機能です。そして、この特性を突く形で、ランサムウェアなどの侵入経路として利用されてしまっている現状があります。この脆弱な特性を持つリモートアクセスVPNを撤廃し、ZTNAに置き換えることが多くの記事で推奨されています。

このように、「ZTNA＝リモートアクセスVPNの代替」という色が濃いため、つい忘れてしまいそうになりますが、本来の意味としてはゼロトラストの思想に基づき、「すべてを信頼せず、安全性を検証する」ためのソリューションだと思います。リモートアクセスVPNの代替として社外のPCのためだけに使うのではなく、PCが社内にいても「社内だから安全」と考えずに安全性を検証するもの、という考え方ができます。そう考えると、PCが社外にいても社内にいても関係なく、このZTNAで検証を行うようにすることで、オンプレミスのシステムもより保護できる可能性が高まります。

（現実的には、ZTNAがすべての通信に適用できるかは検証が必要であり、また以前の投稿でも書いたとおり多要素認証の強制の仕方など工夫が必要なため、「可能性」という少し弱い表現を使っています…。）

ここで、一つ課題が生じます。PCが社内にいて、オンプレミスのシステムも社内にあるという状況の場合、ZTNAが通信の仲介を行うと、「社内のPC <-> クラウド上のZTNA <-> オンプレミスのシステム」という非効率な通信となってしまいます。このことにより、インターネットへの回線負荷が必要以上に高まってしまうことも考えられます。しかし、かといって「社内にPCがある場合は、オンプレミスのシステムへ直接通信できるようバイパスする」という設定をしてしまうと、本来の思想である「すべてを信頼せず、安全性を検証する」ではなくなってしまいます。

この課題を解決する方法は、ZTNAの各種サービスで異なると思いますが、例えばつい先日公開された「Replace your VPN — Global Secure Access in Microsoft Entra | Microsoft Community Hub」を読むと、Microsoft Entra Private Accessでは「Intelligent Local Access」という機能があり、PCと接続先サービスが同じ社内ネットワークにいる場合は「認証はゼロトラストの思想に基づき適切に行うが、認証後の通信はバイパスされて直接行う」ということが実現可能です。

「ZTNA＝リモートアクセスVPNの代替」という印象が強いため、つい本質を見失ってしまいそうになりますが、改めてZTNAの意味を考え、ネットワークセキュリティの在り方を見直してみることも必要だと感じた次第です。

＜関連する投稿＞

• 境界防御からゼロトラストへ ～AD対応ITDRのすすめ～