ゼロトラストとは何ですか？

ゼロトラストは、「決して信頼せず、常に検証する」という原則に基づくセキュリティフレームワークです。従来の境界型セキュリティとは異なり、ゼロトラストはどのユーザー、デバイス、ネットワークもデフォルトで信頼すべきではないと想定します。すべてのアクセスリクエストは認証、認可、そして継続的に検証されなければなりません。

なぜ組織はVPNをゼロトラストに置き換えているのですか？

過去1年間に組織の56%がVPN関連のサイバー攻撃を経験しました。VPNはネットワークレベルのアクセスを許可するため、内部に侵入した攻撃者は水平移動できます。ゼロトラストは継続的な検証を伴うアプリケーションレベルのアクセスを提供し、攻撃対象領域を大幅に削減します。

ZTNAとは何ですか？

ゼロトラストネットワークアクセス（ZTNA）は、リモートアクセスにゼロトラスト原則を適用する技術です。ネットワークアクセスを付与するVPNとは異なり、ZTNAはID検証、デバイスの健全性、コンテキストに応じたポリシーに基づき、特定のアプリケーションへ安全なアクセスを提供します。

ゼロトラストについてNISTは何と述べていますか？

NIST SP 800-207は、ゼロトラストアーキテクチャの権威あるフレームワークを提供します。継続的な検証、最小権限アクセス、侵害の前提などの中核原則を定義しています。米国連邦政府は、2024会計年度末までにすべての省庁にゼロトラストを実装することを義務付けました。

ゼロトラストアクセス：従来のVPNアーキテクチャを超えて

境界型セキュリティの終焉

数十年にわたり、VPNはリモートアクセスセキュリティの基盤として機能してきました。モデルはシンプルでした。安全なトンネルを作り、一度認証し、企業ネットワークへのアクセスを付与する。しかしクラウドアプリケーション、リモートワーク、高度なサイバー脅威が広がる今日、このアプローチは重大な脆弱性となっています。

数字が物語っています。過去1年間に組織の56%がVPN関連のサイバー攻撃を経験し、前年の45%から増加しました。同時に、セキュリティ専門家の91%がVPNがセキュリティ態勢を損なっていることに懸念を表明しています。業界は対応しています。組織の65%が年内にVPNを置き換える計画です。

ここで登場するのがゼロトラストです。「決して信頼せず、常に検証する」という原則に基づくセキュリティモデルです。ネットワーク境界の内側にあるものは安全だと仮定するのではなく、ゼロトラストはすべてのアクセスリクエストを、その発信源にかかわらず、潜在的に敵対的なものとして扱います。

Zscaler ThreatLabz 2024 VPN Risk Report

VPNセキュリティ危機

従来のVPNは攻撃者の主要な標的となっています。統計が懸念すべき状況を示しています：

56%

VPN経由で攻撃された

VPN関連の侵害を経験した組織

Zscaler VPN Risk Report 2024

133

脆弱性

2023年単年で報告されたVPN脆弱性

Zscaler VPN Risk Report 2024

47%

前年比増加率

VPN脆弱性発見の増加率

Zscaler VPN Risk Report 2024

91%

セキュリティ上の懸念

VPNセキュリティを懸念するIT専門家

Zscaler VPN Risk Report 2024

なぜVPNは破綻しているのか

VPNの根本的なアーキテクチャは、固有のセキュリティ上の弱点を生み出します：

ネットワークレベルのアクセス

VPNはネットワークセグメント全体へのアクセスを付与します。一度認証されると、ユーザー（または攻撃者）はシステム間を水平移動し、必要のないリソースにもアクセスできます。

認証は単一の時点のみ

従来のVPNは接続時に一度だけ認証を行います。その後、セッションは信頼されたものとして扱われ、ユーザーの行動やデバイスの健全性の継続的検証は行われません。

限定的な可視性

VPNトラフィックはしばしばセキュリティ検査ツールを迂回します。暗号化されたトンネルは悪意ある活動を隠蔽でき、脅威の検知を困難にします。

攻撃対象領域の拡大

VPNコンセントレーターは公開された入口点です。単一の脆弱性が攻撃者に内部ネットワークへの直接的なアクセスを与え得ます。

VPNを悪用する主要な脅威

2024 VPN Risk Reportによれば、ランサムウェア（42%）、マルウェア（35%）、DDoS攻撃（30%）がVPN脆弱性を悪用する主要な脅威です。2024年の主要インシデントには、Ivanti、Fortinet、Palo Alto Networks製品の重大な脆弱性が含まれ、その一部は最大重大度スコア10.0を記録しました。

ゼロトラストを理解する

ゼロトラストは製品ではありません。アクセス制御へのアプローチを根本から再考するセキュリティ哲学です。中核原則はシンプルかつ強力です。「決して信頼せず、常に検証する」。

NISTがSP 800-207で定義するとおり、「ゼロトラストは、資産またはユーザーアカウントに対し、その物理的またはネットワーク上の位置のみに基づく暗黙の信頼を付与しないことを前提とする」。すべてのアクセスリクエストは、ID、デバイスの健全性、行動パターン、環境コンテキストに基づき動的に評価されなければなりません。

これは境界型セキュリティからのパラダイムシフトを意味します。「あなたはネットワークの内側にいるか？」と問う代わりに、ゼロトラストは「あなたは誰で、どのデバイスを使っており、何にアクセスしようとしており、それを許可すべきか？」と問います。

NIST SP 800-207 Zero Trust Architecture

ゼロトラストの中核原則

NIST SP 800-207はゼロトラストアーキテクチャの基本原則を示しています：

明示的に検証する

ID、ロケーション、デバイスの健全性、サービス、データ分類、異常などのすべての利用可能なデータポイントに基づき、常に認証・認可を行います。

最小権限アクセス

ジャストインタイムおよびジャストイナフアクセス（JIT/JEA）でユーザーアクセスを制限します。特定のタスクに必要な最小限の権限のみを付与します。

侵害を前提とする

攻撃者がすでに内部にいるかのように運用します。影響範囲を最小化し、アクセスをセグメント化し、エンドツーエンドの暗号化を検証し、分析を用いて脅威を検知します。

継続的な検証

信頼は一度きりの出来事ではありません。変化するコンテキストと行動に基づき、セッション全体を通じてアクセスを継続的に監視し、再検証します。

ゼロトラストの5つの柱

効果的なゼロトラスト実装には、相互に関連する5つのドメインのセキュリティ確保が必要です：

ID

ゼロトラストの基盤。すべてのユーザーとサービスアカウントに対する強力な認証（MFA）、IDガバナンス、継続的なID検証。

デバイス

アクセス付与前のデバイス健全性評価。管理対象か否か、コンプライアンス状態、パッチレベル、エンドポイント保護の検証。

ネットワーク

マイクロセグメンテーションとソフトウェア定義境界。ネットワークはもはや信頼境界ではありませんが、依然として保護と可視性が必要です。

アプリケーション

ネットワークアクセスではなく、アプリケーションレベルのアクセス制御。アプリ内権限、APIセキュリティ、ワークロード保護。

データ

データ分類、暗号化、データ損失防止。場所に関係なく、保存時、転送時、使用時のデータを保護します。

VPN対ゼロトラストネットワークアクセス

観点	従来のVPN	ZTNA / ゼロトラスト
信頼モデル	認証後に信頼	決して信頼せず、常に検証する
アクセス範囲	ネットワークレベルのアクセス	アプリケーションレベルのアクセス
認証	接続時に一度のみ	セッション全体を通じて継続的
可視性	限定的（暗号化トンネル）	完全なトラフィック検査
水平移動	侵入後に可能	マイクロセグメンテーションで防止
サードパーティアクセス	ネットワーク全体に露出	アプリのみのきめ細かなアクセス
拡張性	ハードウェア依存	クラウドネイティブ、弾力的
ユーザーエクスペリエンス	遅く複雑になりがち	スムーズでコンテキストを意識

ゼロトラスト導入の勢い

VPNからゼロトラストへの移行は急速に加速しています：

65%

VPN置き換え予定

年内にVPNを置き換える計画の組織

Zscaler VPN Risk Report 2024

81%

ゼロトラスト計画

12か月以内の実装を計画

Zscaler VPN Risk Report 2024

345億ドル

市場規模

2024年のゼロトラスト市場価値

MarketsandMarkets Research

70%

2025年まで

ZTNAを利用する新規リモートアクセス（Gartner）

Gartner Research

米国政府の義務化

2022年、米国連邦政府は2024会計年度末までにすべての省庁にゼロトラストサイバーセキュリティ原則を実装することを義務付けました。この連邦ゼロトラスト戦略は、ユニバーサルMFA、暗号化、堅牢なロギング、継続的な監視を含む具体的な目標を要求し、世界中のエンタープライズセキュリティのベンチマークを示しています。

ゼロトラストアクセスの実装

VPNからゼロトラストへの移行には戦略的アプローチが必要です：

IDから始める

すべてのユーザーに対しMFAによる強力なID検証を導入します。IDは新たな境界です。他の柱に取り組む前に、これを盤石にします。

アプリケーションのインベントリ化

すべてのアプリケーションをマッピングし、そのアクセスパターンを把握します。存在を知らないものは保護できません。シャドーITとサードパーティ接続を特定します。

アプリケーションレベルアクセスの実装

ネットワークアクセスをアプリケーション固有のアクセスに置き換えます。ユーザーはネットワークではなくアプリケーションに接続するべきです。これにより水平移動リスクが排除されます。

継続的な監視を追加する

リアルタイム分析を導入し、ユーザー行動、デバイスの健全性、アクセスパターンを監視します。異常を検知し、脅威に自動で対応します。

VPNを段階的に廃止する

全面的な切り替えではなく、リスクの高いものや価値の高いアプリケーションから順に、アプリケーションをゼロトラストアクセスに段階的に移行します。

よくある質問

いいえ。ゼロトラストはアーキテクチャ的に異なります。VPNは認証後に信頼を与えるネットワークトンネルを提供します。ゼロトラストは継続的検証を伴うアプリケーションレベルのアクセスを提供します。両者は根本的に異なるアプローチです。ゼロトラストは強化版VPNではなく、境界モデルそのものの置き換えです。

必ずしもそうではありません。ゼロトラストは目的地ではなく旅です。ID（MFA）から始め、デバイス検証、アプリケーションレベルアクセス、高度な監視を時間をかけて追加することで段階的に実装できます。多くの組織は移行期間中ハイブリッド環境を運用します。

ZTNAソリューションは通常、従来のVPNよりも優れたパフォーマンスを提供します。中央のVPNコンセントレーターを経由してバックホールするのではなく、ユーザーを直接アプリケーションに（多くの場合最寄りのエッジロケーション経由で）接続します。クラウドネイティブなZTNAは、ハードウェアのボトルネックなく弾力的にスケールします。

ここがゼロトラストが特に優れている部分です。業務委託先にネットワーク全体へのVPNアクセスを与える代わりに、ZTNAは必要な特定のアプリケーションのみへのきめ細かなアクセスを提供します。アクセスは期限を設定し、リアルタイムで監視し、関与が終了した時点で即座に取り消すことができます。

ゼロトラストアクセスゲートウェイはレガシーアプリケーションの前段に立ち、アプリケーション自体を変更することなく、最新の認証と認可を提供できます。ゲートウェイがID検証を行い、ネイティブのSSOやMFAサポートを欠くアプリケーションへ安全なアクセスを提供します。

ゼロトラストへの準備はできていますか？

TR7のアプリケーションアクセスマネージャー (AAM) は、IDベースのアプリケーションアクセス、継続的検証、既存インフラへのスムーズな統合を備えたゼロトラストネットワークアクセスを提供します。業務を妨げることなく、VPNを超えて前進します。

ゼロトラストソリューションを見る