企業ネットワークへ単一のVPNトンネルを開くことは、かつては十分でした。今日は違います。ユーザーはあらゆる場所から接続し、アプリケーションはあらゆる場所にあり — データセンター、クラウド、SaaS — そして単一のVPNトンネルはログインした全員に過剰なアクセスを与えます。請負業者は特定のアプリケーションへの短期アクセスを必要とします。ヘルプデスクは内部のRDPやSSHターゲットにクライアントを配布せずに到達する必要があります。セキュリティチームは誰が何にアクセスしているかを把握し、ネットワークではなくアプリケーションレベルでアクセスを取り消したいと考えています。
業界のモダンな答えはZero Trust Accessでした。しかし、どちらの道にも代償があります。pure-playのZTNAプラットフォームの多くはcloud-only — お客様のトラフィックとアイデンティティ決定が他社のedgeに運ばれます。従来のオンプレミスADCベンダーは、ZTAをロードバランサーの上に追加する別個で高価なモジュールとして提供します:独自のポリシーエンジン、独自の学習曲線、独自のライセンス。
TR7はアクセスを、すでにお客様のアプリケーションを配信し保護しているプラットフォームに配置します。同じvServiceモデル、同じオペレーターコンソール、同じ監査証跡;その上に2つの名付けられた運用モード、ブラウザからのgatewayプロトコル、標準ベースのVPN。別途ライセンスされるモジュールはなく、ログインフローの経路に第三者のネットワークはありません。
それぞれ単独でも価値があります。組み合わせることで、他社のクラウドに依存せず、請求書に別項目として現れないzero trustアクセスの姿を定義します。
ほとんどのモダンZTAプラットフォームはSaaSです。お客様のアイデンティティ決定、セッショントラフィック、監査ログは彼らのネットワークに存在します。TR7はお客様自身のハードウェア上で動作します。ログイン、postureチェック、セッション、ログは、お客様のセキュリティポリシーがすでに適用されている場所に留まります。
モードA — Per-Service Authentication:既存のアプリケーションにログインとSSOを接続します。単一サービス、単一の認証ラッパー;ユーザーがログインすると直接アプリケーションに進みます。モードB — ブランド付きアクセスポータル:独自のリスナーを持つ、ホワイトラベルの独立したポータル。ユーザーは一度ログインし、許可されているすべてのアプリケーションをlaunchpadで見ます。各モードに独自のインターフェースがあります;デプロイに合うものを選ぶか、両方を併用してください。
内部チームはRDP、SSH、VNCターゲットにブラウザタブから直接到達します。クライアントのインストールなし、endpointにVPNトンネルなし、メンテナンスが必要なnativeソフトウェアなし。セッションはトンネリングされ集中的に監査されます;アクセス取り消しは次のリクエストで有効になります。
他のオンプレミスプラットフォームは、アクセス用に別モジュール、ロードバランシング用に別、WAF用に別、VPN用に別を販売します。TR7はそのすべてを同じエンジン、単一のオペレーターコンソール、単一の監査ビューで提供します。「VPNがある」状態から「zero trustアクセスがある」状態への移行は、同じ製品の中で行われます。
IKEv2とSSL VPNは、すべてのモダンなオペレーティングシステムがすでに話す標準上で動作します — iOS、Android、Windows、macOSのユーザーはアプリをダウンロードせず、VPNプロファイルを追加するだけです。OAuth 2.0、OIDC、SAML、LDAP、RADIUSがネイティブにサポートされます。endpointセキュリティシグナル(既知のデバイス、最新のposture、コンプライアンス状態)がアクセス決定を継続的に供給します;信頼された状態で開始したセッションは、コンテキストが変化すれば再評価され制限される場合があります。
以下の各機能は、お客様のアプリケーションを配信し保護するのと同じプラットフォームの一部として提供されます。
既存のHTTPサービスにログインとSSOを接続します。アプリケーションはそのまま留まります;TR7がその前に立ち、認証、MFA、ポリシーを適用します。単一サービス、単一の認証ラッパー;ユーザーがログインすると直接アプリケーションに移行します。各アプリケーションが安定したURLを持ち、最小限の変更でのデプロイを望む場合に適しています。
独自のリスナーと独自のブランドを持つ独立したポータル。ログイン後、ユーザーは許可されているすべてのアプリケーションのlaunchpadを見ます — 内部Webアプリケーション、SaaS、RDP/SSH/VNCセッション。単一ポータル、多backend。統合された単一の入口に運用上の論理がある場合に適しています。
内部のRDP、SSH、VNCターゲットへブラウザ経由でアクセス。endpointにnativeクライアントなし、デバイスにVPNトンネルなし。セッションはトンネリングされ集中的に監査されます;単一の取り消しアクションがすべてのアクティブセッションを終了させます。
同一プラットフォーム上で動作する標準ベースのVPN。フルまたはスプリットトンネル用のSSL VPN;site-to-siteまたは強力暗号化のリモートアクセス用のIPsec IKEv2。特にモバイルで強力です:iOSとAndroidはIKEv2をネイティブに話し、ユーザーはアプリをインストールする代わりに設定にVPNプロファイルを追加します — 配布、更新、メンテナンスの負荷なし。WindowsとmacOSも同様に組み込みのVPNクライアントで動作します。BYOD(個人デバイス)シナリオに自然に適合します。
OAuth 2.0、OIDC、SAML、LDAP、RADIUSをネイティブサポート。Azure AD、Okta、ADFS、Google Workspace、OneLoginなど既存のIdPにプロトコルブリッジなしで接続します。
MFAはアクセスのedgeで適用されます。リクエストのコンテキストが変化したとき — 異なる国、異なるデバイス、より機密性の高いアプリケーション — step-up認証がトリガーされます。
信頼された状態で開始したセッションは、デフォルトで信頼され続けるわけではありません。endpoint posture、地理、デバイスの健全性、セッション異常がセッション全体を通じて再評価されます。コンテキストが変化すれば、アクセスは制限されるか、セッション中に取り消される場合があります。
ユーザーがTR7のendpointセキュリティ層によって管理されるデバイス上にいる展開では、デバイス信頼シグナル(既知のデバイス、最新のposture、コンプライアンス)がアクセスポリシーを供給します。管理されていないendpointは完全な検査を受けます。
gateway経由で内部ターゲットに到達するSSHセッションはコマンドレベルでログ記録されます — 入力されたすべてのコマンド、受信したすべての応答。監査証跡は調査対応可能;別途PAM製品は不要です。
各アプリケーションは独自のアクセスポリシーを持ちます:アイデンティティ、デバイスposture、時間帯、地理、MFA強度。CRMに到達したユーザーがデータベースに自動的に認可されることはありません。横方向の移動は、各アプリケーションが明示的に認可した範囲に制限されます。
TR7の背後にあるアプリケーションには直接到達できません。探索スキャン、ポートスイープ、認証前攻撃はTR7を見て、お客様のアプリケーションは見ません。アプリケーションコードを変更せずに攻撃面が縮小します。
アクセスポリシー、認証フロー、条件付きルールは、プラットフォームの他の場所で使用される同じ視覚的なフロービルダーで構築されます。独自のポリシー言語なし;ルールを変更するためにベンダー認定は不要です。
アクセスイベント、ADCトラフィック、WAAP検出、DDoSシグナルが単一のオペレータービューと単一の監査証跡で共有されます。SIEMエクスポートはプラットフォームの他の部分と同じタクソノミーを使用します。
どちらのモードもZero Trust Accessを提供します。違いはオペレーターの労力とエンドユーザー体験です。並行して運用できます。
単一アプリケーション、単一の認証ラッパー。アプリケーションは既存のURLを保持します;TR7がその前に立ち、認証、MFA、posture、ポリシーを適用します。ユーザーはログイン後、直接アプリケーションに到達します。各アプリケーションが安定したURLを持ち、可能な限り最小の変更でのデプロイを望む場合に適しています。
単一ポータル、多backend。独自のリスナーを持つ、ホワイトラベルの独立したポータル。ユーザーは一度ログインし、許可されているすべてのアプリケーションをlaunchpadで見ます。統合された入口が運用上理にかなう場合、またはアプリケーションlaunchpadを望む場合に適しています。
2つのモードは同時に動作できます。一部のアプリケーションはper-service authでラップされ、他はポータル経由でアクセスされます。同じアイデンティティポリシー、同じendpointシグナル、同じ監査証跡。
RDP、SSH、VNCセッションはどちらのモードでも提供できます — ラップされたper-service URLとして、またはポータルlaunchpadタイルとして。ブラウザ体験は同じ;変わるのは運用フレームのみです。
SSL VPNとIPsec VPNはどちらのモードと並んでも動作し続けます。移行期に有用です:ユーザーはお客様が決めたスケジュールに従ってVPNからper-applicationまたはポータルアクセスへ移行します。
どのモードを選んでも、設定オブジェクトはvServiceです。ヘルスチェック、トラフィックルール、可観測性、帯域幅モデルは同じように動作します。お客様の他のアプリケーションを配信するのと同じエンジンです。
ユーザーをフラットなVPNトンネルからアプリ単位のアクセスへ移行 — 抜本的な変更なしで。SSL VPNは動作し続けます;チームはPer-Service Authまたはブランドポータルへ段階的に移行します。
外部ユーザーは特定のアプリケーションへ短期かつ範囲を限定したアクセスを得ます。企業デバイスやVPNクライアントのインストールは不要;ポータルにログインし、許可されているものだけを見ます。
運用チームは内部のRDP、SSH、VNCターゲットにブラウザタブから到達します。各セッションはトンネリングされ監査されます;請負業者のアクセスが取り消されると、すべてのアクティブセッションが即座に終了します。
MFA、デバイスposture、セッションレベル監査に紐づくアプリ単位のポリシー。PAMレベルのSSHコマンドログが、別途PAM製品なしで規制および内部監査の要件を満たします。
データ所在地ルールがアイデンティティとセッショントラフィックのネットワーク外への流出を禁止します。オンプレミス展開がすべての認証決定、セッション、監査ログをローカル管理下に保ちます。
2つの組織、2つのアイデンティティプロバイダー、2つのアプリケーションカタログ。ブランド付きアクセスポータルは統合が進行する間、単一の表玄関になります — ユーザーは単一のlaunchpadを見ます、背後でアイデンティティ作業が続いていても。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
VPN アクセスを別個のネットワーク例外としてではなく、AAM のアイデンティティとデバイス信頼ポリシーの一部として管理します。
RDP、VNC、SSH、Kubernetes、レガシーシステムへブラウザからアクセス — クレデンシャルボールト、記録、ウォーターマークが標準装備。
3つのMFA方式、サービス単位ポリシー、信頼済みデバイスのショートカット — サードパーティのMFAクラウドなし。
単一のフローエンジンがすべての認証アウトカムを決定します — 誰が、何に、どの要素の後に、どのコンテキストで。
サインイン時に得たトラストは永遠には運ばれません。すべてのセッションは、すべてのステップで評価下にあり続けます。
標準準拠のSAML SP — エンタープライズIdP、国家アイデンティティフェデレーション、テナントごとのルーティング;MFA、条件付きアクセス、デバイストラストと連携。
標準準拠のOIDC relying party — PKCE付き認可コード、JWKSで検証されたIDトークン、nonceおよびstate防御、テナントごとのIdPルーティング。
あなたのエンタープライズディレクトリはすでに存在します;TR7 AAMはそれを複製せず、それに接続し、グループメンバーシップをアクセスポリシーに変えます。
SAML と OIDC 以外のあらゆるアイデンティティソースを同じアクセスおよび監査フローに接続します。
クライアント証明書を接続制御から引き上げ、トラフィック決定を動かすアイデンティティオブジェクトへと変えます。
ネットワークを統合せずにサービスを接続 — 重複するIPプランとテナント分離を単一のvServiceモデルで管理。
単一のシグナルではなく、組み合わせたリスク決定に基づいてcredential stuffing、ブルートフォース、セッションハイジャックの試みを阻止します。
3段階の段階的摩擦 — 警告、チャレンジ、ロック — IP、ユーザー名、またはその両方。Self-hosted CAPTCHA、外部クラウドなし。
Session ID の生成から cookie セキュリティ、IP+UA bind 制御から idle および absolute timeout 管理まで、セッションを単一の policy graph の下で保護します。
ETMアドオンのAAM統合ピラー:デバイスポスチャがアクセス判断のライブシグナルになります。
gateway ごとのブランド付きログイン UX を、テンプレート継承で。各ブランド、tenant、アプリケーションに個別のテンプレート;別個の web サーバーは不要。
フロントでモダンな認証、下流にはヘッダー・Authorization・Cookieとして注入されたアイデンティティ — レガシーアプリはレガシーのまま。
変更、忘れた、リセットのフローが単一のエンジンに — ワンタイムトークン、宛先マスキング、すべてのステップで監査。
TR7 Zero Trust Accessのライブデモをご依頼ください。2つの運用モードをご案内し、ブラウザからライブのRDPセッションを開き、同じポリシーエンジンがSSL VPN、per-app auth、アクセスポータルをどのように一元管理するかをお見せします。