クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

ゼロトラストネットワークアクセスとは?

ゼロトラストネットワークアクセス (ZTNA) とは、組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するITテクノロジーソリューションのことです。

ZTNAはソフトウェア定義境界 (SDP) とも呼ばれ、組織のアクセス制御ポリシーに従い、最小特権の原則に基づいてアプリケーションとサービスへのアクセス権が付与される適応モデルです。

多くの場合、ZTNAは仮想プライベートネットワーク (VPN) モデルに代わる手段として使用され、検証済みのユーザーにトータルなネットワークアクセスを付与します。リモートワークへの移行が進み、さまざまな場所およびデバイスにわたってネットワークトラフィックとアプリケーションの使用を監視、分析するのが困難になるにつれて、VPNの使用がサイバーセキュリティのリスクと見られることが多くなっています。

アイデンティティ保護戦略策定の完全ガイド

レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、「アイデンティティ保護戦略策定の完全ガイド」をダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。

 今すぐダウンロード

ゼロトラストネットワークアクセスの仕組み

ZTNAはネットワークアクセスからアプリケーションアクセスを切り離します。つまり、全体としてのネットワークとは対照的に、それぞれのアプリケーションを個別に使用するにはユーザーは認証を受ける必要があります。

ユーザーが認証されると、ZTNAツールはリソースにアクセス権を付与するためのセキュアな暗号化トンネルを確立します。ソフトウェア定義境界 (SDP) と同様に、ZTNAツールは「ダーククラウド」プリンシパルを使用してユーザーのIPアドレスを保護し、アクセス権を持たない他のアプリケーションおよびサービスへのユーザーの可視性を制限します。

この方法で各ユーザーを認証し、アクセスを切り離すことによって、組織は侵害を受けたデバイスからの感染リスクを軽減するとともに、万一侵害が発生した場合にラテラルムーブメントを阻止できます。

ZTNA、VPNと従来のネットワークアクセスの比較

ZTNAは、「信頼するが検証もする」方式に従う従来のネットワークセキュリティとは大きく異なります。従来のモデルでは、組織のネットワーク境界内のユーザーとエンドポイントは信頼できるものと想定されていました。これにより、組織は悪意のある内部アクターおよび不正な認証情報からのリスクにさらされるとともに、ネットワーク内に侵入した権限のないユーザーに、広範囲に及ぶアクセス権を意図せず付与していました。

ZTNAが従来のネットワークアクセスモデルと異なるのは、主に以下の3つの点です。

1. アクセス制御

ZTNAモデルでは、一般にほとんどのVPNモデルで識別の基盤として使用されているユーザーのIPアドレスではなく、高度な識別技術に基づいて認証とアクセスが行われます。

この方法でネットワークアクセスを構造化することによって、組織はユーザーの場所またはデバイスタイプに基づいてアクセスリクエストを自動的に拒否できる、カスタマイズしたセキュアなアクセスポリシーをさらに柔軟に作成できます。たとえば、組織は旧式のデバイスや脆弱なデバイスがネットワークに接続するのを阻止するように設計されたポリシーを実装できます。また、デバイスにパッチが適切に適用されていることを確認した後にネットワークアクセスを付与することもできます。

2. アプリケーションの発見

ZTNAフレームワークでは、プライベートのアプリケーションおよびサービスはネットワークまたはインターネットに配置されないため、権限のないユーザーによる発見やアクセスはさらに困難になります。その結果、組織の攻撃対象領域が大幅に縮小されます。

代わりに、ネットワークアクセスは指定のトラストブローカーによって管理されます。このトラストブローカーは、リクエストを付与する前にユーザーのアクセス権を確認します。

3. アクセス特権

上記のとおり、ZTNAモデルでは、アクセスはケースバイケースで決定されます。つまり、すべてのデバイスにわたってユーザーにアクセス権が付与されず、いかなるユーザーによるデバイスの使用も承認されません。それどころか、信頼性できる/頻繁にアクセスするユーザーまたはデバイスの場合でも、アクセスリクエストは作成と同時に評価、付与されます。

組織が職場での個人所有デバイスの使用を従業員に許可する中で、このレベルのセキュリティはますます重要になりつつあります。従来のセキュリティモデルの多くでは、使用されているデバイスを問わず、アクセスはユーザーに基づくため、ネットワークが不特定多数の脅威にさらされる可能性があります。

ゼロトラストネットワークアクセスのユースケース

ZTNAのユースケースには、組織にとって貴重なものがいくつかあります。ZTNAのユースケースで最も一般的なものを示します。

  1. VPNの代替:ZTNAはVPNシステムと同じ基本的なリモートアクセス機能を提供しますが、VPNよりもセキュリティが強化され、管理が減少し、ネットワーク速度が向上します。
  2. マルチクラウドアクセス:マルチクラウド環境があり、個々のクラウドアクセスのほかにクラウドベースのサービスおよびアプリケーションに関して柔軟性を高めたい組織には、ゼロトラストアーキテクチャが理想的です。
  3. M&A後の統合:ZTNAはネットワークコンバージェンスを簡素化することによって、標準的なM&A後の統合スケジュールを加速させます。

ZTNAの制限事項

ZTNAは、承認済みの認証されたユーザーだけがIT環境またはリソースへのアクセス権を確実に付与されるという点で、VPNに代わる次世代の手段として機能します。しかしその一方で、信頼できるゾーンへのアクセス権がユーザーに付与された後は、脅威の積極的な監視または軽減が実施されません。

また、ZTNAを介したセキュアなアクセスは包括的なサイバーセキュリティ戦略の重要な要素であるものの、ランサムウェアやサプライチェーン攻撃といった現代のサイバー攻撃を阻止する点では効果的ではありません。ZTNAは十分な保護を確保するために、Secure Access Service Edge (SASE) ソリューションなどのセキュリティツールやソリューションと併用する必要があります。

さらに、ZTNAにはアクティビティデータやエンドポイントの詳細の収集など、基盤となるアイデンティティ保護機能がありません。このように、ZTNAソリューションは標準的なユーザーの振る舞いのベースラインを決定できず、異常または逸脱の検知が困難になります。

最後に、ほとんどの ZTNA ソリューションでは、VPNと同様のゲートウェイが必要です。なぜなら、正当なユーザーが業務に必要なツールやリソースにアクセスする際の操作性に大きな支障をきたすことなく、可能な限り強力な保護を確保する必要があるためです。

詳細

何よりも重要なサイバーセキュリティのフレームワークにゼロトラストとSecure Access Service Edge (SASE) を組み込む際の一般的な疑問にお答えする中で、ゼロトラストとSASEの違いについて詳細を解説します。

読む:ゼロトラストとSASEの比較

貴社に適したアイデンティティセキュリティアプローチを選択する方法

既存のZTNAツールにいくつか制限があることを考慮すると、さらに強力なセキュリティとアクセス制御を確保するために、組織はより広範なアイデンティティ保護ソリューションを検討する可能性があります。アイデンティティ保護ソリューションの主な利点は以下のとおりです。

  1. アイデンティティ保護ソリューションは包括的な保護をもたらします。たとえば、アイデンティティの振る舞いおよびリスクベース分析(人間のアカウントとプログラマティックアカウントを含む)、アイデンティティストア攻撃の検知と防御、オンプレミスのActive Directory (AD) およびEntra ID(旧Azure AD)のプラットフォームに対する脅威のリアルタイム分析などがあります。ADはサイバー防御の最大の弱点であるため、ADを保護することが重要です。
  2. アイデンティティ保護ソリューションは、通常の人間のアカウント、サービスアカウント、特権アカウントを含むすべてのアカウントを考慮し、ユーザーのリスクとエンドポイントに関連するリスクの両方を評価します。これにより、ZTNAのポリシーで定義されているとおり、特定のアプリケーションへのアクセス権を単にユーザーに付与する代わりに、アイデンティティセグメンテーション、およびコンテキストに結び付いたセキュリティの自動化が可能になります。
  3. ZTNAはラテラルムーブメントからの保護を提供しますが、アイデンティティ保護ソリューションには、権限昇格、サービスアカウントの悪用、対話型ログイン、RDP攻撃、NTLM、およびLDAP/Sベース攻撃を活用した新たな敵対的戦術を検知するメカニズムも搭載されています。

クラウドストライクのアイデンティティ保護で取り組みを活性化

アイデンティティストアの弱点や問題を見つけ、場所を問わずアイデンティティストアに対する攻撃をリアルタイムで阻止するために、CrowdStrike Falcon® Next-Gen Identity Securityがクラウド配信型のソリューションを使用して現代の企業を保護します。

クラウドストライクのソリューションには以下が含まれます。

  1. Falcon Identity Threat DetectionADセキュリティの第一段階として、アイデンティティのリスク分析を行い、認証システムや認証情報に対する脅威をいち早く検知
  2. Falcon Identity Protection:ほぼすべての多要素認証/SSOプロバイダーと組み合わせて、アイデンティティ、振る舞い、リスク分析を使用し、リアルタイムの脅威防御とITポリシーの適用によるシームレスなセキュリティを実現し、リアルタイムで脅威に対抗

組織がクラウドストライクのアイデンティティ保護を活用して現代の脅威のあらゆる側面に対するサイバーセキュリティポスチャをどのように強化、拡大するのかについて詳細を確認するには、当社のデータシートをダウンロードし、今すぐデモを予約してください。

ヴェヌ・シャストリはIDおよびサイバーセキュリティ製品のマーケティング担当として経験を積み、CrowdStrikeで統合エンドポイントおよびID保護の製品マーケティングでディレクターを務めています。OktaおよびOracleで10年以上にわたりID、製品マーケティングおよび管理機能を推進した経験があり、パスワードレス認証に関する米国特許を取得しています。ID関連業務の経験を積む前には、企業向けにソーシャルソフトウェアを立ち上げる製品管理を共同設立して経営していました。ノースカロライナ州ローリーの出身で、サンタクララ大学でMBAを取得し、MITスローンでエグゼクティブ認定を取得しています。