ゼロトラストによるVPN代替 ぜろとらすとによるぶいぴーえぬだいたい
ゼロトラストによるVPN代替とは
従来のリモートアクセスは「VPN(仮想プライベートネットワーク)」が主役でした。VPNは「社内ネットワークへの入口に鍵をかけ、正しい鍵を持つ人だけ中に入れる」仕組みです。一度中に入ってしまえば、社内のさまざまなシステムにアクセスできる状態になります。これはオフィスが唯一の業務拠点だった時代には十分でしたが、クラウド化・テレワーク普及が進むにつれて、「入口さえ突破されたら全部やられる」という弱点が露わになってきました。
**ゼロトラスト(Zero Trust)とは「何も信頼しない(Trust Nothing)」を原則とするセキュリティの考え方です。社内にいても・VPNでつないでいても、アクセスするたびに「本人か?」「このデバイスは安全か?」「このリソースへのアクセス権はあるか?」を毎回確認します。このゼロトラストの考え方を実装したZTNA(Zero Trust Network Access)**と呼ばれる技術・製品群が、VPNの代替手段として急速に普及しています。
VPNとZTNAの最大の違いは「アクセスの粒度」です。VPNはネットワーク全体への入場券を渡すのに対して、ZTNAは「この人はこのアプリケーションだけ使える」という最小権限のアクセスを実現します。クラウドサービスの利用が増えた現代の業務環境にフィットした、次世代のリモートアクセス方式といえます。
VPNとZTNA(ゼロトラスト)の違い
| 比較項目 | 従来のVPN | ZTNA(ゼロトラスト) |
|---|---|---|
| 信頼モデル | ネットワーク内は信頼 | 常に検証・信頼しない |
| アクセス単位 | ネットワーク全体 | アプリ・リソース単位 |
| 認証タイミング | 接続時に1回 | アクセスのたびに都度 |
| デバイス検査 | ほぼなし | 必須(健全性確認) |
| クラウド対応 | 苦手(ヘアピン問題) | 得意(直接接続) |
| 侵害時の被害範囲 | ネットワーク全域 | 最小限に抑制 |
| 運用負荷 | 機器管理が必要 | クラウドで集中管理 |
「ゼロトラスト」の覚え方
「ゼロ(0)=信頼はゼロから始まる」と覚えましょう。銀行のATMのように、毎回カードを挿してPINを打つ手間が必要——でもその分だけ安全、というイメージです。VPNは「会員証を一度見せれば店内を自由に歩き回れる」感じ、ZTNAは「商品を手に取るたびに本人確認する」感じです。
ZTNAの主な実装方式
| 方式 | 概要 | 代表製品例 |
|---|---|---|
| クライアントベース | デバイスにエージェント(専用アプリ)を入れる | Zscaler Private Access, Cloudflare Access |
| クライアントレス | ブラウザだけでアクセス(エージェント不要) | Akamai EAA, Google BeyondCorp |
| SDP(Software Defined Perimeter) | ソフトウェアで境界を動的に定義 | Appgate SDP |
歴史と背景
- 2003年頃 — VPNが企業のリモートアクセスの標準として普及。拠点間・テレワーク接続の主役に
- 2010年 — Googleが社内で「BeyondCorp」プロジェクトを開始。「VPNなしでも安全に働ける環境」を構築し始める
- 2010年 — セキュリティアナリストのJohn Kindervagがゼロトラストモデルを提唱(Forrester Research)
- 2017年頃 — クラウド化・SaaS普及が加速し、「VPN経由で一度社内に入ってからクラウドへ」というヘアピンルーティング問題が顕在化
- 2020年 — 新型コロナによるテレワーク急拡大でVPNの限界が露呈(帯域不足・集中負荷)
- 2020年 — 米国国立標準技術研究所(NIST)が「SP 800-207 Zero Trust Architecture」を発行し、ゼロトラストが公的に定義される
- 2021年 — 米国バイデン政権が「ゼロトラストアーキテクチャへの移行」を大統領令で指示、政府機関に義務化
- 2022年〜 — 国内でも経済産業省・IPAがゼロトラスト導入を推奨。ZTNA製品市場が急成長
ゼロトラストの構成要素と仕組み
ZTNAは「アクセスを許可する前に複数の要素を確認する」仕組みで動きます。主な確認要素は以下の通りです。
ゼロトラスト実現に必要な技術要素
| 技術要素 | 役割 | 具体例 |
|---|---|---|
| IdP(Identity Provider) | 本人確認・認証基盤 | Azure AD, Okta, Google Workspace |
| MFA(多要素認証) | パスワード+別の手段で認証 | SMS, 認証アプリ, 生体認証 |
| EDR(Endpoint Detection and Response) | デバイスの健全性監視 | CrowdStrike, Microsoft Defender |
| ZTNA/SDP製品 | アプリ単位のアクセス制御 | Zscaler, Cloudflare, Akamai |
| CASB | クラウドアプリの利用制御 | Microsoft MCAS, Netskope |
| SIEM/SOAR | ログ収集・自動対応 | Splunk, Microsoft Sentinel |
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの公式定義・ガイドライン(米国標準技術研究所) |
| RFC 8996 | TLS 1.0/1.1の廃止(ゼロトラストで必須となるTLS 1.2/1.3移行の根拠) |
| RFC 8705 | OAuth 2.0相互TLS証明書バインディング(デバイス証明書を使った認証強化) |
| RFC 7519 | JWT(JSON Web Token)— ゼロトラストの認証トークンとして広く使用 |
関連用語
- VPN — 仮想プライベートネットワーク。ゼロトラストが代替しようとしている従来技術
- 多要素認証(MFA) — ゼロトラスト実現に不可欠な、複数手段を組み合わせた認証方式
- SDP(Software Defined Perimeter) — ゼロトラストを実装するネットワーク境界のソフトウェア定義技術
- IDaaS — クラウド型のID管理サービス。ゼロトラストの認証基盤として機能
- CASB — クラウドアプリの利用を可視化・制御するセキュリティブローカー
- EDR — エンドポイント(PCや端末)の脅威検知・対応。デバイス健全性確認に使用
- SSE(Security Service Edge) — ZTNAやCASBを統合したクラウド型セキュリティサービス
- 最小権限の原則 — 必要最低限のアクセス権のみ付与するゼロトラストの基本原則