ZTNA(ゼロトラスト・ネットワーク・アクセス) ぜっととらすとねっとわーくあくせす
ZTNAとは
ZTNA(Zero Trust Network Access) とは、「何も信頼しない、常に検証する」というゼロトラストの原則をネットワークアクセスに適用したセキュリティの仕組みです。従来のVPNのように「社内ネットワークに入れた=安全」とは考えず、ユーザー・デバイス・状況を毎回厳密に確認したうえで、必要なリソースだけに最小限のアクセスを許可します。
テレワークの普及やクラウド利用の拡大により、「社内・社外」という境界線がほぼ意味をなさなくなった現代において、ZTNAは境界型セキュリティの限界を補う新世代のアクセス制御モデルとして急速に注目されています。攻撃者が一度ネットワーク内部に侵入しても、ZTNAがあれば横移動(ラテラルムーブメント)を防ぐことができます。
実務では、クラウドサービス(SaaS)や社内システムへのアクセスを、ユーザーのアイデンティティ(本人確認)・デバイスの健全性・接続元の場所・時刻などの文脈情報をもとに動的に制御します。IT部門が「誰が・何に・いつ・どのように」アクセスしたかを一元的に把握できる点も大きな特徴です。
ZTNAの仕組みと核心概念
ZTNAの動作は「まず疑い、証明されたら通す」の繰り返しです。アクセス要求のたびに複数の条件を評価し、合格した場合にのみ、必要なアプリケーションへの接続だけを開きます。
| 評価ポイント | 内容 | 具体例 |
|---|---|---|
| アイデンティティ | 本人確認(認証) | MFA・SSO・証明書 |
| デバイス状態 | 端末の健全性チェック | OS更新済み?ウイルス対策有効? |
| 接続コンテキスト | 場所・時刻・ネットワーク | 海外から深夜にアクセス→要追加確認 |
| 最小権限 | 必要なアプリのみ公開 | 経理担当は会計システムのみ到達可 |
| 継続的検証 | セッション中も監視 | 途中で異常があれば切断 |
ZTNAの2つの実装モデル
ZTNAには主に2つの提供形態があります。
- エンドポイント起点型(Agent-based):端末にエージェント(小さなソフト)をインストールし、デバイス情報も含めて検証するタイプ。デバイス管理と連携しやすい。
- サービス起点型(Agentless):ブラウザだけで利用できるタイプ。BYOD(私物端末)や取引先へのアクセス付与に向いている。
覚え方:「ZTNAは門番が何人もいる城」
城の正門を通っても、廊下・部屋ごとに別の門番がいて、そのつど通行証を確認される。城(ネットワーク)に入った後も、行ける場所は「その人に必要な部屋だけ」。これがZTNA!
歴史と背景
- 2010年 — Forrester ResearchのJohn Kindervag氏が「ゼロトラスト」という概念を提唱。「内側は安全」という前提を根本から疑う考え方が生まれる
- 2013〜2014年 — Googleが社内で「BeyondCorp」を実装・公開。従業員がVPNなしでどこからでも安全に業務システムを使える実証事例として注目される
- 2019年 — Gartnerが「ZTNA」という用語を定義し、VPNに代わる次世代アクセス制御として市場レポートに掲載
- 2020年 — 新型コロナウイルスによる急速なテレワーク移行。VPNの帯域不足・管理コスト問題が顕在化し、ZTNAへの関心が爆発的に高まる
- 2021年 — 米国政府(バイデン大統領令)がゼロトラストアーキテクチャの採用を連邦機関に義務付け。ZTNAが政策レベルでの標準に
- 2022年以降 — SASEフレームワークの普及とともに、ZTNAはSD-WAN・CASBなどと統合された形でクラウドサービスとして提供される形態が主流に
VPNとZTNAの比較
従来のVPNとZTNAは「リモートアクセスを実現する」という目的は同じですが、思想と動作が根本的に異なります。
| 比較項目 | 従来のVPN | ZTNA |
|---|---|---|
| 信頼の前提 | ネットワーク内は信頼 | 常に疑い、都度検証 |
| アクセス範囲 | ネットワーク全体に到達可能 | 許可されたアプリのみ |
| 認証タイミング | 接続時のみ | 継続的に検証 |
| デバイス確認 | 基本なし | 必須 |
| クラウド対応 | 不向き(ヘアピン問題) | ネイティブ対応 |
| 導入形態 | オンプレミス機器が中心 | クラウド型SaaS |
| 横移動リスク | 高い | 低い(セグメント化) |
ZTNAとSASEの関係
SASE(Secure Access Service Edge) はZTNAを含む広い概念で、SD-WAN・CASB・SWGなどのネットワーク・セキュリティ機能をクラウドに統合したフレームワークです。ZTNAはSASEを構成する重要コンポーネントの一つと理解しておくとよいでしょう。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの定義・原則・実装ガイダンス(米国国立標準技術研究所) |
| RFC 8996 | TLS 1.0/1.1の廃止。ZTNAで使われる暗号通信の最低ラインを定義 |
| RFC 8446 | TLS 1.3。ZTNAのセッション暗号化に使われる最新規格 |
関連用語
- ゼロトラスト — ZTNAの基盤となる「何も信頼しない」セキュリティ原則
- VPN — ZTNAが置き換えを進める従来型リモートアクセス技術
- SASE — ZTNAを含むネットワーク・セキュリティを統合したクラウドフレームワーク
- MFA(多要素認証) — ZTNAのアイデンティティ検証で必須となる認証強化技術
- SSO(シングルサインオン) — ZTNAと連携してユーザー認証を一元管理する仕組み
- マイクロセグメンテーション — ZTNAと組み合わせてネットワーク内部を細かく分割するセキュリティ手法
- CASB — クラウドサービスへのアクセスを可視化・制御するセキュリティブローカー
- IdP(アイデンティティプロバイダー) — ZTNAの認証基盤として機能するユーザー管理サービス