Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読するVPN vs ZTNA: VPNからゼロトラスト ネットワーク アクセスへの移行で学んだ5つの教訓
1990年代後半、VPNテクノロジーは業界に旋風を巻き起こしました。ネットワークがすべての家庭に拡張され、ユーザーは自宅にいながら、オフィスと同じように作業できるようになったのです。しかし、ダイヤルアップ形式のモデム、ポケットベル、VCRのように企業VPNはひと昔前の遺物であり、現代のクラウドファースト、モバイルファーストの環境が求めるニーズを満たしていません。
ある大手医療企業は、パンデミックの発生を受けて大規模なリモート ワークへの移行が早急に必要となった際に、これまでのVPN戦略を見直す必要があることに気付きました。リモート アクセスのセキュリティはもはや十分ではなく、今後に向けて安全で使いやすくしていく必要があったのですが、このバランスを実現するために、ゼロトラスト ネットワーク アクセス(ZTNA)に着目したのです。
先日同社の情報セキュリティ アーキテクチャーの責任者と話しをする機会がありました。その中で、従来型のVPNからZTNAへ切り替えた経験から得た5つの重要な学びが話題に上がりました。
VPNと比べて、ZTNAではユーザー満足度が急上昇
企業のデータ センターを介してユーザー トラフィックをバックホールする必要があるため、インターネットのパフォーマンスを低下させてしまうVPNとは異なり、ZTNAはユーザーをプライベート アプリケーションに直接接続します。同社では、全員がVPNを使用しているものの、実際には誰もVPNを好んで使っているわけではないことが浮き彫りになりました。ZPAを使用することでアプリケーションへの迅速かつ簡単なアクセスが実現し、ユーザーの満足度が飛躍的に向上しました。具体的には、VPNに対しての評価平均点は5点満点中3点でしたが、ZPAでは4.8点という高評価を下しています。
ゼロトラストと従来型のVPNではアプローチの仕方が異なる
従来のVPNでは、ユーザーは一度認証された後、ネットワーク上に配置されますが、例えるならそれはすべてにアクセスできるオフィスで作業をしているようなものです。しかし、ゼロトラストではユーザーとデバイスは継続的に検証され、承認された特定のアプリケーションへのアクセスのみが許可されます。必要最小限のアクセスというこの概念を実践するには、全員が自分の業務に必要なアプリケーションのみにアクセスできるようにプロファイルを作成する必要があります。つまり、モバイル開発者とWebアプリ開発者、経理担当のユーザーとIT担当のユーザーでは必要となるアクセス内容が異なるわけです。
リスクはどの程度覚悟するか
ゼロトラストは、許容できるリスクの規模とポリシーを構築し実施するために必要な労力とのバランスをとります。自身に対して厳しい問いを投げかけ、その答えについて熟考していく必要があります。
- アクセスはどの程度で十分か
- 人事部、経理部、法務部、マーケティング、IT部門にはどのようなポリシーが必要か
- 各グループが必要とするアクセスに対して、異なるポリシーはどの程度必要か
- リスクはどの程度許容できるか。またそのレベルでのリスク管理を実現するために、どの程度の管理オーバーヘッドを受け入れられるか
ゼロトラストは一朝一夕に実現するものではなく、旅のようなもの
ゼロトラストの実装にあたっては、最小限の信頼と最小特権アクセスという目標を実現するために時間をかけてアクセスを縮小していく過程を通ります。この会社は、ゼロトラストの初期ユーザーに対して必要以上のアクセス権を与えていましたが、それでもリスクのレベルはVPNを使用する場合と比べてはるかに優れていました。例を挙げると、当初は *.company.comへのアクセスを許可していましたが、その後Zscalerのアプリケーション分析機能を使用して、誰がどのアプリケーションを使用してどのアプリケーションが最も稼働しているかを確認しました。こうして入手した情報を生かして、ユーザー アクセスを絞り込み、時間をかけてポリシーを改善していきました。
ゼロトラストはセキュアなリモート アクセス以上の機能を提供する
ゼロトラストの実装を推進する要因として、リモート ワーカーのセキュリティやユーザー エクスペリエンスの向上が挙げられますが、会社全体にゼロトラストの考え方を浸透させることも重要です。リモート アクセスはゼロトラストにおける不可欠なコンポーネントですが、それ以外のすべてのアクセスにとってはゼロトラストがどのような意味を持つのかについても検討する必要があります。例えばクラウド環境やオンプレミスでのアクセスではどうなるのかといった点です。最終的には攻撃対象領域を減らして、組織全体とあらゆる場所のすべてのユーザーを対象にデータを保護する必要があります。
簡単に言うと、既存のネットワーク中心のコントロールを現在のクラウドおよびモバイルのユース ケースに拡張しようとする際に生じる「ひずみ」を理解して、そのリスクに目を向けながらプラス面があるのかどうかを再考するということです。今現在だけでなく、将来的なニーズを満たすアーキテクチャーをゼロから設計する場合、果たしてひと昔前の技術を使用するでしょうか。これまでZscalerの多くのお客様が実践しているように、従来型のコントロールから離れてゼロトラストへの道のりを簡素化できる、より現代的なアプローチに拡張するチャンスをその目でお確かめください。
従来型のVPNからZTNAへの移行、HumanaがZscaler Private Accessを導入した方法の詳細については、先日実施されたウェビナーリスクの高いVPNに代わるゼロトラストをご覧ください。