読了所要時間: 5分5秒 | 公開日: 2025年1月25日
ユニバーサルZTNA ユニバーサルZTNAとは
Universal Zero Trust Network Access (ZTNA) はZTNAの進化形です。セキュアなアクセスの原則を拡張し、組織のITエコシステム全体のあらゆる種類のユーザーとデバイスを網羅します。リモートユーザーに焦点を当てることが多い従来のZTNAとは異なり、ユニバーサルZTNAは、オンプレミスかリモートユーザーかに関係なく、IoTを含むすべてのユーザーとデバイスに対して均一のシームレスなセキュリティ制御を提供します。ユニバーサルZTNAはホリスティックなアプローチを採用しているため、厳格なゼロトラスト原則を維持しながら、場所に関係なく、どのようなデバイスからでも、組織の持つリソースすべてにセキュアにアクセスできます。
ユニバーサルZTNAの仕組み
ユニバーサルZTNAの動作は、特定のリソースへのアクセスを許可する前にユーザーとデバイスの継続的な検証を要するゼロトラストの基本原則に基づきます。通常は次のように動作します。
- 認証と承認: ユニバーサルZTNAは、リソースにアクセスしようとするユーザーとデバイスのIDを確認することから始まります。これには多要素認証 (MFA) やさまざまなID検証技術を使用します。ユーザーのロール、デバイスの健全性、アクセスの場所や時間などのコンテキスト要因が評価され、承認が決定されます。
- ポリシーの強制適用: 認証されると、ユーザーまたはデバイスに許可されるアクセスは承認された特定のアプリケーションまたはリソースに対してのみとなります。ポリシーは一元的に定義され、すべての環境に等しく適用され、均一のアクセス制御が保証されます。エンドポイントセキュリティソリューションのアクティベーションや、高リスクのロケーションからのアクセスの制限などの条件が各種ポリシーに追加されることがあります。
- きめ細かいアクセス制御: 従来のネットワークアクセスソリューションとは異なり、ユニバーサルZTNAではユーザーは広範なネットワークアクセス権限を取得できません。アクセスはリソースごとに許可されるため、攻撃対象領域が最小限に抑えられます。内部サービスはパブリックには非公開のため、悪意のある行為者による不正使用リスクが軽減されます。
- 継続的なモニタリングと検証: ユニバーサルZTNAソリューションはユーザーのアクティビティとデバイスの動作を継続的にモニタリングします。疑わしいアクティビティが発生すると、アラートがトリガーされるか、アクセスがただちに停止します。この動的なアプローチにより、各組織では進化する脅威にリアルタイムで適応できます。
- 既存システムとの統合: セキュリティポスチャの強化のため、ユニバーサルZTNAはアイデンティティおよびアクセス管理 (IAM) システム、セキュリティ情報およびイベント管理 (SIEM) プラットフォーム、エンドポイント検出および応答 (EDR) ツールとシームレスに統合されます。
なぜユニバーサルZTNAを検討すべきか
リモートワーク、クラウド導入、IoTの急拡大で、ユーザーとデバイスがどこからでも接続できるようになって企業の境界が再定義されるとともに、保護すべきデータがエッジに蓄積されるため、ユニバーサルZTNAが欠かせないものとなりました。組織がユニバーサルZTNA導入を検討すべき主な理由は以下のとおりです。
- 包括的なカバレッジ: 従来のZTNAソリューションとは異なり、ユニバーサルZTNAはリモートとオンプレミスのすべてのタイプのデバイスへのアクセスを保護します。ゼロトラスト原則を管理対象外のデバイスやIoTデバイスに拡張し、エンドポイントがセキュリティの抜け穴にならないようにします。
- セキュリティ強化: ユニバーサルZTNAは暗黙の信頼を排し、すべてのアクセス要求に対して常時検証を保証するため、リスクが軽減されます。内部サービスをパブリックから非公開にして、不正アクセスの可能性を下げます。
- スケーラビリティとフレキシビリティ: ユニバーサルZTNAのクラウドネイティブアーキテクチャがセキュリティオペレーションのスケーリングに要する労力を省くため、成長するチームや進化するIT環境に対応できます。ハイブリッドワーク環境をサポートし、リモートワーカーやサードパーティの協力会社にもセキュアなアクセスを保証します。
- オペレーション効率: 一元的なポリシー管理により、複数環境全体にわたってアクセス制御を強制適用しやすくなります。既存のIAM、SIEM、EDRの各システムとの統合で可視性が上がり、管理オーバーヘッドが削減されます。
- コンプライアンスとガバナンス: ユニバーサルZTNAは詳細なアクセスログとモニタリング機能を提供するため、組織が規制要件に準拠し、監査準備の維持管理にも役立ちます。データ保護ポリシーの強制適用で機密情報の安全性が保たれます。
ユニバーサルZTNAのメリット
ユニバーサルZTNAにはモダンなITセキュリティ戦略に価値を追加できる強みがあります。主なメリットを以下のとおりまとめました。
- 攻撃対象領域の縮小: ユニバーサルZTNAは特定のリソースへのアクセスを制限、インタラクションはアクセスが許可済みのユーザーとデバイス間に限定されます。このアプローチで攻撃者が脆弱性を悪用する機会が最小限に抑えられます。
- ユーザーエクスペリエンスの向上: ユニバーサルZTNAがシームレスかつ均一のアクセス制御を提供することで、ユーザーは複数のセキュリティツールやワークフローを使い分けることがなくなります。これでセキュリティ対策が生産性を低下させません。
- 管理対象外のデバイスの保護: ユニバーサルZTNAはIoT、BYOD、ゲストデバイスなどの管理対象外のデバイスにセキュリティを拡張します。これで従来は存在しなかったようなエンドポイントでも潜在的な脅威から保護できます。
- シンプルになったポリシー管理: 一元化されたポリシー管理により、ITチームは複数のツールやプラットフォームを使い分けずに、さまざまな環境全体にわたってアクセス制御を定義のうえで強制適用できます。
- 進化する脅威への適応力: 常時モニタリングとリアルタイム検証によって、ユニバーサルZTNAは脅威を未然予防的に検出、緩和して、新しい攻撃ベクトルが出現しても適応します。
- ハイブリッドワークモデルのサポート: 各組織でハイブリッドワーク環境が採用されるにつれて、ユニバーサルZTNAは事業継続性の目的の下にリモートワーカー、請負業者、サードパーティベンダーにもセキュアなアクセスを保証します。
- 規制コンプライアンス: ユニバーサルZTNAはGDPR、HIPAA、PCI DSSなどの厳格な規制要件との準拠に必要な可視性と制御性を提供します。
HPE Aruba NetworkingのユニバーサルZTNA
HPE Aruba Networkingが提供する包括的なプラットフォームは、ゼロトラスト保護の特定領域のみに対応することが多かった従来のソリューションの狭小な焦点の域を超えました。当社のEdge-to-CloudゼロトラストプラットフォームでシングルベンダーのSASEソリューションと高度な機械学習ベースのNAC機能がシームレスに統合されます。このアプローチで、各組織はユニバーサルZTNAアプローチを採用し、リモートかオンプレミスに左右されず、すべてのデバイスにゼロトラスト原則を一様に適用できるようになります。
HPE Aruba Networking Edge-to-Cloudゼロトラストプラットフォーム
このプロセスの開始点はリモートユーザーのセキュリティ保護です。ZTNAが操作を簡素化しながらプライベートリソースへのセキュアなアクセスを提供することで、古くなったVPNに取って替わります。このソリューションのエージェントレスオプションにより、サードパーティユーザーもセキュアに接続できるようになり、サードパーティのリスクが軽減され、シームレスなコラボレーションが保証されます。保護をさらに強化する目的で、セキュアWebゲートウェイ (SWG) 機能がWebベースの脅威からエンドポイントを保護、クラウドアクセスセキュリティブローカー (CASB) およびデータ損失防止 (DLP) 機能によって SaaSアプリケーションへのセキュアなアクセスが確保され、データ漏洩が防止されます。
ゼロトラスト原則がキャンパスやブランチの各ロケーションに拡張されても、HPE Aruba NetworkingのZTNAプライベートエッジはオンプレミスのトラフィックを必ずローカルのままで維持します。これでクラウドへの非効率的なヘアピンルーティングが排除され、リモートユーザーとローカルユーザー双方に同じアクセス制御ポリシーが強制適用されます。
このソリューションは高度な機械学習を活用してエンタープライズネットワークの最弱のリンクとなりがちなIoTデバイスなどのデバイスのプロファイルを最大99%の精度で作成するため、ネットワークが詳細に可視化されます。
HPE Aruba Networking Centralでグローバルなゼロトラストポリシーを定義すると、各組織ではCXスイッチ、アクセスポイント、EdgeConnect SD-WANのエンベデッドファイアウォールを介してすべてのエンドポイントにアクセス制御を強制適用できます。データセンター向けにはCX 10000スイッチが画期的なゼロトラストセグメンテーションとeast-westファイアウォールを提供し、従来のハードウェアアプライアンスへの効率の悪いトラフィックのヘアピンがなくなります。
HPE Aruba Networking Edge-to-Cloudゼロトラストプラットフォームは、不正アクセス検知防御システム (IDS/IPS) などの組み込み機能でネットワークを常時モニタリング、信頼レベルをリアルタイムで調整します。AIを活用したNDR機能が異常動作を検出し、ランサムウェア攻撃などの脅威を高精度で検出することで、セキュリティをさらに強化します。こうした機能は、ほぼ400万台のデバイスと10億件超のクライアントインタラクションから得られた広範なトレーニングデータによって強化され、高レベルの脅威検出と対応精度を実現します。
このプラットフォームはゼロトラストへの総合的なアプローチを提供して、各組織がインフラストラクチャのあらゆるレイヤーとロケーションにわたってネットワーク、ユーザー、データを保護できるようにします。リモートユーザーからIoTデバイス、ブランチロケーション、データセンターに至るまで、ますます複雑化する脅威の状況において比類のないセキュリティ、可視性、効率性を実現します。
ユニバーサルZTNAとZTNAの比較
従来のZTNAとユニバーサルZTNAはゼロトラスト原則を中核とする点では同じですが、その範囲、機能、適用性は異なります。ZTNAはリモートユーザーに重点を置きますが、ユニバーサルZTNAはゼロトラスト原則をオンプレミスに拡張して、あらゆるユーザーとデバイスを保護します。ZTNAの目的は本来はもっと広いもので、リモートユーザーだけに絞ったものではありません。
さまざまなIT環境全体にわたってセキュリティを標準化したい組織にとって、ユニバーサルZTNAはより包括的なソリューションとして登場しました。ユニバーサルZTNAは従来のZTNAの制限に対処することで、セキュアなアクセスに向けた一元的かつスケーラブルなアプローチを提供します。
両者の違いを浮き彫りにするために比較してみました。
認定製品 | 従来のZTNA | ユニバーサルZTNA |
|---|---|---|
| 対象範囲 | リモートユーザー重視。 | すべてのユーザー、デバイス、アプリケーションをカバー。 |
| アプリケーションサポート | 主にWebおよびSaaSアプリケーションをサポート。 | オンプレミス、クラウド、ハイブリッド、レガシー、SaaSをサポート。 |
| デバイス範囲 | 管理対象デバイスのみ。 | IoTなど管理対象外のデバイスまで拡張。 |
| アクセス制御 | 特定のアプリケーションに対するリソースレベルのアクセス。 | エコシステム全体にわたって同じアクセス制御。 |
| スケーラビリティ | 大規模環境ではツール追加を要する場合あり。 | クラウドネイティブアーキテクチャとシームレスなスケーラビリティ。 |
| フレキシビリティ | モダンハイブリッドワーク環境への適応性が低い。 | 多様かつ分散したワークフォース対応の設計。 |
