ゼロトラストネットワークアクセス (ZTNA)
ゼロトラストネットワークアクセス (ZTNA) とは

「ゼロトラストネットワークアクセス (ZTNA)」は、プライベートアプリケーションへのセキュアなアクセスに対応する革新的なテクノロジーを意味します。ZTNAテクノロジーは「ソフトウェア デファインド ペリメーター (SDP)」とも呼ばれており、細分化されたアクセスポリシーを利用して、企業ネットワークへのアクセスを必要とせずに、認可ユーザーを特定のアプリケーションに接続します。また、VPNコンセントレーターとは異なり、アプリケーションの場所を公衆インターネット回線に公開することなく、ネットワークセグメンテーションに代わる最小権限のアプリケーションレベルセグメンテーションを確立します。

HPE Aruba NetworkingのUnified SASEの詳細はこちら
目次

    読了時間: 10分33秒 | 公開日: 2026年3月24日

    図: ZTNAサービスの概要と仕組み。

    ZTNAの説明

    ZTNAの導入が拡大しているのは、リモートワークのニーズが増大し、すべてのユーザー、アプリケーション、デバイスがインターネットを介して安全に接続できるようにする必要があるためです。SaaSベースのビジネスアプリケーションが増加し、プライベートアプリケーションが引き続きハイブリッド環境またはマルチクラウド環境で運用されていることからも理解できます。

    問題は、インターネットがモノをブロックするのではなく、接続する設計となっていることです。正しいIPアドレスとアウトバウンドコール機能を利用すれば、すべてのデバイスがインターネット経由で通信できます。脅威アクタ―は、適切なゼロトラスト戦略を導入していない組織を狙っています。

    ZTNAサービスは、VPNやファイアウォールとは異なり、ネットワーク全体にアクセスすることなく、特定のエンティティを安全に相互接続する設計となっています。通常、こうしたエンティティは、自宅、外出先、またはオフィスで接続する従業員やサードパーティユーザーです。しかし、ユーザーだけに限定されるものではありません。ZTNAはマイクロセグメンテーションの形で、アプリケーション間にも適用できます。

    ZTNAの主な概念

    • ゼロトラストの基盤: ZTNAはゼロトラストの原則に基づいており、接続する場所や方法を問わず、すべてのユーザーおよびシステムがデフォルトでは信頼されません。すべてのアクセス要求に対して、アクセス許可の前に完全な認証、許可、暗号化が求められます。
    • アプリケーション中心のアクセス: ネットワークへのアクセスを許可する従来のネットワークアクセスとは異なり、ZTNAでは、特定のアプリケーションにのみアクセスが許可されます。これはアウトバウンド限定接続によって実現されており、企業ネットワークをインターネットに公開しないことで攻撃対象領域を縮小できます。
    • 最小権限のアクセス: ZTNAは、適切な業務遂行に必要となる最小レベルのアクセス権をユーザーに付与する、最小権限アクセスの原則を適用します。そのために、ユーザーの場所を問わず、組織全体に一貫してグローバルに適用される、きめ細かいアクセスポリシーを導入します。
    • クラウドネイティブのスピードと拡張性: アクセスのスピードと信頼性を確保するため、ZTNAではクラウドインフラストラクチャを利用しています。それにより、多様な帯域幅のニーズに応じた拡張が可能になり、セキュリティを犠牲にすることなく、ユーザーが必要なアプリケーションに即座に接続できる環境が維持されます。

    ZTNAの主な機能

    • IDベースのアクセス: ZTNAは、アクセスを許可する前に、ユーザーとデバイスのIDを利用して検証します。既存のIDPプロバイダーからの認証と承認を使用して、正当なユーザーのみがリソースにアクセスできるようにします。
    • きめ細かいアクセス制御: ZTNAは、ネットワークへの包括的なアクセスを許可するのではなく、ユーザーの役割、デバイスの状態、コンテキスト要因に基づいて、特定のアプリケーションまたはサービスへのきめ細かいアクセス制御を行います。
    • 最小権限の原則: アクセスは、ユーザーがタスクを実行するために必要なものだけに制限されます。それにより、攻撃対象領域が最小限に抑えられます。
    • アプリケーションのセグメンテーション: ZTNAは、複雑なネットワークセグメンテーションではなく、ゼロトラストポリシーを使用して、ユーザーとデバイスが許可された特定のリソースにのみアクセスできるようにし、ネットワーク内での横方向の移動を防止します。
    • 継続的な検証: ZTNAは、ユーザーのアクティビティとデバイスの稼働状態を継続的に監視および検証します。ユーザーのセッションが疑わしい場合やデバイスのセキュリティポスチャが変更された場合は、アクセス許可が取り消されることがあります。
    • リモート/ハイブリッドワークのサポート: ZTNAは、ユーザーの物理的な場所に関係なくアプリケーションへのセキュアなアクセスを提供するため、リモート/ハイブリッドワーカーを抱える組織に最適です。
    • クラウドネイティブ: ZTNAは多くの場合クラウドベースであり、SaaSアプリケーション、パブリッククラウド、プライベートクラウド、プライベートデータセンターなどの最新のエンタープライズ環境と統合されます。

    ZTNAの仕組み

    ZTNAは、ユーザーのデバイスと、それらがアクセスする必要があるプライベートアプリケーションまたはサービスとの間に安全で暗号化された接続を確立します。その主な機能は次のとおりです。

    • 認証: ユーザーが資格情報を提供すると、そのIDを多要素認証 (MFA) またはIDプロバイダー (IdP) を通じて検証します。
    • デバイスの検証: デバイスがセキュリティポリシーに準拠しているかどうか (OSバージョン、ウイルス対策の状況など) を評価します。
    • ポリシーの適用: 認証されると、ユーザーの役割、デバイスセキュリティ、場所、その他のコンテキスト要因を考慮して事前定義されたゼロトラストポリシーに基づいてアクセスが許可されます。
    • アプリケーション固有のアクセス: ZTNAでは、ユーザーには許可されたアプリケーションのみが表示されてアクセス可能になり、ネットワークのその他の部分は表示されないかアクセス不可となります。

    ZTNAの実装方法

    ZTNAの実装はベンダーによって異なりますが、多くのベンダーは、ZTNA導入のベストプラクティスは、準備段階から運用開始までの段階的なプログラムであると述べています。 

    • フェーズ1 – 計画と準備: プライベートアプリケーションとユーザー層を洗い出し、よく知られたアプリケーションをZTNAに移行したり、VPNを置き換えたりするなど、初期段階で価値の高いユースケースを決定します。次に、ID、デバイス、アプリケーションの機密性などのアクセスポリシーの入力を定義します。
    • フェーズ2 – 構成と有効化: ZTNAのコントロールプレーン/ポリシーレイヤーを構築し、IDプロバイダー (IdP) を統合し、ポリシーやログ記録/可視性を含めた構造化されたアプローチで、ZTNAを管理しやすいSSEコンポーネントに構成します。 
    • フェーズ3 – 展開と移行: 最初のアプリケーションとユーザーをオンボーディングし、ワークフローをVPNスタイルのネットワークアクセスからアプリケーション固有のアクセスに移行し、エンドユーザーのエクスペリエンスとアクセス結果を検証します。
    • フェーズ4 – 発見、構成、反復: 範囲を反復的に拡大して新たなアプリケーションやフローを発見し、学んだことを生かし、スケールアウトしながら最小権限アクセスを継続的に強化します。
    • フェーズ5 – 運用開始: プロセス (ポリシーライフサイクル、オンボーディングランブック、モニタリング、インシデント対応フック) を標準化することで、ZTNAが特別なプロジェクトではなく、「アクセスの仕組み」になります。

    ZTNAによって企業のネットワークセキュリティポスチャが向上する仕組み

    セキュリティポスチャの面では、ZTNAは、 「リモートアクセス」の定義をネットワーク拡張からアプリケーション固有のポリシー仲介型アクセスへと変えることで、組織のベースラインを改善します。社内向けの資料では、攻撃対象領域の縮小、横方向の移動の抑制、拠点間でより一貫したポリシーの適用という3つのポスチャ改善点を繰り返し強調します。 

    • 露出したインフラストラクチャやスキャンのリスクを減らす: ZTNAは、広範なVPNゲートウェイを公開したり、受信パスを開いたままにしたりする代わりに、接続を仲介して、プライベートアプリケーションが広範囲に検出されず、ポリシー/ブローカーレイヤーにのみアクセスできるようにします。結局のところ、悪意のある攻撃者も、見えないものを攻撃することはできません。
    • 横方向の移動を制限することで影響範囲を狭める: ZTNAのモデルでは、ユーザーを企業ネットワークに接続させる必要がなく、アクセスは特定のアプリケーションに限定されます。ユーザーを企業ネットワークから遠ざけることで、企業は横方向の移動を大幅に削減し、それによってリスクを低減できます。
    • ハイブリッド環境全体の一貫性とレジリエンスを向上させる: ユニバーサルZTNA (UZTNA) は、ゼロトラストの適用範囲をすべてのアクセス経路 (リモートおよびオンプレミス) に拡張し、ユーザーがカフェにいてもデスクにいても同じポリシーを適用する設計となっています。また、ZTNAプライベートエッジ機能はローカルトラフィックをローカルに保持し、インターネットが利用できない場合でも継続性をサポートできるため、オペレーショナル・レジリエンスが向上するとともに、一貫したセキュリティ管理が維持されます。
    • ゼロトラストプログラムの初期段階でリスク軽減の成果を向上させることが多い: ZTNAは多くの組織にとって出発点です。実用的で、ユーザーエクスペリエンスを向上させながらリスクを軽減することで、チームにすぐに成果をもたらします。また、サードパーティアクセス、VPNからの移行、さらには合併・買収の統合の加速といったシナリオにも役立ちます。

    ZTNAのメリット

    • セキュリティの強化: ZTNAが「決して信頼せず、常に検証する」原則に基づいて動作することで、不正アクセスのリスクが大幅に軽減されます。ZTNAは、厳格なID検証とコンテキストアクセス制御を適用することで、ユーザーやデバイスがリソースにアクセスする前に継続的に認証および承認されるようにします。これにより、攻撃者が初期アクセス権を取得した場合でも、ネットワーク内で横方向に移動するリスクが最小限に抑えられます。
    • 攻撃対象領域の縮小: ZTNAの最大の強みの1つは、アプリケーションやサービスを権限のないユーザーから見えないようにできることです。ZTNAは、内部リソースを認証レイヤーの背後に隠し、検証済みのIDにのみ公開することで、攻撃者の潜在的な侵入ポイントを大幅に制限します。この「ダーククラウド」アプローチにより、システムが標的となった場合でも、適切な資格情報とコンテキストがなければアクセスできないことが保証されます。
    • ユーザーエクスペリエンスの向上: 通常は手動接続が必要でパフォーマンスが低下する可能性のある従来のVPNとは異なり、ZTNAはよりシームレスで透過的なエクスペリエンスを提供します。ユーザーは、面倒なVPNクライアントを必要とせずに、あらゆる場所やデバイスからアプリケーションに安全にアクセスできます。これにより、アクセス時間が短縮され、中断が減り、ワークフローがより直感的になるため、リモート/ハイブリッドワーク環境に特に有益です。
    • スケーラビリティ: ZTNAは、動的な分散IT環境をサポートするように設計されています。組織がクラウドフットプリントを拡大する場合でも、増加するリモートワーカーをサポートする場合でも、サードパーティベンダーを統合する場合でも、ZTNAは簡単に拡張できます。ZTNAのクラウドネイティブアーキテクチャーにより、複数の環境にわたる導入と管理が容易になり、従来のネットワークセキュリティモデルの複雑さが軽減されます。

    ZTNAのユースケース

    • VPNに代わるリモートワーク向けサービス: リモートユーザーをネットワークに接続するために使用されているリモートアクセスVPNをZTNAに置き換えることで、より高速でセキュアなエクスペリエンスを即座に提供できます。
    • オフィス内従業員アクセス: オンプレミスユーザーをデフォルトで信頼せず、パブリックホスト型ゼロトラストブローカー、または社内に展開されているプライベートブローカーを利用して、最小権限のアクセスとセグメンテーションの簡素化、ユーザーエクスペリエンスの迅速化、コンプライアンスの簡素化を実現します。
    • サードパーティアクセスの保護: エージェントレスアクセスを利用して、企業ネットワークへのアクセスを許可することなく、ビジネスエコシステムのパートナー、サプライヤー、ベンダー、お客様が重要なビジネスデータに安全にアクセスできるようにします。
    • M&Aや売却時のIT統合を加速: ZTNAは、重複IPのネットワークアドレス変換 (NAT) に対処するため、またはVDIインフラストラクチャを立ち上げるために、ネットワークを統合 (または分割) することなく、各プロセスを9~14か月間からわずか数日間または数週間に短縮できます。
    • VDIの代替: 複雑な仮想環境をZTNAに置き換えることで、従来のVDIの高コスト、スケーラビリティの問題、レイテンシを回避できます。ZTNAは、ユーザーID、デバイスの状態、コンテキストに基づいて、アプリケーションへの直接的なポリシーベースの接続を通じて、安全でシームレスなリモートアクセスを提供します。

    HPE Aruba Networking ZTNA

    HPE Aruba Networking SSEプラットフォームの一部であるHPE Aruba Networking ZTNAは、従来のリモートアクセスVPNソリューションに代わる最新のソリューションを提供しており、ゼロトラストに基づいて、すべてのユーザー、デバイス、プライベートアプリケーションのセキュアなグローバル接続を実現します。

    前述のとおり、ZTNAは、HPE Aruba Networking Security Service Edge (SSE) プラットフォームに不可欠な要素です。ただし、包括的なプラットフォームでZTNA、SWG、CASB、デジタルエクスペリエンス監視の機能が単一のクラウド提供型ソリューションに統合されており、簡単にすべてを一元管理できます。

    関連する製品、ソリューション、サービス

    HPE Aruba Networking SSE

    Security Service Edge (SSE) の採用により、すべてのユーザー、デバイス、アプリケーションが、どこからでもシームレスでセキュアにアクセス可能な環境を構築できます。

    詳細はこちら

    ZTNAについてよくあるご質問

    ZTNAとZTAの違いは何ですか

    ゼロトラスト アーキテクチャー (ZTA) は、ネットワークが既に敵対的であるかのように運用するための包括的なセキュリティ戦略 (アーキテクチャー) です。ZTAとは、アクセスが継続的に検証され、範囲が厳密に限定され、侵害を受けた場合でもレジリエンスが維持されるようにシステムを設計することです。つまり、ID、デバイス、アプリケーション、データ、ネットワークを網羅した「セキュリティの設計図をどのように作成して運用するか」ということです。ゼロトラストネットワークアクセス (ZTNA) は、その設計図の一部を実装する特定の機能/テクノロジーであり、ユーザーを企業ネットワークに接続することなく、(データセンター内やクラウド上で) プライベートアプリケーションへのセキュアなアクセスを提供します。社内向けの資料では、ZTNAは、ユーザーを社内ネットワークから遠ざけつつアクセスを可能にし、露出を最小限に抑え、プライベートアプリケーションへのアクセスでVPNの代わりになることが多いと説明されます。

    ZTAとZTNAの関係性を覚えておくのに役立つ方法:

    • ZTA = 「家全体の設計」 (セキュリティ領域全体にわたる原則とアーキテクチャー)  
    • ZTNA = その住宅設計内部の1つの「キードアおよびロックシステム」 (プライベートアプリケーションへのアクセス制御により、最小権限を適用して攻撃対象領域を縮小する)。 
    ZTNAの主な機能は何ですか

    ZTNAの本質的な役割は、最小権限と露出の削減によって、プライベートアプリケーションへのアクセスを提供することにあります。社内のSSEの位置付けにおいて、ZTNAの機能的な意図は、プライベートアプリケーションへのセキュアなアクセス、露出の最小化、ネットワークアクセスの削除、VPNの代替、トラフィックの検査にあると要約されます。  

    • アプリケーションレベルの認証 (ネットワークへのアクセス権限ではない): ユーザーを企業ネットワークに接続することなく、特定の承認済みアプリケーションへのアクセスを許可します。 
    • 攻撃対象領域の縮小: 基本的に「ネットワークを非公開」にします**。アプリケーションやサービスは誰でもアクセス可能ではなくなり、不正なユーザーは調査やアクセスを行うために閲覧することが事実上不可能になります。
    • 最小権限の適用: アクセス範囲はユーザーがアクセスを許可されている範囲に限定され、それ以外にはアクセスできないため、ネットワークレベルのアクセスと比較して横方向の移動のリスクが軽減されます。  
    • プライベートアプリケーションのアクセス経路に対するトラフィック検査とポリシーの適用: ZTNAは、トラフィックを検査しながらセキュアなアクセスを可能にするものであり、SSEスタック (SWG、CASB、FWaaS、DEMも含む) における基本的な「第一の柱」 と位置付けられています。
    • ユーザー、デバイス、プロトコルを幅広くカバー: リモート環境、オンプレミス環境、請負業者、パートナー、管理対象デバイスと管理対象外デバイス、および複数のプロトコル (SSH/RDP/データベースなど) に対して一貫した適用を行います。
    ZTNAとVPNの違いは何ですか

    VPNは主にネットワークレベルの接続性を提供します。接続が完了すると、ユーザーは事実上企業ネットワーク上にいることになり、セキュリティモデルは境界防御と内部に存在するセグメンテーションに大きく依存します。対照的に、ZTNAは、ネットワークアクセスなしでアプリケーションレベルのアクセスを実現するという、正反対のエクスペリエンスを提供するように設計されています。 

    • VPN:「まずは接続、セキュリティは後から」のパターンで、ユーザーは企業ネットワークに接続されます。VPNでは、デバイスが接続された後の横方向の移動を防ぐために、内部セグメンテーションの重要性と複雑さを増大させる傾向があります。 
    • ZTNA:「まず確認し、個別に接続する」方式で、ユーザーはネットワーク自体に接続することなく、承認されたアプリケーションにのみアクセスでき、多くの場合、明確にVPNの代替として位置付けられます。ZTNAは、そもそも広範なネットワーク接続性を許可しないことで、内部セグメンテーションへの依存度を低減し、アクセス範囲をアプリケーションに限定します。
    ZTNAとファイアウォールの違いは何ですか

    ゼロトラストネットワークアクセス (ZTNA) とファイアウォールはどちらもシステムへのアクセスを保護するのに役立ちますが、その方法は根本的に異なります。ファイアウォールは主にネットワーク境界またはネットワークセグメンテーション制御であり、ネットワーク指向の属性 (たとえば、IPアドレス、ポート、プロトコル、そして次世代ファイアウォールではアプリケーション/コンテンツの検査) に基づいてトラフィックをフィルタリングおよび検査し、ネットワークゾーン間を通過できるトラフィックを決定します。 

    対照的に、ZTNAはアイデンティティとコンテキスト中心のアクセスモデルであり、 「ネットワーク内部のものを信頼」するセキュリティから脱却し、「各アクセス要求を明示的に検証し、広範なネットワーク範囲ではなく特定のリソースに対する最小権限のアプリケーションレベルのアクセスを許可し、通常は、『侵害を想定』する考え方を反映して、ユーザーID、デバイスの状態、セッションリスクなどのシグナルに基づいて信頼を継続的に再評価」します。 

    実際には、ファイアウォールはネットワーク間のトラフィックの流れを制御および監視することに優れている一方、ZTNAはユーザーやデバイスがどこにいても特定のアプリケーションに安全に接続することに優れており、暗黙の信頼を減らし、アカウントやエンドポイントが侵害された場合の横方向の移動を制限します。

    関連トピック

    ゼロトラスト
         セキュリティサービスエッジ (SSE)
         セキュアアクセスサービスエッジ (SASE)
         セキュアWebゲートウェイ (SWG)
         クラウドアクセスセキュリティブローカー (CASB)
         統合脅威管理 (UTM)