脱VPNの切り札「ZTNA」導入が加速、境界防御の限界を超える次世代リモートアクセス

背景

テレワークの普及によりVPN（Virtual Private Network）が広く利用されていますが、VPN機器の脆弱性を突いた攻撃の増加や、一度認証すればネットワーク全体にアクセスできてしまう「境界防御モデル」の限界が指摘されています。これに代わる新しいセキュリティモデルとして注目されているのが「ZTNA（Zero Trust Network Access：ゼロトラスト・ネットワークアクセス）」です。ZTNAは「何も信頼しない（Zero Trust）」を前提とし、ユーザーやデバイスが社内・社外のどこにいても、アプリケーションへのアクセス要求ごとに認証・認可を行う仕組みです。ガートナー社が提唱するSASE（Secure Access Service Edge）の重要な構成要素としても位置づけられており、VPNの課題であったセキュリティリスクと利便性の両立を実現するソリューションとして、導入企業が増加しています。

実態

従来のVPNでは、ユーザーは一度VPNゲートウェイで認証されると、社内ネットワーク全体への広いアクセス権限を持つことが一般的でした。これにより、もしID・パスワードが漏えいしたり、端末がマルウェアに感染したりした場合、攻撃者はネットワーク内部を自由に探索（ラテラルムーブメント）し、被害を拡大させることが可能でした。一方、ZTNAでは、ユーザーとアプリケーションの間に「セキュリティブローカー（仲介役）」を配置し、直接的なネットワーク接続を許可しません。ユーザーは特定のアプリケーション（Webアプリ、RDP、SSHなど）にのみアクセスが許可され、それ以外のネットワークリソースは完全に隠蔽されます（ダーククラウド化）。また、ZTNAはアクセスのたびに「ユーザーID」「端末の健全性（OSパッチ状況、セキュリティソフト稼働状況）」「接続場所」「時間帯」「行動パターン」などの複数のコンテキスト情報を総合的に検証します。例えば、「正規のIDだが、普段と異なる海外からのアクセス」や「セキュリティ対策が無効化された端末からのアクセス」といったリスクが高い状態であれば、即座に接続を拒否したり、追加の多要素認証を求めたりといった動的な制御が可能です。

影響と対策

ZTNAへの移行は、セキュリティレベルの向上だけでなく、運用負荷の軽減やユーザー体験の改善にも寄与します。VPN機器の脆弱性管理やパッチ適用の緊急対応から解放されるほか、VPNの帯域逼迫による通信遅延の解消も期待できます。導入にあたっては、FortinetのFortiClientやCheck PointのHarmony Connectなど、既存のエンドポイント製品やクラウドサービスと連携できるソリューションが有効です。これらは、エージェント型（専用ソフトウェアをインストール）とエージェントレス型（ブラウザベース）の両方に対応しており、社給端末だけでなくBYOD端末やパートナー企業からのアクセス制御にも柔軟に対応できます。移行のステップとしては、まずリモートアクセスが必要なアプリケーションとユーザーグループを洗い出し、VPNとZTNAを併用しながら段階的に切り替えていくハイブリッド運用が現実的なアプローチです。重要なのは、アクセス権限の最小化（必要最小限のアプリケーションのみへのアクセス許可）と、継続的なモニタリングによる異常検知体制の構築です。

まとめ

「境界」が消滅した現代のIT環境において、ZTNAは必須のインフラとなりつつあります。VPNの脆弱性リスクを根本から解消し、ユーザーの利便性を損なわずに厳格なアクセス制御を実現するZTNAは、企業のデジタルトランスフォーメーション（DX）を支えるセキュリティ基盤です。PSIでは、ネットワーク製品を通じて、お客様のゼロトラストセキュリティ実現を強力にサポートいたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp