ZTNA（ゼロトラスト ネットワーク アクセス）は、安全なリモートアクセスを提供する一連の技術のことです。「何も信頼しない」というゼロトラストの考え方にもとづき、社内外を問わずすべてのアクセスを厳密に制御することで安全なリモート接続を実現します。

本記事では、ZTNAの基本的な仕組みやメリット・デメリットだけでなく、従来利用されてきたリモートアクセス手段であるVPNとの違いについても解説します。

ZTNAとVPNの違いは、アクセス制御の範囲にあります。

• VPN：社内ネットワーク全体への接続を許可
• ZTNA：必要なアプリケーションのみへのアクセスをその都度許可

VPNでは一度認証に成功すると社内ネットワーク全体にアクセスできるため、認証情報が漏えいした場合、攻撃者はさまざまなシステムに侵入できてしまいます。

ZTNAはユーザーごと・アプリケーションごとに権限を設定できるため、万が一攻撃を受けた場合でも被害の局所化が期待されます。

近年は、テレワークの普及で、従業員が社外から業務システムにアクセスする機会が増加しました。その結果、オフィスや自宅、移動中などオフィス外からのアクセスを安全に確保するには、VPNのような境界型セキュリティーでは対応しきれないケースがあります。

ZTNAでは、社内LANを経由せず、認証されたユーザーのみが特定のアプリケーションに直接アクセスします。そのため、ネットワーク内部の情報が外部に漏れにくく、通信の安全性を高める効果が期待されます。

また、どこで働いていても同じ認証とアクセス管理を適用できるため、管理側も場所ごとに異なる設定を用意する必要がありません。

会社の業務システムが自社サーバーからクラウドに移る流れが進んでおり、Microsoft 365やSalesforceなど、仕事に欠かせないシステムがクラウド上にあります。

VPNでクラウドサービスを使う場合、一度会社のネットワークに入ってから、もう一度インターネットを通じてクラウドにアクセスする遠回りのルートになるため通信が遅くなります。

ZTNAは、利用者とクラウドを直接つなぐことで、通信の遅延を抑えつつ、セキュリティーの維持が可能です。つまり、ZTNAは、インターネット上のクラウドサービスへ安全かつ効率的にアクセスするための新しい考え方として注目されています。

VPNは長年利用されてきた技術ですが、構造的な脆弱性を狙われるケースが増えています。具体的には、認証情報の漏えいやアカウント乗っ取り、ソフトウェアの脆弱性などをきっかけに、VPN経由で内部ネットワークに侵入されるというケースが挙げられます。

一方でZTNAは、アプリケーションごとにアクセスを細かく制限し、不必要な経路を排除するため、攻撃を受けた際に被害の拡大防止が期待されます。

企業のシステムがクラウドへ移行するなかで、ZTNAは効率的なアクセス管理を実現します。

VPNではすべての通信を社内ネットワーク経由にするため、利用が集中すると遅延が発生しやすくなります。一方、ZTNAは、ユーザーが必要なクラウドアプリケーションに直接接続できる仕組みです。

そのため、通信経路が短縮されて応答速度が向上、社内サーバーの負荷軽減に繋がることが期待されます。

ZTNAは、最小権限アクセスの仕組みを採用し、ユーザーごとに許可されたアプリケーションにしかアクセスできません。接続のたびに本人認証や端末状態の確認が行われるため、不正アクセスや情報漏えいを防ぎやすい構造になっています。

仮に社員のアカウント情報が外部に漏れても、ZTNAでは利用範囲が限定されているため、被害の拡大を防止できます。

VPNのように社内ネットワーク全体が見える状態にはならないため、内部侵入後の横移動攻撃（ネットワーク侵入後、他のサーバーや端末へ次々と侵入範囲を広げる攻撃手法）にも強い仕組みです。

ZTNAは場所を問わず安全に業務システムにアクセスできる環境を提供し、多様な働き方を支えます。

具体的には、テレワークやオフィス勤務、外出先からのアクセスなど、どの場所で働いていても同じセキュリティーレベルを保てることが特徴です。

また、VPNでは利用者が増えると接続が遅くなったり切断されたりする問題がありますが、ZTNAは分散型の仕組みを採用しているため快適な接続環境を維持できます。

社員は接続の遅さにストレスを感じることなく、生産性を保ちながら業務を進められます。また、新入社員や異動者へのアクセス権限付与もスムースに行えるため、組織の変化にも柔軟な対応が可能です。

ZTNAを導入する前に、以下の要領で組織全体のセキュリティー体制とITインフラを見直します。

現状のVPNやリモートアクセス環境を把握する
社内外で利用しているアプリケーションやシステム、デバイスをリストアップし、必要なアクセス権限や認証方式を明確にする
データ保護の観点から「どの情報をリモートアクセスで扱うか」を定め、そのデータに応じたセキュリティー対策を検討する
ZTNA導入によりアクセス権限の細分化やポリシー変更が必要になる場合があるため、各部門の管理者を含めた運用ルールを見直す
データに応じたセキュリティー対策を検討する際には、たとえば、顧客情報や営業データといった機密性の高い情報は、多要素認証や暗号化通信を必須とするといった運用ルールが挙げられます。

上記の手順を踏むことで、導入後の運用トラブルを防ぎ、ZTNAの効果を最大限に発揮できる環境を整えられます。

要件を整理したあとは、以下の順序で、自社の利用環境や運用方針に合ったZTNA製品を選定します。

導入予定のシステムやアプリケーションに対応しているかを確認する
必要な機能（多要素認証やアプリケーション単位のアクセス制御など）が備わっているかを確認する
ポリシー設定やユーザー管理が直感的に行える管理画面を備えているか、複数拠点やクラウド環境を統合的に管理できるかを確認する
導入後にポリシーベースのアクセス制御やアプリケーション認証を適切に設定し、リモートワークやBYOD（個人端末利用）環境にも対応できる仕組みを整える
製品を比較する際は、機能だけでなく信頼性やサポート体制、運用コストなどの考慮も重要です。

導入後も定期的な効果検証を行うことで、常に最新のセキュリティーレベルを維持できると考えられています。