ゼロトラスト アプリケーション アクセス (ZTAA) とは何ですか?

ゼロトラスト アプリケーション アクセスは、ゼロトラスト セキュリティ モデルのコンポーネントです。ユーザー、デバイス、アクセス要求を検証することで、認証されたユーザーのみがアプリケーションにアクセスできるようにします。動作、デバイスの状態、場所などの要素をチェックします。機密性の高いリソースを動的かつ詳細に制御することで、不正アクセスや内部関係者の脅威を軽減します。

無料トライアルを開始する デモをスケジュールする

ゼロトラスト アプリケーション アクセスの主要原則

ゼロ トラスト アプリケーション アクセスは、アプリケーション アクセスの管理方法とセキュリティ保護方法を規定する中心原則に基づいて構築されています。これらの原則により、許可されたユーザーとデバイスのみが組織の最も重要なアプリケーションと対話できるようになります。

最小限の特権アクセス

ゼロ トラスト セキュリティ モデルの基本原則の 1 つは、最小特権アクセスです。これは、ユーザーには、職務を実行するために必要な最小限のアクセス レベルのみが与えられることを意味します。ゼロ トラストでは、ネットワーク全体または複数のアプリケーションへの広範なアクセスを許可するのではなく、ユーザーが自分の役割に必要な特定のアプリケーションとデータにのみアクセスできるようにします。

これにより、攻撃対象領域が最小限に抑えられ、攻撃者がユーザーの認証情報を侵害した場合でも、ネットワーク全体またはすべてのアプリケーションにアクセスできなくなります。

継続的な検証

ゼロトラスト戦略では、検証は 1 回限りのプロセスではなく、継続的なプロセスです。ユーザーとデバイスは、位置、デバイスの状態、動作パターンなどのさまざまな要素に基づいて常に再検証されます。この継続的な認証により、ユーザーのコンテキストが変化した場合 (たとえば、信頼できるネットワークやデバイスから信頼できないネットワークやデバイスに切り替えた場合)、システムは即座にアクセスを取り消したり、追加の検証手順を要求したりすることができます。

ID とコンテキストベースのアクセス制御

ゼロトラストのアクセス制御は、ユーザーの ID に依存してアクセスを許可するだけではありません。また、ユーザーの場所、デバイスのセキュリティ体制、アクセスしようとしているアプリケーションなどのコンテキストも考慮します。これにより、より詳細なレベルの制御が提供され、条件が事前定義されたセキュリティ ポリシーを満たす場合にのみユーザーが特定のリソースにアクセスできるようになります。たとえば、従業員がセキュリティで保護されていないデバイスや公衆 Wi-Fi から機密データにアクセスしようとすると、アクセスが拒否されたり、多要素認証 (MFA) などの追加手順による認証が要求される場合があります。

マイクロセグメンテーション

マイクロセグメンテーションでは、潜在的な侵害の影響を軽減するために、ネットワークをより小さな独立したセグメントに分割します。ゼロ トラスト アプリケーション アクセスのコンテキストでは、マイクロ セグメンテーションにより、攻撃者が 1 つのアプリケーションまたはネットワーク セグメントにアクセスできたとしても、ネットワーク内を横方向に移動して他のリソースにアクセスすることができなくなります。ゼロ トラストは、ネットワークの異なる部分間の通信を制限することにより、攻撃者が組織のシステムに広範にアクセスすることをより困難にします。

ZTAA と ZTNA の主な違いは何ですか?

ZTNA (ゼロトラスト ネットワーク アクセス) と ZTAA (ゼロトラスト アプリケーション アクセス) は、どちらもゼロトラスト セキュリティ モデルの重要な要素です。ただし、保護の範囲と焦点が異なります。

ZTNA はネットワーク全体へのアクセスを保護します。これは、アクセスを許可する前にユーザーとデバイスを検証することによって行われます。適切な認証と継続的な監視が必要であれば、誰もネットワークそのため、企業境界内にあっても不正アクセスが防止されます。簡単に言って、ゲートキーパー機能として、アクセスを許可する前に信頼性を検証します。

それとは対照的に、ZTAAこれにより、ユーザーが認証されると、特定のアプリまたはリソースのみにアクセスできるようになります。これらのアプリやリソースは、その役割のニーズに応じて定義されます。

会社のシステムにログインするリモート ワーカーを考えてみましょう。 ZTNA は、ネットワークへの接続が許可されているのかを確認します。 ZTAAこの多層セキュリティにより、ネットワークとアプリケーションのアクセスの両方をより厳密のために制御できます。

注意、これら 2 つのアプローチの主な違いを以下に示します。case_study

側面

集中

範囲

認証

アクセス制御


ユースケース

粒度


セキュリティ層

継続的なモニタリング

ZTAA (ゼロトラスト アプリケーション アクセス)

ネットワーク内の特定のアプリケーションまたはリソースへのアクセスを保護します。

ネットワーク全体ではなく、個々のアプリケーションへのアクセスの制御に重点を置きます。

特定のアプリまたはリソースへのアクセスを許可する前に、ユーザーを検証します。

ユーザーの役割とニーズに基づいて、特定のアプリまたはリソースへのアクセスを制御します。

必要なアプリケーションまたはリソースのみへのアクセスを制限するために使用されます。

アプリケーションレベルのセキュリティを提供し、ユーザーが許可されたアプリのみにアクセスできるようにします。

アプリケーションレベルのセキュリティ層として機能し、アプリへのアクセスを認証済みユーザーに制限します。

アプリへのアクセスを監視および制限し、ユーザーが必要なものにのみアクセスできるようにします。

ZTNA (ゼロトラスト ネットワーク アクセス)

ネットワーク全体へのアクセスを保護します。

すべてのユーザー、デバイス、システムを含むネットワーク全体を保護します。

ネットワークへのアクセスを許可する前に、ユーザーとデバイスを検証します。

ユーザー認証に基づいてネットワーク リソースへのアクセスを制御します。

すべての内部システムを含む企業ネットワークへのアクセスを保護するために使用されます。

ネットワークレベルのセキュリティを提供し、ネットワーク全体へのアクセスを制御します。

境界セキュリティ層として機能し、ネットワークにアクセスする前に信頼を検証します。

初期認証後、ユーザーとデバイスを継続的に監視します。

ZTAA の最もよく知られている利点

ゼロ トラスト アプリケーション アクセスは、組織の全体的なサイバーセキュリティ体制を強化する幅広いメリットを提供します。

内部関係者による脅威のリスクの軽減

ゼロ トラストは、ユーザーとデバイスを継続的に検証することで、悪意のあるまたは偶発的な内部関係者の脅威のリスクを最小限に抑えます。

リモートワークの保護を強化

ゼロ トラストは、ユーザーがさまざまな場所やデバイスからアプリケーションにアクセスするリモート ワーク環境を保護するのに特に効果的です。

きめ細かなアクセス制御

ゼロ トラストでは、誰が何にアクセスできるかをより詳細に制御できるため、過剰な権限のリスクが軽減され、侵害による潜在的な損害が制限されます。

コンプライアンスの向上

継続的な監視と監査により、組織は GDPR、HIPAA、PCI-DSS などの規制コンプライアンス要件を確実に満たすことができます。

脅威へのより良い対応

ゼロ トラストは、不審な動作をリアルタイムで検出して対応することで、組織が脅威をエスカレートする前に特定して軽減できるように支援します。

IAM ソリューションとの統合

ゼロトラスト セキュリティ モデルは、承認された安全なユーザーとデバイスのみが重要なアプリケーションにアクセスできるようにする上で重要な役割を果たします。これを実現するには、ZTAA が他の重要なセキュリティ フレームワーク、特に Identity and Access Management (IAM) システムや統合エンドポイント管理 (UEM) ソリューションと調和して動作する必要があります。 IAM と UEM を効果的に統合すると、ZTAA を強化して、堅牢な多層セキュリティ環境を構築できます。

IAM と ZTAA がどのように連携するか:

ユーザー認証

IAM システムはユーザーの初期認証を処理し、多要素認証 (MFA) またはその他の ID 検証方法を通じてユーザーの ID を検証します。 ZTAA は、認証が完了すると、デバイスの状態、場所、ユーザーの行動などの要素に基づいて、ユーザーのアプリケーションへのアクセスが継続的に評価されることを保証します。

役割ベースのアクセス制御 (RBAC)

IAM は通常、RBAC を使用してユーザーにロールと権限を割り当て、ユーザーが自分のジョブに必要なリソースのみにアクセスできるようにします。 ZTAA はこれらの権限を動的に強制し、ユーザーが安全なデバイスを使用しているか、信頼できないネットワークからリソースにアクセスしようとしているかなど、リアルタイムのコンテキストに基づいてアクセスを調整します。

コンテキストアクセスと条件付きアクセス

IAM による認証の提供により、コンテキストベースの意思決定を考慮に入れてゼロトラスト アクセス 制御により層が追加されます。たとえば、ユーザーは IAM を通じて認証される可能性がありますが、デバイスが侵害されている場合、またはユーザーの位置が不審であるとフラグが立てられている場合、ZTAA はアクセスを拒否するか、生体認証やワンタイム パスコード (OTP) などのさらなる認証を要求する場合があります。

シングル サインオン (SSO) と継続的アクセス制御

多くの IAM ソリューション は、ユーザー アクセスを簡素化するために SSO を実装しています。 ZTAA はセッションを継続的に監視することでこれを強化し、ユーザーの行動が逸脱した場合やデバイスが侵害された場合に、ユーザーのアクセスをリアルタイムで取り消したり調整したりできるようにします。

Integration of UEM and ZTAA

Unified Endpoint Management (UEM) refers to the management of all endpoints—such as laptops, smartphones, tablets, and desktops—that access corporate resources. Integrating UEM with ZTAA creates a powerful security synergy that ensures both the identity of the user and the security posture of the device are continuously assessed before granting access to sensitive applications.

How UEM and ZTAA Work Together:

Device Authentication and Health Checks:

UEM solutions monitor and enforce security policies on devices, ensuring they are compliant with the organization’s security standards. When a user attempts to access an application, ZTAA integrates with UEM to assess the device’s health. If a device is out of compliance (e.g., missing security patches, or outdated software), ZTAA can deny access or require the user to remediate the device before granting access.

Real-Time Device Monitoring:

UEM provides continuous monitoring of endpoint devices, ensuring that they are secure at all times. ZTAA uses this data to adjust access controls dynamically. For example, if a device is found to be compromised or jailbroken, ZTAA can immediately limit access to sensitive applications, reducing the risk of a breach.

Context-Based Access Decisions:

UEM contributes critical context to ZTAA’s access control decisions. Information such as device type, security posture, and location is taken into account when granting or denying access. This context ensures that only trusted devices, from trusted locations, are allowed access to critical resources, significantly improving security.

Mobile Device Management (MDM):

UEM often includes Mobile Device Management (MDM) capabilities, which allow organizations to enforce security measures on mobile devices, such as encryption, remote wipe, and app whitelisting. ZTAA integrates these capabilities to ensure that only secure mobile devices are granted access to applications, providing a comprehensive solution for mobile security.

Integrating IAM and UEM with Zero Trust Application Access (ZTAA) creates a multi-layered security framework that enhances protection against both insider and external threats. Continuous authentication, contextual access control, and device health checks make it more difficult for attackers to exploit vulnerabilities.

As user behavior and device conditions change, access policies adjust automatically, ensuring access is granted or revoked in real-time. This integration also improves visibility through detailed logging and auditing, helping organizations detect threats early and comply with regulatory standards. Additionally, users enjoy a seamless experience with SSO and continuous verification, accessing applications securely without disruptions.

Explore More Glossary Entries

私は

すべてのエンドポイントで組織のセキュリティを強化します - デジタル ID を管理し、制御します...

続きを読む

自動プロビジョニング

自動プロビジョニングは、IT タスクを非常に効率的に支援します。手動で設定する代わりに...

続きを読む

シングルサインオン

シングル サインオン (SSO) は、企業ユーザーが複数のネットワークにアクセスできるようにする認証方法です。

続きを読む

条件付き
アクセス

条件付きアクセスは、ユーザーとデバイスの ID を統合する最新のセキュリティ アプローチです。

続きを読む


サービスとしてのアイデンティティ

Identity as a Service (IDaaS) は、組織に、クラウドベースの ID ソリューションを提供します。

続きを読む

ID ライフサイクル管理

ID ライフサイクル管理 (ILM) は、オンボーディングからオフボーディングまでのユーザー ID を管理します。

続きを読む
Get a Demo