ゼロトラストは、導入すれば終わりではありません。
実際の現場では、「インターネットアクセスの安全性」 「VPNからの移行」 「導入後のトラブルシュート」 といった課題に直面します。
こうした現場の疑問をテーマに、「はじめてのZscaler」シリーズとして3つのセミナーを開催しました。
本記事では、わたくしキャプテン大塚が、Zscaler ACEへ突撃する形で行われた、ZPAのセッションをダイジェストとしてご紹介します。
パート1: ZIA|ゼロトラスト時代のインターネットアクセス
パート2: ZPA|脱VPNで考えるリモートアクセス <この記事
企業のリモートアクセス環境として長く使われてきたVPN。
しかし近年は、老朽化・脆弱性・運用負荷といった課題から、「脱VPN」という選択肢を検討する企業が増えてきています。
今回の「はじめてのZscaler」シリーズでは、ZIA編に続き、ZPA(Zscaler Private Access)をテーマに、既存VPN環境からの移行の考え方や実際のステップについて解説しました。
この記事では、セミナーの一部をダイジェストとして紹介します。
VPNはなぜ問題になるのか
ーー今回のテーマは「脱VPN」ですが、そもそもVPNは何が問題なのでしょうか。
VPNは長く使われてきた技術ですが、設計としては「ネットワークに入ったら信頼する」という前提になっています。
VPNで接続すると、ユーザーは 社内ネットワークの広い範囲にアクセスできてしまう。
そのため攻撃者にとっては、
- VPNアカウントを奪取する
- VPN機器の脆弱性を突く
このどちらかが成功すれば、内部ネットワークへ足場を作ることができるわけです。
ーー最近のランサムウェア事故でも、VPN経路が入口になったケースは多いですよね。
そうですね。
だから最近は 「VPNをどう守るか」 ではなく、「VPNという前提を見直す」 という流れが出てきています。
VPNの代わりに何を使うのか
ーーそこでゼロトラストの話になるわけですね。
はい。ただ、現場では
- ゼロトラストはわかる
- でもどう実装するのか分からない
という声が多いんです。
ZPAはそこをシンプルに整理しています。
VPNのように ネットワークに接続するのではなく、 ユーザー → アプリケーション この単位でアクセスを制御します。
つまり
- ネットワークは公開しない
- アプリ単位で接続
- インバウンド通信も不要
という仕組みになります。
本当にVPNを置き換えられるのか
ーーとはいえ現場としては、「VPNを全部置き換えられるのか?」という疑問があります。
そこが今回のセミナーでも多かった質問ですね。
実際の移行は、
- 特定アプリからZPAへ移行
- VPNと並行運用
- 徐々にVPNを縮小
という形になるケースが多いです。
つまり、VPN → ZPA ではなく、VPN + ZPA → ZPA という段階的な移行です。
ーーなるほど。いきなり全部置き換えるわけではないんですね。
そうです。
だからPoCや小さな導入から始めるケースも多いですね。
ゼロトラストは「運用」の話になる
ーーZPAの話を聞くと、単なるVPN置き換えではない印象がありますね。
その通りです。
VPNは「ネットワーク接続」ですが、ZPAは「アプリケーションアクセス」です。
つまり ネットワーク中心の発想 → アプリ中心の発想 への転換になります。
ーーそうすると、運用の考え方も変わりますね。
そうですね。
実際の現場では
- アクセス制御
- ポリシー管理
- トラブルシュート
といった運用も重要になります。
このあたりは、シリーズの ZDX編でも詳しく触れています。
セミナー本編はこちら
今回紹介した内容は、セミナーの一部です。
本編ではさらに、
- なぜZscalerが脱VPNの選択肢になるのか
- 実際の構成イメージ
- 既存環境からの移行ステップ
- パートナーからのリアルな質問
などを詳しく解説しています。
ぜひオンデマンド動画でご覧ください。
初めてのZscaler:オンデマンド視聴
著者紹介
SB C&S
エバンジェリスト
大塚 正之 - Masayuki Otsuka -
