VPNの終焉とZTNAの到来
Citrix Secure Private Access は、ゼロトラスト・ネットワークアクセス(ZTNA)を提供し、オンプレミスとクラウドの両方で、あらゆるユーザーが、あらゆるデバイス(管理・非管理デバイスを問わず)、あらゆるアプリケーションを配信、保護、管理します。企業データ保護において、従来の仮想プライベートネットワーク(VPN)よりも安全なCitrix Secure Private Access は、理想的なVPNの代替手段です。VPNとしてNetScaler Gateway をSecure Access Clientと組み合わせて利用している場合は、同じクライアントからZTNAを観点に展開でき、従業員に影響することなくシームレスな移行を実現します。
さらに、Citrix Secure Private Access は、Citrixプラットフォームに含まれているため、追加コストなしで、WebアプリケーションやSaaSアプリケーションにZTNAを迅速に拡張することができます。
VPNの課題
VPNは境界型セキュリティモデルを前提としており、今日の分散型の構成やクラウドの環境では安全性が低下します。企業のリソースが従来のネットワーク境界の外に移行するにつれて、VPNはそれらを十分に保護できず、攻撃対象領域(アタックサーフェス)が拡大します。ZTNAは、リモートアクセスのセキュリティにおいて、従来のVPNよりも優れています。ユーザーが認証されると広範なアクセス権を与えるVPNとは異なり、ZTNAは「決して信頼せず、常に検証する」原則に基づいて動作します。ZTNAでは、ユーザーのIDとアクセス状況(コンテキスト)に応じて継続して検証するため、攻撃対象領域が大幅に減少します。
| VPNの課題 | ZTNAの利点 | |
|---|---|---|
| 攻撃対象領域 |
VPNは境界型セキュリティモデルであり、広範なネットワークを提供するが、きめ細かな制御が欠如している。 攻撃者が他の脆弱性を悪用して重要なシステムにアクセスするラテラルムーブメント(水平移動によりネットワーク内部で脅威を拡散する行為)を止められません。 |
ZTNA(ゼロトラストネットワークアクセス)は、ユーザーのID、場所、デバイスの状態、ネットワーク状況を常に検証し、ネットワーク全体ではなく、必要な特定のアプリケーションのみにアクセス権を付与します。 これにより、攻撃対象領域(アタックサーフェス)を大幅に縮小し、仮に攻撃されても社内ネットワーク全体に拡散するリスクを最小化できます。 |
| きめ細やかなアクセス制御 | VPNは安全なトンネル経由でネットワークへのアクセスを提供しますが、制限が少ないため、攻撃対象領域(アタックサーフェス)が広がるリスクがあります。 | ZTNAはユーザーの役割や利用するアプリケーションごとのニーズに基づいて、きめ細かなアクセス制御を行います。これにより、ユーザーは必要なアプリケーションのみにアクセス可能となり、攻撃者によるネットワーク内でのラテラルムーブメントのリスクを最小限に抑えます。 |
| パフォーマンス | VPNは通信のトラフィックをデータセンターを経由して行うため、ネットワーク遅延が発生しやすく、ユーザーの利便性が悪化する場合があります。 | ZTNAは、ユーザーを必要なアプリケーションに直接接続するため、トラフィックを企業のデータセンター経由でルーティングする必要がなく、遅延を削減し、パフォーマンスを向上させます。 |
| スケーラビリティと柔軟性 | VPNは拡張性と保守性に乏しい古い基盤で実装されている場合が多く、特に在宅勤務など「Work from Anywhere」の実現の足枷になります。 | ZTNAは、最新のクラウドを利用した構成を想定して設計されており、リモートユーザーの増加に応じて簡単に拡張できます。 |
| コンプライアンスとガバナンス | VPNは広範なアクセスを許可するため、厳格なアクセス制御と最小権限アクセスを義務付けられている HIPAA、GDPR、PCI-DSS 規制などのコンプライアンス要件を満たすことが困難になる場合があります。 | ZTNAは、特定のアプリケーションとデータへのアクセスのみに制限するため、不正アクセスのリスクを減少させ、組織がコンプライアンス要件をより効果的に満たすのに役立ちます。 |
| ユーザーエクスペリエンス | VPNは接続速度が遅くなることが多く、ユーザーの使い勝手に悪影響を与えます。 | ZTNAは、アプリケーションへのシームレスな操作と直接サービスに接続することで、より高速で信頼性の高いアクセスを提供し、優れたユーザーエクスペリエンスを実現します。 |
| 管理機能 | VPNは管理と保守に時間がかかり、大規模な環境では端末を安全に保つことが難しくなります。 | ZTNAは動的なポリシー適用と強力な監視機能により管理を効率化し、セキュリティ設定ミスの可能性を最小限に抑えます。 |
Citrix Secure Private Access による VPN の課題解決の手法
包括的なZTNAソリューションであるCitrix Secure Private Accessは、ハイブリッド環境におけるアプリケーションやデータへの安全でアイデンティティに基づいたアクセスを提供します。デフォルトで拒否する最小特権の原則に基づいたゼロトラストの原則により、アクセスを継続的に検証され、コンテキスト(アクセス状況)に応じたアクセス権を提供することで、不正アクセスやデータ侵害のリスクを低減します。
VPNに対して、Citrix Secure Private Accessはより柔軟な接続性と優れたセキュリティを提供します
リモート、ハイブリッドワーク
遅くて不安定なVPNから解放し、従業員がそのIDに基づいてアプリケーションに迅速かつ直接アクセスできるようにします。
BYOD プログラム
従業員が個人のデバイス(BYOD:Bring Your Own Device)を使用して、企業のセキュリティポリシーに準拠しながら、企業リソースに安全にアクセスできる自由度を提供します。
ハイブリッド環境
オンプレミスとクラウド環境にまたがってホストされているアプリケーションへのアクセスに対して、一貫したセキュリティポリシーを実装できます。
Citrix Secure Private AccessのZTNA機能
CitrixとZTNAの違い
ZTNA(ゼロトラストネットワークアクセス)は、高額で複雑なものではありません。Citrixプラットフォームは、VDIだけでなく、すべてのアプリケーションを保護するゼロトラストアーキテクチャで構築されているため、ZTNAソリューションを組み上げるのに追加のポイントソリューションを購入する必要はありません。
Citrix Secure Private AccessによるZTNAは以下を提供します:
より迅速な展開
- Citrix Secure Private Access は、クラウド サービス (Citrix Secure Private Access サービス)、オンプレミス (NetScaler Gateway)、ハイブリッド環境への展開に対応し、様々な環境に柔軟に展開できます。
- Citrix VDIのゼロトラストアクセスアーキテクチャに組み込まれている「デフォルト拒否」「最小権限アクセス」の原則に従って、管理対象デバイスと管理対象外デバイスの両方を迅速に保護します。
- すでに利用しているCitrix Secure Access Clientを活用し、VPNから Citrix Secure Private Access を利用したZTNAに簡単に移行できます。
- Citrix Secure Access Clientを使用して NetScaler を VPN として使用すると、ZTNA を容易に実装できます。 オンプレミス展開の場合は、NetScaler Gateway で Citrix Secure Private Access を有効化、クラウド展開の場合もCitrix Secure Private Access サービスに接続するだけです。
シンプルな管理
- 単一ベンダーのソリューションであり、アプリケーション配信、アクセスセキュリティ、VDIなどのあらゆる要件に対する一貫した運用管理を実現できます。
- Citrix Directorなどの既存のCitrixの機能を使用して安全なアクセス管理・監視を行います。
- 製品付属の Citrix uberAgent により、エンドツーエンドの可観測性(オブザーバビリティ)が向上し、迅速なトラブルシューティングと問題解決を実現。
一貫したセキュリティ
- Citrix Secure Private Accessは、仮想化アプリ、Webアプリ、クライアントサーバーアプリすべてに対し、共通のユーザー認証・デバイスポスチャ・セキュリティポリシーとの統合により、一貫性のあるゼロトラストセキュリティを実現します。
- Cisco Duo、Ping、Entra ID、OktaなどのすべてのサードパーティIDプロバイダーとの統合により、すべてのアプリケーションでシングルサインオン(SSO)を実現します。
- きめ細かなアクセス制御により、すべてのユーザー・デバイスに一貫したセキュリティポリシーを適用することができ、資格情報の侵害や内部からの脅威から保護します。
- ユーザーはCitrix Workspace で仮想アプリ・デスクトップにアクセスするのと同様な操作感で、セキュアブラウザでWebアプリにアクセスできます。
- Citrix Secure Private Access は、既に導入しているセキュリティサービスエッジ(SSE)のSWG(セキュアWebゲートウェイ)やCASB(クラウドアクセスセキュリティブローカー)を補完し、外部トラフィックのセキュリティを強化します。
ユーザーエクスペリエンスの向上
- WebやSaaSアプリケーションを、VDI経由でアクセスするアプリケーション同様に、Citrix StoreFront 上に一か所にすべて集約して、すべてのアプリケーションにSSOでシームレスにアクセスすることで、ユーザーの負担を削減します。
- 速度低下や切断に悩まされるVPNとは異なり、あらゆるデバイスや場所から安定して高速にアプリケーションに容易にアクセスできるため、ユーザーの生産性向上に寄与します。
Citrix Secure Private Access だけが提供できる特徴的な機能
-
オンプレミス導入モード
既に社内導入されている承認済みのCitrixオンプレミス環境のコンポーネントを使ってすべてのトラフィックをルーティングするため、セキュリティ承認を取得しやすくなります。
-
柔軟な認証
最新の認証方式はもちろん、Kerberos や NTLM などの従来の認証方式にもシームレスに対応。フォームベース認証もサポートし、既存のアプリケーションの認証プロトコルを変更する必要はありません。
-
属性ベースのIdP選択
M&A(合併・買収)や GDPR(General Data Protection Regulation)への対応 、ネットワークセキュリティなどによる複数のIDプロバイダー(IdP)構成においても、属性などの条件に応じて適切なIdPを自動選択することができます。
-
クラウドVDIからデータセンターへのセキュアなアプリケーションアクセス
Azure ExpressRoute などの VPN を利用せずに、クラウド VDI からデータセンター内のアプリケーション、またはプライベートクラウドの社内アプリケーションへ、アプリケーション単位の安全なアクセスを提供します。マイクロセグメンテーションときめ細かなアクセス制御を実現し、シングルセッション/マルチセッションのVDI環境をサポートします。
-
リモートブラウザー分離
クラウド上のリモートブラウザーでWebアプリケーションを安全に利用できるよう、管理者がエンドユーザーのアクセス権限を簡単に設定できるワークフローを提供。
-
統一されたエンドユーザーエクスペリエンス
Citrix StoreFrontと連携し、シングルサインオン(SSO)を利用して、Web、SaaS、VDIなど承認されたすべてのアプリケーションを1つのポータルから簡単にアクセス可能。使いやすく、安全なアクセス環境を提供します。
-
統一された管理者エクスペリエンス
管理者は Citrix Web Studio 内の Citrix Secure Private Access の管理画面にアクセスして、WebおよびSaaSアプリケーションへのアクセスを構成できるため、管理者の作業を大幅に簡素化できます。
-
統一されたサポートエクスペリエンス
保守・管理および運用のための単一の管理ポータルと、単一の Citrix Director ツールにより、仮想アプリケーションとプライベートアプリケーションのトラブルシューティングと問題の選別を効率化し問題の特定を容易にします。
-
VPNとZTNAの共存
VPNとして構成された NetScaler Gateway 用のエージェント と Citrix Secure Private Access エージェントは同じソースコードで構築されているため、エンドユーザーのデバイスでVPNからZTNAへのシームレスな移行が可能です。これにより、一斉切り替え方式ではなく、段階的にVPNからZTNAへの移行が可能になります。
-
Citrix Secure Private AccessとSASE/SSEの共存
SASE/SSEベンダーが提供するセキュアウェブゲートウェイ(SWG)やクラウドアクセスセキュリティブローカー(CASB)を補完し、外部トラフィックのセキュリティを強化します。
-
WebおよびSaaSアプリケーション向けZTNA
オンプレミスでもクラウド上でも、WebアプリケーションやSaaSアプリケーション、独自アプリケーション、VDIアプリケーションなど、あらゆるアプリケーションへの安全なアクセスを提供。複数のZTNAソリューションの管理に伴う複雑さを効果的に軽減します。
-
コスト削減
Citrix Platform License に付属するため、ベンダー統合とコスト最適化に貢献致します。
Citrix Secure Private Accessの主要なZTNAユースケース
従来の境界型セキュリティよりも、最新のゼロトラスト・セキュリティモデルの方が望ましいですが、VPNを併用しながらゼロトラスト機能を段階的に導入することも可能です。最初のステップとして、リモートワークやハイブリッドワークの従業員や契約社員の管理対象外デバイスにZTNAを適用するのが一般的です。
従業員の管理対象デバイスからのプライベートWeb、TCP/UDPアプリケーションへのアクセス
Citrix Secure Private Accessは、企業データ保護とコンテキストベースの認証により、従業員に必要なリソースに最小限のアクセス権限を与えます。従業員が好きなブラウザでプライベートWebアプリケーションにアクセスできるようにすることで、ユーザーエクスペリエンスが向上します。また、従業員は管理者による追加設定なしでクライアントサーバー(TCP/UDP)アプリケーションにアクセスできるため、IT部門と従業員にとってシームレスで手間のかからないアクセス手段を実現します。
契約社員の管理対象外デバイスとOS標準ブラウザからのプライベートWebアプリケーションへのアクセス
Citrix Secure Private Accessは、一般的なブラウザで統合ポータルか直接URLリンクを経由して、外部SaaSおよび内部Webアプリケーションへの安全なコンテキストベースのアクセスを提供します。アプリケーションをリモートブラウザで隔離して起動するようにコンテキストポリシーを設定すると、端末からのセキュリティ脅威を軽減し、追加のセキュリティポリシーを強制するなど、ユーザーの管理対象外デバイスと業務アプリケーション間に分離空間(エアギャップ)を構成して機密データを保護します。
クラウドVDIユーザーのVPNを利用しないクラウドVDIからプライベートアプリケーションへのアクセス
従業員、パートナー、契約社員に個人デバイスの利用を許可することはセキュリティリスクが生じます。このリスクを軽減するため、企業は企業ネットワークから端末を隔離する目的でクラウドVDIを導入しています。ユーザーがクラウドVDIにログインすると、Citrix Secure Private Accessは自動的に社内ネットワークへの安全な接続を確立し、ゼロトラストアプローチで社内アプリケーションへのアクセスを許可します。この堅牢なセキュリティ対策により、データの安全性が確保され、ユーザーのデバイスと企業ネットワーク間に分離空間(エアギャップ)を構成できます。
IT/VPN管理者によるZTNA接続経由での管理対象デバイスの管理
企業デバイスの管理とセキュリティ確保について、特にリモートワーカーや出張の多い従業員のデバイスについては大きな課題となります。Citrix Secure Private Accessは、デバイス起動後にゼロトラストベースのマシン・トンネル通信を確立し、企業アプリケーションやデータへのアクセス許可など、デバイスのコンプライアンス維持のためのIT/VPN管理者による対応が可能となります。
Citrix Secure Private AccessのZTNA機能
利用者の識別
Citrix Secure Private Accessは、セッションを開始する前に、シングルサインオン、デバイスポスチャ評価、多要素認証(MFA)、アダプティブ認証(適応型認証)を用いてユーザーの身元を確認します。セキュアなセッションを確立した後も、継続的な監視によりセキュリティポリシーの遵守を確保します。
- M&Aシナリオでのアイデンティティブローカーとしての機能
- Microsoft Entra ID、Okta、Google Identity、Active Directory、SAML 2.0 IdPなどによるユーザー認証
- 認証のための属性ベースのIdP選択
- 条件付き認証での多要素認証(MFA)
- マシンベースの端末認証
ゼロトラストコンテキスト
Citrix Secure Private Accessは、「決して信頼せず、常に検証する」というゼロトラスト原則に基づき、アプリケーションとデータへのアクセスを継続的に検証します。アクセスポリシーは、ユーザーの所在地、デバイスの状態、ネットワークの信頼性などのコンテキスト要因に応じて動的に割り当てられます。例えば、ユーザーが信頼できないネットワークから接続した場合、アクセスを制限したり、追加の認証を求めたりすることができます。
- デバイスポスチャ
- 一般的なチェック項目とベンダー固有のチェック
- CrowdStrikeおよびIntuneとの統合
- ネットワークの場所および位置情報
- 継続的な監視とポリシーの強制
- 動的なアクセス取り消し
- 適応型データ漏洩セキュリティ制御
柔軟なアクセス
Citrix Secure Private Accessは、エージェントベースおよびエージェントレスのオプションにより安全なアクセスのための柔軟な選択肢を提供し、セキュリティとユーザーの利便性の高度なバランスを実現します。
- エージェントレスでの、エンタープライズブラウザによるWebおよびSaaSアプリケーションアクセス
- エージェントレスでの、OS標準ブラウザを使用したWebアプリケーションアクセス
- エージェントベースでの、TCPおよびUDPアプリケーションアクセス
- 管理対象デバイスと管理対象外デバイス
- 従業員、パートナー、契約社員
アプリケーションアクセス
Citrix Secure Private Accessは、広範なネットワークアクセスではなく、特定のアプリケーションへのアクセスを許可するポリシーを適用します。このアプローチにより、ユーザーが業務に必要なアプリケーションに限定してアクセスできるようにし、攻撃対象領域を最小限に抑えられます。
- FQDN、IP:ポート:プロトコル、IP範囲、CIDRブロック、ドメイン名(単一またはワイルドカード)
- アプリケーションの自動検出とアイコン表示
- ポリシー定義、直感的なルールビルダー
- シングルサインオン(SSO)サポート
- SAML
- Kerberos
- Form認証
- Basic認証
Citrix Secure Private AccessでNetScaler VPNをZTNAにアップグレードするには、アカウント担当者にお問い合わせください。
Citrix Platform License に含まれています。
