ゼロトラストネットワーク(ZTNA)とは?VPNとの違いと製品選定・導入判断を解説
事業適合性:【直接】|接続サービス:Webシステム開発(アクセス制御設計・脆弱性診断)|CV導線:/service/system/(導入ステップの章で相談導線を1本)
ZTNA(ゼロトラストネットワークアクセス)は、利用者を社内ネットワークへ丸ごと通すVPNをやめ、認可した業務アプリだけに接続を絞る仕組みです。読み方は「ゼットティーエヌエー」で、ゼロトラストの思想をネットワークの入口に落とし込んだ実装形態にあたります。この記事では、VPNとの接続モデルの違い、SASEやゼロトラスト全体との関係、エージェント型とサービス型という製品の型の選び分け、そして「自社はVPNの置き換えとしてどこから入るべきか」までを、外注でシステムを検討する立場から整理します。概念の暗記ではなく、既存VPNをどう縮小するかの判断材料として持ち帰ってください。
目次
まとめ|ZTNAをVPN置き換えの視点で捉える導入判断の起点
ZTNAの要点は一文で言えます。「網に入れて信頼するVPNから、アプリ単位で毎回認可するアクセスへ移す」。守る対象がクラウドと社外端末に広がった以上、社内網に一度通せば横移動が自由という前提は成り立ちません。だから接続の粒度をアプリまで細かくします。
ただし全VPNを一気に捨てるのは筋の悪い進め方です。社外接続が多く、漏えい時の損害が大きい業務から順に、VPN経由のアクセスをZTNAへ寄せるのが現実解になります。本記事はまずZTNAの位置づけとVPNとの構造差を押さえ、次に製品の型で選定軸をそろえ、最後に「VPN代替として導入すべき企業・VPNを残してよい場面」を条件付きで言い切る構成です。ゼロトラストの思想や導入可否の全体像はゼロトラストの定義と導入判断を整理した解説に譲り、ここではネットワークアクセスの選定に絞ります。
ゼロトラストネットワークとZTNAの読み方・思想上の位置づけの整理
ZTNAは単独で生まれた製品ではなく、ゼロトラストという設計思想の一部を担う技術です。用語が混ざりやすいため、まず読み方と守備範囲、そしてなぜ従来のVPNでは足りなくなったのかを先に分けて押さえます。
ZTNAの読み方と正式名称、ゼロトラストネットワークとの関係
ZTNAは Zero Trust Network Access の略で、読み方は「ゼットティーエヌエー」です。2019年ごろに調査会社のGartnerが用語として整理し、それ以前から使われていたSDP(ソフトウェア定義境界)とほぼ同じ考え方を指します。「ゼロトラストネットワーク」という言い方は、ネットワークへの接続を信頼前提でつながないゼロトラストの設計全体を指すこともあれば、その入口を担うZTNAとほぼ同義で使われることもあります。整理すると、上位に「信頼せず都度検証する」というゼロトラストの思想があり、その中でネットワーク接続の認可を担う具体策がZTNAだ、という入れ子の関係です。製品を一つ買えば完成する話ではなく、接続の考え方そのものを入れ替える取り組みだと捉えてください。
境界型防御とVPNの内側を信頼する前提が崩れた3つの技術的な背景
従来のVPNは、トンネルを張って利用者を社内ネットワークに引き込む方式でした。いったん入れば内部は比較的自由に動けます。この前提が崩れた背景は3つあります。第一に、クラウドとSaaSの普及で守るべきデータが社内網の外に出ました。第二に、在宅勤務と持ち込み端末が広がり、接続元を社内に縛れなくなっています。第三に、正規のIDを盗む攻撃や委託先経由の侵入が増え、「網に入れた相手=信頼できる」が成立しなくなりました。VPNは接続時に一度認証すれば、その後の行き先を細かく問いません。だからIDを一つ突破されると、そこを起点に横方向へ被害が広がります。ZTNAはこの弱点に対し、行き先ごとに毎回認可を挟む形で答えます。
ZTNAとVPNの接続モデルの違いとリモートアクセスで残る課題
ZTNAとVPNは「社外から社内資産へ安全につなぐ」目的が重なるため、置き換えの対象として最初に比較されます。ただし到達できる範囲の設計思想は根本から別物です。ここを取り違えると、VPNのままZTNA製品を足すだけで守りが増えたと錯覚します。
接続の単位と到達範囲で見るVPNとZTNAの構造上の根本的な差
両者の差は「どこまで到達できるか」に集約されます。VPNは社内網という面に接続させ、入った後の行き先は基本的に本人任せです。ZTNAは面ではなくアプリという点に接続させ、認可していない資産はそもそも見えません。接続要求は社内側のコネクタから外向きに張るため、外部に受信ポートを開けずに済む点も設計上の差になります。主な違いは次のとおりです。
| 比較軸 | VPN | ZTNA |
|---|---|---|
| 接続の単位 | 社内ネットワーク全体 | 認可した個別アプリ |
| 到達範囲 | 入れば横移動が可能 | 許可先以外は到達不可 |
| 受信ポート | 外部に公開する | 外部に開けない |
| 認可の判断 | 接続時に一度だけ | 都度・状態で継続判断 |
実務で効くのは表の4行目です。VPNは接続の瞬間に本人確認を済ませれば、その後に端末がマルウェアに感染しても接続は保たれます。ZTNAは端末の状態や場所を見ながら認可を続けるため、条件が崩れれば接続を切れます。VPNの「入れたら自由」を、行き先と状態の両面から締め直す仕組みだと理解してください。
VPNからの移行で残るリモートアクセスの課題と併存期間の設計
置き換えは一夜では終わりません。工場の制御系や社内の古い業務システムなど、Web化されていない資産はZTNA製品が扱いにくく、当面VPNを残す判断になりがちです。移行期は両者が併存するため、「どのアプリはZTNA、どの資産は当面VPN」という線引きを先に決めておきます。ここを曖昧にすると、ZTNAを入れたのにVPNの広い到達範囲が残り、投資に見合った縮小が進みません。実務では、社外接続が多く漏えい時の損害が大きい業務からZTNAへ寄せ、VPNの接続先を段階的に減らしていく順序が扱いやすいところです。リモートアクセスの利便性を落とさずに到達範囲だけを絞る、という移行設計が要になります。
ZTNAとSASE・ゼロトラスト全体の関係と満たすべき要件の考え方
ZTNAは単体で語られる一方、実際にはSASEという広い枠組みの一部として提供されることが増えました。関係を層で理解しないと、製品比較の土俵がずれます。あわせて、ゼロトラストネットワークが満たすべき要件の考え方も押さえます。
ZTNAとSASEの違いと、SASEがZTNAを内包する層の関係
SASE(サッシー)は、2019年にGartnerが示した枠組みで、拠点間をつなぐSD-WANと、SWG・CASB・ファイアウォールといった防御機能、そしてZTNAをクラウド側で一体提供する構想を指します。つまりZTNAはSASEの構成要素の一つであり、両者は対立しません。防御機能だけを切り出した呼び方がSSE(セキュリティサービスエッジ)で、ZTNAはこのSSEにも含まれます。選び分けの目安は範囲の広さです。既存VPNの過剰な到達範囲を絞るのが当面の目的ならZTNA単体から入り、拠点の回線やクラウド通信の防御まで含めて作り替える段階ならSASEを検討します。三つは粒度の異なる層であって、どれか一つが正解という関係ではありません。これらがゼロトラストアーキテクチャ全体のどこに収まるかはゼロトラストアーキテクチャの構成要素と設計ステップの解説で整理しています。
ゼロトラストネットワークの要件は何を満たすべきかという判断軸
「ゼロトラストネットワークの7つの要件」という検索が示すとおり、要件の拠り所はNIST SP 800-207が挙げる7つの基本原則です。ネットワークの観点で要点だけ拾うと、通信は場所を問わず保護すること、アクセスはセッション単位で許可すること、認可は利用者と端末の状態を見た動的なポリシーで決めること、の3点がZTNA選定に直結します。7原則を逐条で読み解く作業はNISTの7原則を条文単位で深掘りした解説に譲りますが、製品を見るときは「この製品はセッション単位で、端末の状態まで見て認可を切り替えられるか」を要件の中心に据えると外しません。ID管理や端末防御まで含めた構成技術の全体像はゼロトラストの構成技術と導入手順を実装視点でまとめた解説で整理しています。
ZTNA製品のエージェント型とサービス型の違いと選定で見る評価軸
ZTNAをうたう製品は増えましたが、大きく二つの型に分かれます。Gartnerの整理でも、分類は端末側のクライアントを使うエージェント型と、クライアント不要のサービス型の二つ。自社の端末事情と守りたいアプリで、向く型は変わります。
エージェント型とサービス型の適性を端末と対象アプリで切り分ける
エージェント型は端末に専用クライアントを入れ、そこを起点にアプリへ接続させる方式です。会社が配布・管理している端末に向き、Webに限らず幅広いプロトコルを扱えます。サービス型はクライアントを入れず、ブラウザや逆プロキシ経由でアプリへ届ける方式で、委託先や私物端末など管理の及ばない端末に向きます。両者の適性を整理すると次のとおりです。
| 型 | エージェント型 | サービス型 |
|---|---|---|
| 接続の起点 | 端末の専用クライアント | ブラウザや逆プロキシ |
| 向く端末 | 会社支給の管理端末 | 委託先や私物の端末 |
| 守れる範囲 | 幅広いプロトコル | Web系アプリが中心 |
実際には両対応の製品も多く、管理端末はエージェント型、外部の協力会社はサービス型、と使い分ける構成が現実的です。自社の端末が管理下にあるか、社外の未管理端末からのアクセスがどれだけあるかで、必要な型が決まります。
ZTNA製品を比較するときに外さない4つの評価軸と固有名詞の位置づけ
製品比較では、機能数の多さより次の4点で絞ると迷いません。第一に、既存のID基盤(社内の認証基盤やIDaaS)と連携できるか。第二に、認可の判断に端末の状態やアクセス元の場所を織り込めるか。第三に、扱いたい資産がクラウドか社内か、対応範囲が自社構成に合うか。第四に、導入後のポリシー調整や監視を自社の体制で回せるか。ZscalerやCloudflare、Fortinet、Cato Networksなど各社が製品を出していますが、ランキングで優劣を決めるより、この4軸に自社要件を当ててふるいにかけるほうが選定を誤りません。名前の知名度ではなく、既存のIDと端末管理にどれだけ素直につながるかで見比べてください。
どの企業がVPN代替としてZTNAを導入すべきかを条件で切り分ける判断
ここが本記事の核心です。ZTNAは「入れるか入れないか」ではなく「どの業務のVPNから、どの型で置き換えるか」を決める問題です。全VPNの一斉廃止を前提にするから過大に見えるのであって、対象を切れば中小規模でも着手できます。条件を切り分けて言い切ります。
VPNの置き換えを優先して進めるべき企業に共通する3つの条件
次のいずれかに当てはまるなら、VPNからZTNAへの移行を優先する価値があります。第一に、在宅勤務や業務委託で社外からVPNに常時つなぐ利用者が多い。第二に、顧客の個人情報や設計データなど、横移動で到達されると損害が大きい資産を社内網に置いている。第三に、退職者や協力会社を含めVPNアカウントの出入りが激しく、誰がどこまで到達できるか棚卸しできていない。これらはVPNの「入れたら自由」が最も裏目に出る状況です。特に3番目に心当たりがあるなら、外部からの攻撃より先に、放置アカウントの広い到達範囲から事故が起きます。
ZTNA導入を見送るか、VPNを残してよい典型的な場面と失敗パターン
逆に、いま急いで入れなくてよい場合もはっきりしています。社外接続がほとんど無く、業務が社内の管理端末に閉じ、扱う資産も公開前提の情報が中心なら、ZTNAの効果は限定的です。この規模でまず効くのは、各クラウドサービスへの多要素認証と、退職時のアカウント即時停止という基本動作。よくある失敗は、Web化されていない社内システムが大半なのにサービス型ZTNAだけを契約し、結局VPNが縮まらず費用だけ二重になるパターンです。もう一つは、ID基盤の整備を後回しにしてZTNA製品を先に入れ、認可の土台が無いまま宝の持ち腐れになる形です。ZTNAは認証基盤が整っていて初めて効きます。順序を逆にしないことが、無駄な出費を避ける分かれ目になります。
導入ステップと外注時に発注者が示すべきアクセス制御の具体的な要件
着手の順序は規模を問わず共通です。まず社内の業務システムとクラウドサービスを棚卸しし、認証をID基盤へ寄せて全アカウントに多要素認証をかけます。次に、社外接続が多く損害の大きい業務を選び、その数本のアプリをZTNA経由へ切り替え。そのうえでVPNの接続先を段階的に減らし、残す資産を絞り込みます。ここまでを内製だけで進めるのが難しい場合、設計段階からアクセス制御と脆弱性診断を組み込む形で外部に相談するのが近道です。当社の脆弱性診断を含むWebシステム開発では、権限管理・認証連携・監視を設計時点で織り込みます。外注する際は「認証はどのID基盤に集約するか」「エージェント型とサービス型のどちらを主にするか」「VPNをいつまでに何本まで減らすか」を要件として書面化しておくと、後戻りを避けられます。
よくある質問
ZTNA(ゼロトラストネットワークアクセス)の検討で頻出する疑問を、判断に直結する順にまとめました。
ZTNAの読み方と意味は何ですか?
ZTNAは Zero Trust Network Access の略で、読み方は「ゼットティーエヌエー」です。社内ネットワークへ丸ごと通すのではなく、認可した業務アプリだけに接続を絞る仕組みを指します。ゼロトラストという「信頼せず都度検証する」設計思想を、ネットワーク接続の入口に落とし込んだ実装形態です。SDP(ソフトウェア定義境界)とほぼ同じ考え方を指す言葉として使われます。
ZTNAとVPNの違いは何ですか?
VPNはトンネルで利用者を社内網に引き込み、入った後は内部を比較的自由に移動できます。ZTNAは社内網に入れず、認可した個別アプリだけに接続を限定し、許可していない資産は見えません。VPNが接続時に一度だけ確認するのに対し、ZTNAは端末の状態や場所を見ながら認可を続ける点も違います。「入れたら信頼」がVPN、「行き先ごとに毎回確かめる」がZTNAだと捉えると整理できます。
ZTNAを入れればVPNは完全に廃止できますか?
すぐに全廃できるとは限りません。工場の制御系やWeb化されていない古い社内システムは、ZTNA製品が扱いにくく当面VPNを残す判断になりがちです。現実的には、社外接続が多く損害の大きい業務からZTNAへ寄せ、VPNの接続先を段階的に減らす進め方になります。残すVPNと移すアプリの線引きを先に決めておくと、移行が滞りません。
ZTNA製品はどう選べばよいですか?
機能数ではなく、既存のID基盤と素直に連携できるか、認可に端末の状態や場所を織り込めるか、対応範囲が自社構成に合うか、導入後の運用を自社の体制で回せるか、の4点で絞ります。端末が会社の管理下にあるならエージェント型、委託先や私物端末が多いならサービス型が向きます。ランキングで決めず、この評価軸に自社要件を当てて比較すると外しません。
ゼロトラストネットワークとゼロトラストは同じ意味ですか?
厳密には層が異なります。ゼロトラストは「信頼せず都度検証する」という設計思想全体を指し、ゼロトラストネットワーク(ZTNA)はその中でネットワーク接続の認可を担う具体策です。思想が上位にあり、ネットワークの入口を実装するのがZTNA、という入れ子の関係になります。思想の全体像と導入判断は親記事で、原則の逐条は別の解説で整理しています。
関連記事
- ゼロトラストとは?境界型防御との違い・NIST7原則と導入判断を解説:ZTNAの土台となる思想・定義・導入可否の全体像をまとめた親記事です。
- ゼロトラストセキュリティとは?構成技術と導入手順・費用を実装視点で解説:ZTNAを含む構成技術全体(ID管理・端末防御・監視)と導入手順・費用を整理した実装ハブです。
- NISTが提唱するゼロトラストの7つの基本原則を深掘り解説:本記事で要件の拠り所とした7原則を、条文単位で読み解いた詳細版です。
- 情報セキュリティとは?3要素・脅威・ISMSの基本と外注時の要件を解説:ZTNAを情報セキュリティ全体(機密性・完全性・可用性とISMS)の中に位置づける土台記事です。