日本医科大武蔵小杉病院、ランサムウェア攻撃で1万人分の個人情報が漏えい、身代金150億円要求されるというニュースありました。
昔からよくあるVPNの装置・アカウントの侵害をつい連想しがちで、
その流れで「もうVPNじゃなくてZTNAだ!」という話になりやすいですが、
実際はコストもかかるし、全部をゼロトラストに変えればOKって話でもないんですよね。
大事なのは “どこが侵害されたらどれくらいヤバいのか” をちゃんと理解することが大事と思います。
分からない情報を調べながらこちらのメモとして残ります。
ざっくり「侵害されたときのヤバさ順」
ゆるくまとめるとこんなイメージです:
ユーザー1人侵害
↓
VPNアカウント侵害
↓
ZTNA通常侵害(アカウント/端末ハイジャック)
↓
VPN装置侵害(L3接続 -> ネットワーク全体リスク)①
↓
クラウドIAM漏えいや誤設定
↓
ZTNA基盤侵害(アプリ層)②
↓
(ZTNAも利用する)IdP基盤侵害(認証信頼層->ネットワークを経由せずに全部入れる->最上位リスク)③
VPNの種類とリスクの違い
VPNについては、一つ種類に分類されますが、実際は以下いくつ種類があり、正しく運用前提でのリスクを纏めました。
- VPN(オンプレ) : FortiGateなど
→ 侵害されたら社内ネットワーク丸見え。攻撃対象にもなりやすい - OpenVPNセルフホスト型 : Sophosなど
→ VPC内部踏み台化 - マネージドClient VPN型 : AWS ClientVPN
→ 装置侵害リスクはほぼゼロ
ClientVPNを使って、ZTNAとの差は「思想の差」であり、致命的な構造差ではないかと思われます。
また、以下は独立しているため侵害が段階的になります。
ADやIdPは別
SaaSは別
ポリシーは別
※いち早く検知できることが大事ですね。
ZTNAの「通常侵害」と「基盤侵害」は分けて考えるべき
- 通常侵害とはコントロールプレーンではなく、いかのようなユーザレベルの侵害ということ。
- ユーザーID+パスワード漏洩
- ブラウザトークン窃取
- セッションハイジャック
こちらのケースでは、侵害されても「そのユーザーが許可された範囲」に閉じるため、限定的な被害と言われるのはこちらになります。
- 基盤侵害については、利用者中心の通常侵害ではなく、以下のようなZTNAを動かしている中枢そのものが侵害される状態と指します。
- ポリシーエンジン
- 管理コンソール
- APIキー
- トークン署名鍵
- IdP連携設定
ここが落ちると、アプリ制御+ID制御+セッション制御の“信頼の中心”が全部崩れるので、
実はVPNより破壊力が大きかったりします。
最後に
ZTNAって「全部ゼロトラストにすれば安心!」みたいに言われがちだけど、
基盤そのものがやられた時のダメージは、実はVPNより重いケースもあります。
なので、VPNかZTNAかの二択で悩むより、
「どの層が落ちたらどれだけ広がるの?」 をちゃんと見える化して、
その上で予算とか技術選択を考えるのが現実的かなと思ってます。