VPNの終焉とZTNAの到来
Citrix Secure Private Access は、ゼロトラスト・ネットワークアクセス(ZTNA)を提供し、オンプレミスとクラウドの両方で、あらゆるユーザーが、あらゆるデバイス(管理・非管理デバイスを問わず)、あらゆるアプリケーションを配信、保護、管理します。企業データ保護において、従来の仮想プライベートネットワーク(VPN)よりも安全なCitrix Secure Private Access は、理想的なVPNの代替手段です。VPNとしてNetScaler Gateway をSecure Access Clientと組み合わせて利用している場合は、同じクライアントからZTNAを観点に展開でき、従業員に影響することなくシームレスな移行を実現します。
さらに、Citrix Secure Private Access は、Citrixプラットフォームに含まれているため、追加コストなしで、WebアプリケーションやSaaSアプリケーションにZTNAを迅速に拡張 することができます。
VPNの課題
VPNは境界型セキュリティモデルを前提としており、今日の分散型の構成やクラウドの環境では安全性が低下します。企業のリソースが従来のネットワーク境界の外に移行するにつれて、VPNはそれらを十分に保護できず、攻撃対象領域(アタックサーフェス)が拡大します。ZTNAは、リモートアクセスのセキュリティにおいて、従来のVPNよりも優れています。ユーザーが認証されると広範なアクセス権を与えるVPNとは異なり、ZTNAは「決して信頼せず、常に検証する」原則に基づいて動作します。ZTNAでは、ユーザーのIDとアクセス状況(コンテキスト)に応じて継続して検証するため、攻撃対象領域が大幅に減少します。
Citrix Secure Private Access による VPN の課題解決の手法
包括的なZTNAソリューションであるCitrix Secure Private Accessは、ハイブリッド環境におけるアプリケーションやデータへの安全でアイデンティティに基づいたアクセスを提供します。デフォルトで拒否する最小特権の原則に基づいたゼロトラストの原則により、アクセスを継続的に検証され、コンテキスト(アクセス状況)に応じたアクセス権を提供することで、不正アクセスやデータ侵害のリスクを低減します。
VPNに対して、Citrix Secure Private Accessは
より柔軟な接続性と優れたセキュリティを提供します
リモート、ハイブリッドワーク
遅くて不安定なVPNから解放し、従業員がそのIDに基づいてアプリケーションに迅速かつ直接アクセスできるようにします。
BYOD プログラム
従業員が個人のデバイス(BYOD:Bring Your Own Device)を使用して、企業のセキュリティポリシーに準拠しながら、企業リソースに安全にアクセスできる自由度を提供します。
ハイブリッド環境
オンプレミスとクラウド環境にまたがってホストされているアプリケーションへのアクセスに対して、一貫したセキュリティポリシーを実装できます。
Citrix Secure Private AccessのZTNA機能
CitrixとZTNAの違い
ZTNA(ゼロトラストネットワークアクセス)は、高額で複雑なものではありません。Citrixプラットフォームは、VDIだけでなく、すべてのアプリケーションを保護するゼロトラストアーキテクチャで構築されているため、ZTNAソリューションを組み上げるのに追加のポイントソリューションを購入する必要はありません。
Citrix Secure Private AccessによるZTNAは以下を提供します:
より迅速な展開
- Citrix Secure Private Access は、クラウド サービス (Citrix Secure Private Access サービス)、オンプレミス (NetScaler Gateway)、ハイブリッド環境への展開に対応し、様々な環境に柔軟に展開できます。
- Citrix VDIのゼロトラストアクセスアーキテクチャに組み込まれている「デフォルト拒否」「最小権限アクセス」の原則に従って、管理対象デバイスと管理対象外デバイスの両方を迅速に保護します。
- すでに利用しているCitrix Secure Access Clientを活用し、VPNから Citrix Secure Private Access を利用したZTNAに簡単に移行できます。
- Citrix Secure Access Clientを使用して NetScaler を VPN として使用すると、ZTNA を容易に実装できます。 オンプレミス展開の場合は、NetScaler Gateway で Citrix Secure Private Access を有効化、クラウド展開の場合もCitrix Secure Private Access サービスに接続するだけです。
シンプルな管理
- 単一ベンダーのソリューションであり、アプリケーション配信、アクセスセキュリティ、VDIなどのあらゆる要件に対する一貫した運用管理を実現できます。
- Citrix Directorなどの既存のCitrixの機能を使用して安全なアクセス管理・監視を行います。
- 製品付属の Citrix uberAgent により、エンドツーエンドの可観測性(オブザーバビリティ)が向上し、迅速なトラブルシューティングと問題解決を実現。
一貫したセキュリティ
- Citrix Secure Private Accessは、仮想化アプリ、Webアプリ、クライアントサーバーアプリすべてに対し、共通のユーザー認証・デバイスポスチャ・セキュリティポリシーとの統合により、一貫性のあるゼロトラストセキュリティを実現します。
- Cisco Duo、Ping、Entra ID、OktaなどのすべてのサードパーティIDプロバイダーとの統合により、すべてのアプリケーションでシングルサインオン(SSO)を実現します。
- きめ細かなアクセス制御により、すべてのユーザー・デバイスに一貫したセキュリティポリシーを適用することができ、資格情報の侵害や内部からの脅威から保護します。
- ユーザーはCitrix Workspace で仮想アプリ・デスクトップにアクセスするのと同様な操作感で、セキュアブラウザでWebアプリにアクセスできます。
Citrix Secure Private Access は、既に導入しているセキュリティサービスエッジ(SSE)のSWG(セキュアWebゲートウェイ)やCASB(クラウドアクセスセキュリティブローカー)を補完し、外部トラフィックのセキュリティを強化します。
ユーザーエクスペリエンスの向上
- WebやSaaSアプリケーションを、VDI経由でアクセスするアプリケーション同様に、Citrix StoreFront 上に一か所にすべて集約して、すべてのアプリケーションにSSOでシームレスにアクセスすることで、ユーザーの負担を削減します。
- 速度低下や切断に悩まされるVPNとは異なり、あらゆるデバイスや場所から安定して高速にアプリケーションに容易にアクセスできるため、ユーザーの生産性向上に寄与します。
Citrix Secure Private Access だけが提供できる特徴的な機能
オンプレミス導入モード
既に社内導入されている承認済みのCitrixオンプレミス環境のコンポーネントを使ってすべてのトラフィックをルーティングするため、セキュリティ承認を取得しやすくなります。
柔軟な認証
最新の認証方式はもちろん、Kerberos や NTLM などの従来の認証方式にもシームレスに対応。フォームベース認証もサポートし、既存のアプリケーションの認証プロトコルを変更する必要はありません。
属性ベースのIdP選択
M&A(合併・買収)や GDPR(General Data Protection Regulation)への対応 、ネットワークセキュリティなどによる複数のIDプロバイダー(IdP)構成においても、属性などの条件に応じて適切なIdPを自動選択することができます。
クラウドVDIからデータセンターへのセキュアなアプリケーションアクセス
Azure ExpressRoute などの VPN を利用せずに、クラウド VDI からデータセンター内のアプリケーション、またはプライベートクラウドの社内アプリケーションへ、アプリケーション単位の安全なアクセスを提供します。マイクロセグメンテーションときめ細かなアクセス制御を実現し、シングルセッション/マルチセッションのVDI環境をサポートします。
リモートブラウザー分離
クラウド上のリモートブラウザーでWebアプリケーションを安全に利用できるよう、管理者がエンドユーザーのアクセス権限を簡単に設定できるワークフローを提供。
統一されたエンドユーザーエクスペリエンス
Citrix StoreFrontと連携し、シングルサインオン(SSO)を利用して、Web、SaaS、VDIなど承認されたすべてのアプリケーションを1つのポータルから簡単にアクセス可能。使いやすく、安全なアクセス環境を提供します。
統一された管理者エクスペリエンス
管理者は Citrix Web Studio 内の Citrix Secure Private Access の管理画面にアクセスして、WebおよびSaaSアプリケーションへのアクセスを構成できるため、管理者の作業を大幅に簡素化できます。
統一されたサポートエクスペリエンス
保守・管理および運用のための単一の管理ポータルと、単一の Citrix Director ツールにより、仮想アプリケーションとプライベートアプリケーションのトラブルシューティングと問題の選別を効率化し問題の特定を容易にします。
VPNとZTNAの共存
VPNとして構成された NetScaler Gateway 用のエージェント と Citrix Secure Private Access エージェントは同じソースコードで構築されているため、エンドユーザーのデバイスでVPNからZTNAへのシームレスな移行が可能です。これにより、一斉切り替え方式ではなく、段階的にVPNからZTNAへの移行が可能になります。
Citrix Secure Private AccessとSASE/SSEの共存
SASE/SSEベンダーが提供するセキュアウェブゲートウェイ(SWG)やクラウドアクセスセキュリティブローカー(CASB)を補完し、外部トラフィックのセキュリティを強化します。
WebおよびSaaSアプリケーション向けZTNA
オンプレミスでもクラウド上でも、WebアプリケーションやSaaSアプリケーション、独自アプリケーション、VDIアプリケーションなど、あらゆるアプリケーションへの安全なアクセスを提供。複数のZTNAソリューションの管理に伴う複雑さを効果的に軽減します。
コスト削減
Citrix Platform License に付属するため、ベンダー統合とコスト最適化に貢献致します。
Citrix Secure Private Accessの主要なZTNAユースケース
従来の境界型セキュリティよりも、最新のゼロトラスト・セキュリティモデルの方が望ましいですが、VPNを併用しながらゼロトラスト機能を段階的に導入することも可能です。最初のステップとして、リモートワークやハイブリッドワークの従業員や契約社員の管理対象外デバイスにZTNAを適用するのが一般的です。
従業員の管理対象デバイスからのプライベートWeb、TCP/UDPアプリケーションへのアクセス
Citrix Secure Private Accessは、企業データ保護とコンテキストベースの認証により、従業員に必要なリソースに最小限のアクセス権限を与えます。従業員が好きなブラウザでプライベートWebアプリケーションにアクセスできるようにすることで、ユーザーエクスペリエンスが向上します。また、従業員は管理者による追加設定なしでクライアントサーバー(TCP/UDP)アプリケーションにアクセスできるため、IT部門と従業員にとってシームレスで手間のかからないアクセス手段を実現します。
契約社員の管理対象外デバイスとOS標準ブラウザからのプライベートWebアプリケーションへのアクセス
Citrix Secure Private Accessは、一般的なブラウザで統合ポータルか直接URLリンクを経由して、外部SaaSおよび内部Webアプリケーションへの安全なコンテキストベースのアクセスを提供します。アプリケーションをリモートブラウザで隔離して起動するようにコンテキストポリシーを設定すると、端末からのセキュリティ脅威を軽減し、追加のセキュリティポリシーを強制するなど、ユーザーの管理対象外デバイスと業務アプリケーション間に分離空間(エアギャップ)を構成して機密データを保護します。
クラウドVDIユーザーのVPNを利用しないクラウドVDIからプライベートアプリケーションへのアクセス
従業員、パートナー、契約社員に個人デバイスの利用を許可することはセキュリティリスクが生じます。このリスクを軽減するため、企業は企業ネットワークから端末を隔離する目的でクラウドVDIを導入しています。ユーザーがクラウドVDIにログインすると、Citrix Secure Private Accessは自動的に社内ネットワークへの安全な接続を確立し、ゼロトラストアプローチで社内アプリケーションへのアクセスを許可します。この堅牢なセキュリティ対策により、データの安全性が確保され、ユーザーのデバイスと企業ネットワーク間に分離空間(エアギャップ)を構成できます。
IT/VPN管理者によるZTNA接続経由での管理対象デバイスの管理
企業デバイスの管理とセキュリティ確保について、特にリモートワーカーや出張の多い従業員のデバイスについては大きな課題となります。Citrix Secure Private Accessは、デバイス起動後にゼロトラストベースのマシン・トンネル通信を確立し、企業アプリケーションやデータへのアクセス許可など、デバイスのコンプライアンス維持のためのIT/VPN管理者による対応が可能となります。
Citrix Secure Private AccessのZTNA機能
利用者の識別
Citrix Secure Private Accessは、セッションを開始する前に、シングルサインオン、デバイスポスチャ評価、多要素認証(MFA)、アダプティブ認証(適応型認証)を用いてユーザーの身元を確認します。セキュアなセッションを確立した後も、継続的な監視によりセキュリティポリシーの遵守を確保します。
- M&Aシナリオでのアイデンティティブローカーとしての機能
- Microsoft Entra ID、Okta、Google Identity、Active Directory、SAML 2.0 IdPなどによるユーザー認証
- 認証のための属性ベースのIdP選択
- 条件付き認証での多要素認証(MFA)
- マシンベースの端末認証
ゼロトラストコンテキスト
Citrix Secure Private Accessは、「決して信頼せず、常に検証する」というゼロトラスト原則に基づき、アプリケーションとデータへのアクセスを継続的に検証します。アクセスポリシーは、ユーザーの所在地、デバイスの状態、ネットワークの信頼性などのコンテキスト要因に応じて動的に割り当てられます。例えば、ユーザーが信頼できないネットワークから接続した場合、アクセスを制限したり、追加の認証を求めたりすることができます。
- デバイスポスチャ
- 一般的なチェック項目とベンダー固有のチェック
- CrowdStrikeおよびIntuneとの統合
- ネットワークの場所および位置情報
- 継続的な監視とポリシーの強制
- 動的なアクセス取り消し
- 適応型データ漏洩セキュリティ制御
柔軟なアクセス
Citrix Secure Private Accessは、エージェントベースおよびエージェントレスのオプションにより安全なアクセスのための柔軟な選択肢を提供し、セキュリティとユーザーの利便性の高度なバランスを実現します。
- エージェントレスでの、エンタープライズブラウザによるWebおよびSaaSアプリケーションアクセス
- エージェントレスでの、OS標準ブラウザを使用したWebアプリケーションアクセス
- エージェントベースでの、TCPおよびUDPアプリケーションアクセス
- 管理対象デバイスと管理対象外デバイス
- 従業員、パートナー、契約社員
アプリケーションアクセス
Citrix Secure Private Accessは、広範なネットワークアクセスではなく、特定のアプリケーションへのアクセスを許可するポリシーを適用します。このアプローチにより、ユーザーが業務に必要なアプリケーションに限定してアクセスできるようにし、攻撃対象領域を最小限に抑えられます。
- FQDN、IP:ポート:プロトコル、IP範囲、CIDRブロック、ドメイン名(単一またはワイルドカード)
- アプリケーションの自動検出とアイコン表示
- ポリシー定義、直感的なルールビルダー
- シングルサインオン(SSO)サポート
- SAML
- Kerberos
- Form認証
- Basic認証
関連コンテンツ
Citrix Secure Private AccessでNetScaler VPNをZTNAにアップグレードするには、アカウント担当者にお問い合わせください。Citrix Platform License に含まれています。
Citrix Platform に興味ありますか?
citrixjpmktg@cloud.comにご連絡ください。
© 2025. Cloud Software Group, Inc. All rights reserved. Citrix and the Citrix logo are trademarks or registered trademarks of Cloud Software Group, Inc. or its subsidiaries in the United States and/or other countries. All other product and company names and marks in this document are the property of their respective owners and mentioned for identification purposes only.
