ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
2020年3月下旬から4月上旬にかけては、世界中のITチームにとって厳しい時期となりました。政府による強制的なロックダウン政策により、ユーザーは堅牢なデータセンターを備えた企業のオフィスから、ホームオフィスや子供部屋、食卓へと移動せざるを得なくなりました。しかし当時のリモートアクセス環境や仮想プライベートネットワーク(VPN)環境はユーザーのごく一部しかサポートできなかったため、インフラは過負荷に陥り、IT部門のリーダーたちはこれを解決するために奔走しなければならなかったのです。なにしろ、突然すべてのユーザーが自宅で仕事をするようになり、その全員がビジネスを継続するために必要なツールや情報へのアクセスを必要としていたのですから、混乱は大きなものでした。
従来のハブ&スポーク型のネットワークアーキテクチャがいずれ限界を迎えることは、かなり以前から認知されていました。ユーザーは業務のためにアプリケーションやデータに確実にアクセスする必要がありますが、VPNアプライアンスは、今日のデジタルでアジャイルな組織とそのユーザーのニーズを満たすためには拡張性に乏しいのです。
また、VPNはセキュリティと遅延についても課題を抱えており、それらにも対処する必要があります。VPNは組織のネットワーク全体へのアクセスを可能にするため、攻撃者がユーザーの認証情報を取得してネットワークに侵入した場合、ネットワーク内を自由に検索し横移動することができ、セキュリティ上の大きな問題が発生します。
ITチームは、VPNへのセキュアなアクセスを強化させる方法を見つけるまでに何年かの猶予があると考えていましたが、新型コロナウイルスの感染拡大によってそのスケジュールは数週間に短縮されました。
多くの企業が、既存のVPN環境を置き換える、または強化する手段として、Zero Trust Network Access(ZTNA)ツールを導入しました。これらのZTNAソリューションはクラウドをベースとしており、高度に分散したユーザーとアプリケーションとの間をスケーラブルに接続します。しかしITチームは、VPNの拡張性と接続性の問題を解決することに精一杯で、セキュリティ面の課題は先送りせざるを得ませんでした。
これらの「素の」ZTNAソリューションは、分散したユーザーが特定のアプリケーションにアクセスする手段は提供しましたが、VPNと同様に、ポリシーの適用や監視機能は提供しませんでした。一旦ユーザー(不幸なケースでは攻撃者)にアプリケーションへのアクセスが許可された後は行動上の制限が適用されず、管理者や設定の変更、データの流出などの異常な行動を組織が見つけることはできませんでした。
ZTNAソリューションは、前例の無い事態に対して重要な緊急対応の手段を提供しました。騒ぎが落ち着いた今こそ、VPN問題を解決し、必要な修正を施す時です。
ZTNAソリューションは、ユーザー側のインフラ環境や接続手段に関係なく社内アプリケーションへの安全なアクセスを提供する、Secure Access Service Edge(SASE)フレームワークの重要な一部分です。しかし、ZTNAを単なるクラウドベースのVPNとして使用することは、スポーツカーを街中で乗り回すようなものです。クラウドにおけるZTNAのユニークなアーキテクチャは、デジタルとクラウドのトランスフォーメーションを確保するための重要な要素であり、スロットルを解放してZTNAが提供するすべての機能を最大限活用する必要があります。
ここでは、VPNの代替または強化手段としてZTNAソリューションを評価する際に注目すべき3つのポイントを紹介します:
現代においては、リモートユーザーやハイブリッドユーザーに対し、オフィスからログインした場合と同じアプリケーション体験を提供することが目標となっており、これには、アクセシビリティ、パフォーマンス、およびセキュリティが含まれます。クラウドベースのZTNAアーキテクチャはアクセシビリティとパフォーマンスを提供します。しかしITチームにとっては、データセンター以外の場所へもセキュリティを拡張し、ユーザーとアプリケーション間のすべてのトラフィックにセキュリティポリシーを適用する方法も重要です。物理的な場所、基盤となるインフラ、接続のタイプにかかわらず、データセンターのセキュリティポリシーがすべてのネットワークトラフィックに適用されるように、ポリシー管理のための集約されたアクセスポイントとして機能するZTNAソリューションが必要なのです。このようなZTNAソリューションであれば、パンデミックの初期に問題となったVPNインフラの重要なセキュリティ上の課題を解消できます。その際には可視化と制御を双方向で行うことが重要であり、それによりユーザーの不正な行動や重要なアプリケーションからのデータ流出を防ぐことができます。
ほとんどのZTNAソリューションでは、エンドポイントにエージェントをインストールする必要があります。そうすることでアプリケーションへの信頼性の高いアクセスが可能になりますが、ITチームはエージェントの導入、設定、パッチ適用、保守を行う必要があり、すでに過大な負担を強いられているチームにさらなる負荷とコストを課すことになります。ZTNAソリューションを評価する際には、ネットワークの肥大化を招いたり運用コストを増やしたりすることなく、セキュリティ体制を強化できるかどうかを重視する必要があります。エージェントベースのソリューションが駄目だと言っているわけではありません。特定の要件に応じて、エンドポイントにエージェントを必要とするアプリケーションもあります。しかし、クライアントベースのアーキテクチャを既定のものとするべきではありません。企業は、エージェントレスのアーキテクチャで構築され、必要に応じてエージェントを展開する機能を備えたZTNAソリューションを探すべきです。
ing. Everything is located in one centralized platform.
ZTNAソリューションは、独立したツールであってはなりません。セキュアWebゲートウェイ(SWG)、ファイアウォール、データ漏洩防止(DLP)、Cloud Access Security Broker(CASB)、Security Operations Center(SOC)、そしてアイソレーション機能を含む既存のセキュリティスタックとシームレスに統合できる必要があります。この統合により、今日の分散化されたモバイル社会におけるネットワークセキュリティの完全な制御と可視性が確保されるとともに、ITチームはすべてを統合的に監視・管理できるようになります。何かを実装したり修正したりするために、何十個ものコントロール画面を開く必要はありません。すべてが1つの集中型プラットフォームに集約されるのです。
在宅勤務への移行により、動的で迅速さを求めるビジネスにおける従来のVPNネットワークの課題が明らかになりました。パンデミックが発生した直後、分散したユーザーが一夜にしてクラウド上のアプリケーションにアクセスしなければならなくなり、ITチームはそれを実現するために奔走しました。そして今、ZTNAの導入を次のステップに進めることで、潜在的なセキュリティ問題に対処すべき時が来ています。企業は、重要なセキュリティ上の課題を無視したり、運用コストを増加させたりすることなく、高い信頼性のもとで可用性とパフォーマンスを提供する次世代のZTNAソリューションを必要としています。
今日の労働力は、高速で信頼性の高いWebアプリケーションへのアクセスを必要としています。
Menlo Private Accessがどのようにそれを実現できるかをご覧ください。
