ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
企業におけるゼロトラストセキュリティの基礎知識
ゼロトラストは、サイバーセキュリティに対する従来の検出と修復のアプローチを一変させます。ゼロトラストは、既知の脅威以外のすべてを信頼するのではなく、信頼できる送信元から送信されたかどうかにかかわらず、すべてのトラフィックが信頼できないと想定しています。そのため、Web サイト、Web アプリ、SaaS (サービスとしてのソフトウェア) プラットフォーム、さらにはメールコンテンツまでもが、あたかも悪意のあるものであるかのように扱わざるを得ません。そして、ネットワーク上のユーザー、デバイス、またはアプリケーションとのやりとりのたびに、継続的に認証を受ける必要があります。
従来のセキュリティ戦略は、エンティティ (ユーザー、デバイス、またはアプリケーション) をネットワークのエッジで一度認証したら、ネットワーク内のあらゆるものにアクセスできるように構築されています。これは、企業ネットワークが移動性がほとんどないハブアンドスポークモデルでセットアップされている場合にうまく機能しました。ユーザーは、データセンターに出入りするトラフィックを制御できる堅牢なファイアウォールの背後にある本社からログインする傾向がありました。
しかし、今日のネットワークは高度に分散されており、モバイル化が進んでいます。ユーザー、デバイス、アプリ、データはプライベートクラウドとパブリッククラウドのインフラストラクチャーに分散しており、必要に応じてスピンアップ/スピンダウンされます。この分散型アーキテクチャは、境界をなくしたわけではなく、リモートオフィス、ホームオフィス、顧客サイト、外出先など、ユーザーがビジネスを行うあらゆる場所に拡大しています。境界はどこにでもあるため、侵害を阻止することは不可能です。一方、ゼロトラストは、境界とネットワーク内のエンティティを継続的に認証し、隙間から何も侵入しないようにします。
ゼロトラストセキュリティ戦略は、デフォルトとしてアクセスなしから始まります。ユーザー、デバイス、アプリケーションは、場所や状態に関係なく、最初にアクセス許可と認証を受けなければ何にもアクセスできません。そこからは、継続的な認証によってアクセスを獲得する必要があります。これにより、悪意のある攻撃者がエンドデバイスにアクセスして、より価値のある標的を求めてネットワーク全体に拡散することを防ぐことができます。
デジタルトランスフォーメーションの加速により、あらゆるものがネットワークの端に押し出されました。現代のアプリケーションは、もはや 1 つのデータセンターに積み重ねられたモノリシックなものではありません。現在、それらは複数のクラウド・インフラストラクチャーに分散された数千のマイクロサービスに分割されています。これにより、アプリケーションエクスペリエンスが向上し、ビジネスの俊敏性が向上しますが、セキュリティが静的インフラストラクチャに付随するハブアンドスポークモデル向けに構築された従来のセキュリティ戦略は根本的に崩れてしまいました。新しい現代的な働き方には最新のセキュリティアプローチが必要です。ゼロトラストは、マルチクラウド環境でユーザー、デバイス、アプリケーション、データを保護するのに理想的です。
第二に、脅威環境は過去数年間で大きく進化し、拡大してきました。企業はユーザー名、パスワード、多要素認証トークンをインターネットのあちこちに送信しているため、攻撃者がこれらの認証情報を傍受して盗む機会が増えています。また、企業は一般大衆、ひいては悪意のある攻撃者とリソースを共有しています。フォーチュン50企業のCEOは、Microsoft 365、Google Productivity Suite、またはBoxのアカウントを持っている可能性があります。すべてのハッカーもそうです。ユーザーを騙して認証情報を漏らすために、本物そっくりのメール通信を仕掛けるのはかなり簡単です。ゼロトラストはラテラルムーブメントを阻止し、ネットワーク内の他のアプリケーションを保護します。
ゼロトラストネットワークアクセス
ゼロトラストは解決策ではないことに注意することが重要です。これは製品ではありません。オンとオフを切り替えられるものではありません。ゼロトラストは、経営陣から IT チーム、個々のユーザーに至るまで、組織全体に浸透させる必要がある考え方です。そのためには、ネットワークを完全に再構築する必要があります。
ゼロトラストを実装するための最初のステップは、どのようなリソースがあり、誰がそれらに接続する必要があるかを知ることです。このカタログは、認証を付与するための信頼できるロードマップとして役立ちます。どのようなアプリケーションがありますか?アクセスが必要なのは誰か?アクセスをリクエストして取得するにはどうすれば良いですか?各ユーザーにはどのようなアクセス権が必要ですか?読み取り専用?読み取り/書き込み?どのような動作が許可され、何をブロックすべきか?これらの質問に対する答えを知ることで、効果的に実装できるゼロトラストセキュリティに関するルールを構築できます。
ブラウザを介したクライアントレスアプローチにより、個人のデバイス、パートナー、顧客、その他のサードパーティなど、管理対象外のデバイスにも制御を広げることができます。一部のアプリケーションでは引き続きエージェントが必要ですが、それでも問題ありません。しかし、ゼロトラストへのデフォルトのクライアントレスアプローチから始めると、これらのギャップが解消され、多くの帯域幅を VPN からパブリックインターネットにオフロードできるようになります。これにより、パフォーマンスが向上し、ネットワークコストが削減されます。
ゼロトラストはユーザーとそのデバイスだけの問題ではありません。重要なのはアプリケーション間の接続です。重要なのはデータです。IoT デバイスに関するものです。これは外部の協力者に関するものです。これらのエンティティはすべて、彼らが言うとおりの人物である必要があり、互いに、またネットワークに接続する正当な理由を持っている必要があります。
今日のアプリケーションは、Microsoft 365であろうとSalesforceであろうと、リアルタイムのコラボレーションを可能にするために継続的な接続を必要とします。誰かが顧客記録を更新したり、共有文書を編集したりすると、すべてのユーザーの意見がリアルタイムで反映されます。ゼロトラストへの移行を進めるにあたり、起きていることをすべて継続的に分析するシステムを導入する必要があります。
エンドユーザーが接続して、奇妙な動作をし始めることがあります。彼らは実際よりもはるかに多くのダウンロードを開始します。通常、それは危険信号かもしれませんし、何かしたいと思うかもしれません。
反対側のアプリケーションが、実際には以前とは別のものに接続されていることに気付くかもしれません。そのアプリには、以前は存在していなかった別のエンティティや、別のアプリが接続されているのかもしれません。これは、そのアプリケーションで何か不審な、または潜在的に悪質なことが起こっている兆候かもしれません。
そして最後に、送られてくるデータを確認できるようにしたいと思うでしょう。繰り返しになりますが、ユーザーとそのデバイスを信頼しなければ、アプリケーションも信頼できないからです。データを信頼するつもりはありません。これらのアプリケーションからエンドユーザーに届くデータにも悪意のあるデータが含まれていないことを確認する必要があります。
間違いなく、そのためのアプローチ セキュリティスタックの中核となるのは、最も効果的で効率的なゼロトラスト戦略です。隔離は、すべてをまとめる秘訣であり、すべてのセキュリティサービスをクラウドで安全かつ確実に提供するための中心的な技術フレームワークとして機能します。
隔離は、ユーザーがウェブやアプリケーションを操作する際に保護層を作り、既知および既存の脅威だけでなく、未知の脅威や将来の脅威もブロックすることで機能します。隔離は、ユーザーの生産性を損なうことなく、組織全体で一貫して適用する必要があります。また、セキュリティチームがウェブベースのトラフィックを完全に可視化して制御できるようにし、世界中のあらゆる場所にいるすべてのユーザーに即座に対応できるようにする必要があります。
適切に行えば、隔離によってセキュリティが見えなくなり、今日のリモートワーカーの生産性を損なうことのできない舞台裏で行われるようになります。メールクライアントと Web ブラウザは、引き続き意図したとおりに動作するはずです。クライアントをインストールしたり、ハードウェアを出荷したりする必要はなく、ショートカット、切り取り、貼り付け、印刷などの一般的なブラウジング機能を維持する必要があります。適切な隔離ソリューションを導入することで、従業員は期待していた機能をすべて利用してインターネットにアクセスできるようになります。ピクセル化された画面や読み取り専用の Web ページはありません。ビジネスの展開にかかわらず、すべてがユーザーにとって意図したとおりに機能するはずです。
Menlo Securityはクライアントレスファーストのアプローチから始め、ITスタッフが実装と管理をより簡単かつエレガントに行えるようにします。Menlo では、ゼロトラストポリシーの作成と管理を 1 か所で行えるため、一度設定すればグローバルに適用できます。また、Menloは次のような基盤の上に成り立っています。
。すべてがクラウド内のこの抽象化されたレイヤーを通過するため、管理者はネイティブのユーザーエクスペリエンスに影響を及ぼすことなく、セキュリティを他に類を見ない可視性と制御が可能になります。
Learn more about Zero Trust Access
