エンドツーエンドのデータセキュリティと継続的なリスクアセスメントで信頼をゼロにする

マイケル・シュナイダー著

2022年3月22日 6 分読み

Skyhigh Security 私たち全員にとってエキサイティングな時期だ。

Skyhigh Security Private Access は、業界初の真に統合されたZero Trust Network Access ソリューションであり、プライベート・アプリケーションへの高速できめ細かな「ゼロ・トラスト」アクセスを可能にし、最先端のデータ保護、脅威保護、エンドポイント保護機能を備えたクラス最高のデータ・セキュリティを提供することで、Security Service Edge (SSE) の展開を加速する道を開きます。

私たちは現在、企業がボーダレス化し、労働力がますます分散している世界で活動しています。アプリケーション、ワークロード、データのクラウドへの移行が進む中、今日のセキュリティ実務者は、ビジネスの継続性を確保しながら、以下のようなさまざまな課題に直面しています：

• ネットワークの遅延を減らし、高品質のユーザー体験を維持するために、アーキテクチャを計画し、複数の戦略的拠点に資産を配置するにはどうすればよいでしょうか。
• 世界中のどこからでも接続できる端末をしっかり管理するにはどうしたらいいですか？
• サービスの過剰利用を防ぐために、適切な機器認証を行うにはどうすればよいですか？
• データ、ユーザー、デバイスの分散化により攻撃対象が増える中、セキュリティの可視性と制御を維持するにはどうすればよいでしょうか。

クラウドベースのSaaS（Software-as-a-Service）アプリケーションの採用は、過去10年間で爆発的に増加しましたが、ほとんどの組織は、データセンターやIaaS（Infrastructure-as-a-Service）環境でホストされているプライベートアプリケーションに大きく依存しているのが現状です。これまで仮想プライベートネットワーク（VPN）は、リモートユーザーが社内の機密性の高いアプリケーションやデータにアクセスするための迅速かつ容易な解決策でした。しかし、リモートワークが当たり前になり、組織がクラウドファーストの展開に移行する中、VPNは、想定していないインフラに安全な接続性を提供することが課題となり、帯域幅、パフォーマンス、拡張性の問題が発生するようになった。また、VPNは、有効なログインキーを持つリモートユーザーが、社内ネットワーク全体とその中のすべてのリソースに完全にアクセスできるため、過剰なデータ露出のリスクももたらします。

Zero Trust Network Access 、ZTNAの登場である！ZTNAは「ゼロ・トラスト」の基本に基づき、ユーザーが企業境界の内外にいるかに関係なく、ユーザーの身元が確認されない限り、プライベート・アプリケーションへのアクセスを拒否します。さらに、VPNで採用されている過剰な暗黙の信頼アプローチとは対照的に、ZTNAはユーザーの権限に基づいて、特定のアプリケーションへの正確で「最小限の特権」アクセスを可能にします。

を利用することができます。 Skyhigh Security Private AccessData Loss Prevention （DLP）とRemote Browser Isolation （RBI）の機能を統合した、業界をリードするZero Trust Network Access ソリューションにより、企業は、あらゆるリモートロケーションおよびデバイスからプライベートリソースへの高速でユビキタスなダイレクト・ツー・クラウドアクセスを可能にし、ユーザーアクティビティを深く可視化し、データの悪用や盗難を防止するためにセキュアセッション上でデータ保護を実施し、潜在的にリスクのあるユーザーデバイスからプライベートアプリケーションを分離し、接続デバイスのセキュリティ態勢評価を実行することができます。

なぜZTNAがリモートワークのセキュリティと生産性に関係するのでしょうか？

ここでは、ZTNAが提供する、リモートワークのためのセキュアなアクセスを提供する主な機能を紹介します：

• アプリケーションへの直接接続：ZTNAは、プライベートアプリケーションへのシームレスなダイレクト・ツー・クラウドおよびダイレクト・ツー・データセンターアクセスを容易にします。これにより、集中型サーバーへの不要なトラフィックのバックホールがなくなり、ネットワークの待ち時間が短縮され、ユーザーエクスペリエンスが向上し、従業員の生産性が高まります。
• 明示的なIDベースのポリシー：ZTNAは、プライベートアプリケーションアクセスに対して、きめ細かく、ユーザーIDを意識し、コンテキストを意識したポリシーを適用します。ZTNAは、ユーザー、デバイス、ネットワークロケーションなど、複数の要因に依存する暗黙の信頼を排除することで、組織を内部と外部の脅威から保護します。
• 最小特権アクセス：ZTNAはネットワークをマイクロセグメント化し、ソフトウェア定義の境界線を作成します。また、「最小特権」アクセスは、基礎となるネットワーク全体ではなく、許可された特定のアプリケーションに許可されます。これにより、過剰なサービス利用や不正なデータアクセスが防止されます。また、マイクロセグメンテーションにより、サイバー攻撃の標的が大幅に減少し、侵入された場合の脅威の横方向への移動が防止されます。
• アプリケーションのクローキング：ZTNAはセキュアゲートウェイの背後にプライベートアプリケーションをシールドし、アプリケーションアクセス用にインバウンドファイアウォールポートを開く必要性を防ぎます。これにより、仮想ダークネットが形成され、公衆インターネット上でのアプリケーションの発見が防止されるため、インターネットベースのデータ暴露、マルウェア、DDoS攻撃から組織を保護できます。

アクセス権の確保だけでいいのか？データ保護はどうなのか？

ZTNAはVPNの代替品として頻繁に宣伝されていますが、ほぼすべてのZTNAソリューションは、データ認識とリスク認識の欠如というVPNと共通の重要な欠点を持っています。第一世代のZTNAソリューションは、アクセスの問題を解決することに重点を置いており、データ・セキュリティと脅威防止の問題は放置されています。ユビキタスなデータ認識とリスク評価がSSEフレームワークの重要な信条であることを考えると、ユーザーとプライベートアプリケーションの間を行き来するトラフィックがいかに多いかを考えると、これは大きな欠点であることがわかります。

さらに、個人所有のデバイスを業務に使用するケースが増加しており、安全でないリモートネットワークで接続することが多いため、エンドポイント、クラウド、Webのセキュリティ管理が不十分で、脅威の対象が大幅に拡大し、機密データの暴露や盗難のリスクが高まっています。

このような課題に対処するためには、ZTNAソリューションがゼロトラスト・アクセス機能を補完し、集中監視とデバイスの姿勢評価、さらにデータと脅威の保護を統合する必要があります。

Skyhigh Security Private Access

Skyhigh Security Private Access は、企業アプリケーションへのリモートアクセスを可能にすると同時に、極めて重要なデータの保護に重点を置いた包括的なセキュリティ・ソリューションを必要とする企業向けに設計されています。このソリューションは、ZTNAのセキュアアクセス機能と、Data Loss Prevention (DLP)およびRemote Browser Isolation (RBI)のデータと脅威の保護機能を組み合わせ、プライベートアプリケーションセキュリティのための業界をリードする統合されたデータ中心のソリューションを提供します。同時に、Trellixの業界をリードするエンドポイントセキュリティソリューションを活用し、ゼロトラストアクセスを可能にする前に、ユーザーデバイスに対する深い洞察を導き出し、そのセキュリティ姿勢を検証します。

Skyhigh Security Private Access は、セキュアなセッションで行われるコラボレーションにインライン DLP ポリシーを即座に適用し、詳細なデータ検査と分類を行うことで、機密データの不適切な取り扱いを防止し、悪意のあるファイルのアップロードをブロックします。さらに、Webセッションを分離し、アプリケーションへの読み取り専用アクセスを許可することで、非常に革新的なRemote Browser Isolation ソリューションを活用し、危険で信頼できない非管理対象デバイスからプライベートアプリケーションを保護することができます。

図1：Skyhigh Security Private Access

Private Access は、SkyhighSecurity Service Edge (SSE) ポートフォリオとのさらなる統合により、徹底的な防御を可能にし、デバイスからクラウドまで、あらゆる範囲のデータと脅威の保護機能を顧客に提供します。統合ソリューションにより、顧客は以下のメリットを得ることができる：

• エンドポイント、ウェブ、クラウドにまたがるデータを完全に可視化し、コントロールすることができます。
• 運用のオーバーヘッドを増やすことなく、コントロールポイント全体で統一されたインシデント管理を実現し、TCO（Total Cost of Ownership）削減につなげます。
• マルチベクターデータ保護、データの可視性ギャップをなくし、クラウドからサードパーティまでのコラボレーションを確保します。
• クラウドネイティブの脅威、高度なマルウェア、ファイルレス攻撃からプライベートアプリケーションを防御する。
• 業界をリードするエンドポイントセキュリティによる継続的なデバイス姿勢の評価。

さらに、Skyhigh Security SSE には、99.999% のサービスアップタイムで運用され、インテリジェントにピアリングされたデータセンターによって提供される Hyperscale Service Edge が含まれており、private access ユーザーに高速でシームレスなエクスペリエンスを提供します。アイデンティティ・プロバイダを介した認証により、危険なデバイスやユーザー認証情報を使用して脅威者が企業ネットワークに侵入するリスクを排除します。

Skyhigh Security Private Access の特徴は？

数多くのZTNAソリューションが市場に出回る中、Skyhigh Security Private Access は、以下の点で群を抜いています：

• data loss prevention （DLP）と業界をリードするRemote Browser Isolation （RBI）を統合：private access 、機密データの不適切な取り扱いを防止し、悪意のあるコンテンツを含むファイルをブロックし、未知のトラフィックアクティビティを保護することで、エンドユーザーデバイスでのマルウェア感染を防止します。
• UCE統合によるSSEへの対応：Skyhigh Security Private Access はSkyhigh Security SSEと統合され、Secure Web Gateway (SWG)、Cloud Access Security Broker (CASB)、Endpoint Protectionを含む他のSkyhigh Security オファリングと組み合わせることで、あらゆる場所のあらゆるデバイスに完全なデータと脅威の保護を提供すると同時に、主要なSD-WANベンダーとの提携によるダイレクト・ツー・クラウド・アクセスを可能にします。これにより、ウェブ、パブリックSaaS、プライベート・アプリケーションで一貫したユーザー・エクスペリエンスが保証されます。
• エンドポイントセキュリティとポスチャ評価：Skyhigh Security Private Access 10億個のセンサーからのプロアクティブな脅威インテリジェンスにより業界をリードするTrellix Endpoint Securityを活用してデバイスとユーザーのポスチャを評価し、リスクベースのゼロトラスト決定をリアルタイムで通知します。競合ソリューションが実行する基本的な姿勢チェックをはるかに超える豊富な遠隔測定セットにより、組織はデバイスとユーザーのリスクを継続的に評価し、プライベート・アプリケーション・アクセスに適応したポリシーを適用することができます。
• クライアントレス・デプロイメントによる管理対象外デバイスの保護：Skyhigh Security Private Access エージェントレス、ブラウザベースのデプロイメントにより、管理対象外デバイスからのアクセスを保護し、最も摩擦の少ない方法で従業員、社外パートナー、サードパーティ・コントラクター間のコラボレーションを可能にします。

Skyhigh Security Private Access を利用することで、顧客はクラウドやIT環境上でホストされているプライベート・アプリケーションに、デバイスや場所を問わず、最小限の特権できめ細かくアクセスできるようになります。同時に、Skyhigh Securityの優れたデータおよび脅威保護機能をすべて利用することで、ビジネス変革を加速し、SSEへの最短ルートを実現することができます。詳細については、SkyhighSecurity.com/en-us/products/private-access.htmlをご覧ください。

ブログへ戻る