エンドツーエンドのデータセキュリティと継続的なリスク評価を備えたゼロトラスト

Michael Schneider 著 -

2022年3月22日 6 分で読めます

Skyhigh Securityの私たち全員にとって、今は胸躍る時です。

現在のビジネス変革とリモートワークフォースの拡大は、パブリッククラウド、プライベートデータセンター、ユーザーデバイスといったあらゆる場所でアプリケーションとデータを保護するために、エンドツーエンドのデータセキュリティと継続的なリスク評価を伴う企業リソースへのゼロトラストアクセスを必要とします。Skyhigh Security Private Accessは、超高速で粒度の高い「ゼロトラスト」なプライベートアプリケーションへのアクセスを可能にし、最先端のデータ保護、脅威保護、エンドポイント保護機能を備えたクラス最高のデータセキュリティを提供する、業界初の真に統合されたZero Trust Network Accessソリューションであり、Security Service Edge (SSE) 展開の加速への道を開きます。

現在、企業はボーダレス化し、従業員はますます分散しています。アプリケーション、ワークロード、データがクラウドへ移行するにつれて、今日のセキュリティ担当者は、ビジネスの継続性を確保しながら、以下のような幅広い課題に直面しています。

• ネットワーク遅延を減らし、高品質なユーザーエクスペリエンスを維持するために、複数の戦略的な場所にアーキテクチャを計画し、アセットをどのように展開すればよいでしょうか？
• 世界中のどこから接続するデバイスに対しても、どのように厳密な制御を維持すればよいでしょうか？
• サービスの過剰な権限付与を防ぐために、適切なデバイス認証をどのように確保すればよいでしょうか？
• データ、ユーザー、デバイスの分散化により攻撃対象領域が拡大する中で、セキュリティの可視性と制御をどのように維持すればよいでしょうか？

過去10年間で、クラウドベースのSoftware-as-a-Service (SaaS) アプリケーションの導入が爆発的に増加しました。しかし、ほとんどの組織は依然として、データセンターやInfrastructure-as-a-Service (IaaS) 環境でホストされているプライベートアプリケーションに大きく依存しています。これまで、Virtual Private Networks (VPN) は、リモートユーザーに機密性の高い社内アプリケーションやデータへのアクセスを提供する迅速かつ簡単な解決策でした。しかし、リモートワークがニューノーマルとなり、組織がクラウドファーストの展開へと移行するにつれて、VPNは、本来想定されていないインフラストラクチャに対して安全な接続を提供することが課題となり、帯域幅、パフォーマンス、スケーラビリティの問題を引き起こしています。また、有効なログインキーを持つリモートユーザーは、企業全体の内部ネットワークとそこに含まれるすべてのリソースに完全にアクセスできるため、VPNは過剰なデータ露出のリスクももたらします。

Zero Trust Network Access、すなわちZTNAが登場します！「ゼロトラスト」の基本に基づいて構築されたZTNAは、ユーザーが企業境界の内側か外側かに関わらず、ユーザーIDが検証されない限りプライベートアプリケーションへのアクセスを拒否します。さらに、VPNが採用する過度な暗黙の信頼アプローチとは対照的に、ZTNAはユーザー認証に基づいて特定のアプリケーションへの正確で「最小特権」のアクセスを可能にします。

統合されたData Loss Prevention (DLP) およびRemote Browser Isolation (RBI) 機能を備えた業界をリードするZero Trust Network AccessソリューションであるSkyhigh Security Private Accessにより、組織はあらゆるリモートロケーションおよびデバイスからプライベートリソースへの高速でユビキタスなダイレクトクラウドアクセスを可能にし、ユーザーアクティビティの詳細な可視性を確保し、セキュアなセッション全体でデータ保護を強制してデータ誤用や盗難を防止し、潜在的に危険なユーザーデバイスからプライベートアプリケーションを隔離し、接続デバイスのセキュリティポスチャ評価を実行できます。これらすべてを単一の統合プラットフォームから実現します。

リモートワーカーのセキュリティと生産性にとってZTNAが重要である理由は何でしょうか？

リモートワーカーに安全なアクセスを提供するためにZTNAが提供する主要な機能は以下の通りです。

• アプリケーションへの直接接続：ZTNAは、プライベートアプリケーションへのシームレスなダイレクト・ツー・クラウドおよびダイレクト・ツー・データセンターアクセスを容易にします。これにより、集中型サーバーへの不要なトラフィックのバックホールがなくなり、ネットワークの待ち時間が短縮され、ユーザーエクスペリエンスが向上し、従業員の生産性が高まります。
• 明示的なIDベースのポリシー：ZTNAは、プライベートアプリケーションアクセスに対して、きめ細かく、ユーザーIDを意識し、コンテキストを意識したポリシーを適用します。ZTNAは、ユーザー、デバイス、ネットワークロケーションなど、複数の要因に依存する暗黙の信頼を排除することで、組織を内部と外部の脅威から保護します。
• 最小特権アクセス：ZTNAはネットワークをマイクロセグメント化し、ソフトウェア定義の境界線を作成します。また、「最小特権」アクセスは、基礎となるネットワーク全体ではなく、許可された特定のアプリケーションに許可されます。これにより、過剰なサービス利用や不正なデータアクセスが防止されます。また、マイクロセグメンテーションにより、サイバー攻撃の標的が大幅に減少し、侵入された場合の脅威の横方向への移動が防止されます。
• アプリケーションのクローキング：ZTNAはセキュアゲートウェイの背後にプライベートアプリケーションをシールドし、アプリケーションアクセス用にインバウンドファイアウォールポートを開く必要性を防ぎます。これにより、仮想ダークネットが形成され、公衆インターネット上でのアプリケーションの発見が防止されるため、インターネットベースのデータ暴露、マルウェア、DDoS攻撃から組織を保護できます。

アクセスの保護だけで十分でしょうか？データ保護についてはどうでしょうか？

ZTNAはVPNの代替として頻繁に宣伝されていますが、ほぼすべてのZTNAソリューションは、VPNと同様に重要な欠点、すなわちデータ認識とリスク認識の欠如を抱えています。第一世代のZTNAソリューションは、アクセス問題の解決に専念し、データセキュリティと脅威防止の問題を放置してきました。遍在するデータ認識とリスク評価がSSEフレームワークの主要な原則であることを考慮すると、ユーザーとプライベートアプリケーションの間でどれほどのトラフィックが行き来しているかを考えると、これは大きな欠点です。

さらに、仕事での個人デバイスの利用が増加しており、多くの場合、安全でないリモートネットワーク経由で接続されるため、エンドポイント、クラウド、ウェブのセキュリティ制御が不足していることにより、脅威の対象領域を大幅に拡大し、機密データの露出や盗難のリスクを高めています。

これらの課題に対処するには、ZTNAソリューションがそのゼロトラストアクセス機能に加えて、一元化された監視とデバイスの姿勢評価、および統合されたデータと脅威保護を組み合わせる必要があります。

Skyhigh Security Private Access

Skyhigh Security Private Accessは、常に重要なデータを保護することに重点を置きながら、企業アプリケーションへのリモートアクセスを可能にする包括的なセキュリティソリューションを必要とする組織向けに設計されています。このソリューションは、ZTNAのセキュアアクセス機能と、Data Loss Prevention (DLP) およびRemote Browser Isolation (RBI) のデータおよび脅威保護機能を組み合わせることで、プライベートアプリケーションセキュリティ向けの業界をリードする統合されたデータ中心型ソリューションを提供します。同時に、Trellixの業界をリードするEndpoint Securityソリューションを活用して、ユーザーデバイスに関する深い洞察を得て、ゼロトラストアクセスを可能にする前にそのセキュリティポスチャを検証します。

Skyhigh Security Private Accessにより、お客様はセキュアなセッション上で行われるコラボレーションにインラインDLPポリシーを即座に適用し、詳細なデータ検査と分類を行うことで、機密データの不適切な取り扱いを防止し、悪意のあるファイルのアップロードをブロックできます。さらに、お客様は非常に革新的なRemote Browser Isolationソリューションを活用して、ウェブセッションを隔離し、アプリケーションへの読み取り専用アクセスを許可することで、危険で信頼できない未管理デバイスからプライベートアプリケーションを保護できます。

図1: Skyhigh Security Private Access

Private Accessは、Skyhigh Security Service Edge (SSE) ポートフォリオとさらに統合することで、多層防御を可能にし、デバイスからクラウドまで、データと脅威保護機能の全範囲をお客様に提供します。お客様は、この統合ソリューションから以下のメリットを得ることができます。

• エンドポイント、ウェブ、クラウド全体におけるデータに対する完全な可視性と制御。
• 運用オーバーヘッドの増加なしに制御ポイント全体でインシデント管理を統合し、総所有コスト (TCO) の削減につながります。
• マルチベクトルデータ保護により、データ可視性のギャップを排除し、クラウドからサードパーティへのコラボレーションを保護します。
• プライベートアプリケーションをクラウドネイティブの脅威、高度なマルウェア、ファイルレス攻撃から防御します。
• 業界をリードするエンドポイントセキュリティによって実現される、継続的なデバイス姿勢評価。

さらに、Skyhigh Security SSEにはHyperscale Service Edgeが含まれており、99.999%のサービス稼働率で動作し、インテリジェントにピアリングされたデータセンターによって支えられています。これにより、Private Accessユーザーに非常に高速でシームレスな体験を提供します。IDプロバイダーを介した認証は、侵害されたデバイスやユーザー認証情報を使用して脅威アクターが企業ネットワークに侵入するリスクを排除します。

Skyhigh Security Private Accessを際立たせるものは何か？

市場には数十ものZTNAソリューションが存在しますが、当社はSkyhigh Security Private Accessが以下の点で他社と一線を画すようにしました。

• 統合されたData Loss Prevention (DLP) と業界をリードするRemote Browser Isolation (RBI): 高度な脅威保護と、Private Accessセッションを通じて共有されるデータの完全な制御を可能にし、機密データの不適切な取り扱いを防ぎ、悪意のあるコンテンツを含むファイルをブロックし、未知のトラフィック活動を保護して、エンドユーザーデバイスでのマルウェア感染を防ぎます。
• UCE統合によるSSE対応: Skyhigh Security Private Accessは、Skyhigh Security SSEと統合し、Secure Web Gateway (SWG)、Cloud Access Security Broker (CASB)、およびEndpoint Protectionを含む他のSkyhigh Security製品と組み合わせて、あらゆる場所のあらゆるデバイスに完全なデータと脅威保護を提供します。また、主要なSD-WANベンダーとの提携により、ダイレクトクラウドアクセスを可能にします。これにより、Web、パブリックSaaS、プライベートアプリケーション全体で一貫したユーザーエクスペリエンスが保証されます。
• エンドポイントセキュリティとポスチャ評価: Skyhigh Security Private Accessは、10億個のセンサーからのプロアクティブな脅威インテリジェンスによって強化された業界をリードするTrellix Endpoint Securityを活用し、デバイスとユーザーのポスチャを評価します。これにより、リアルタイムでリスクベースのゼロトラスト決定が行われます。競合ソリューションが実行する基本的なポスチャチェックをはるかに超える豊富なテレメトリセットは、組織がデバイスとユーザーのリスクを継続的に評価し、プライベートアプリケーションアクセスに対する適応型ポリシーを適用することを可能にします。
• クライアントレス展開によるアンマネージドデバイスの保護: Skyhigh Security Private Accessは、エージェントレスのブラウザベース展開を通じて、アンマネージドデバイスからのアクセスを保護し、従業員、外部パートナー、またはサードパーティの請負業者間のコラボレーションを最も摩擦のない方法で可能にします。

Skyhigh Security Private Accessを使用すると、お客様は、クラウドおよびIT環境全体にホストされたプライベートアプリケーションへのきめ細かな最小特権アクセスを、あらゆるデバイスと場所から確立できます。同時に、Skyhigh Securityの主要なデータおよび脅威保護機能のすべての利点を活用し、ビジネス変革を加速し、SSEへの最速ルートを可能にします。詳細については、SkyhighSecurity.com/en-us/products/private-access.htmlをご覧ください。

ブログへ戻る