2023年9月28日
ニック・グラハム - ソリューション・アーキテクト - 公共部門、Skyhigh Security
サイバー脅威が進化する時代において、多くの組織の基盤であるメインフレームは、さまざまなセキュリティ上の課題に直面している。このようなコンピュータの巨体は回復力があるものの、従来のセキュリティ対策では不十分なことが多い。ゼロ・トラストの原則で強化されたSecurity Service Edge (SSE)ソリューションの融合は、これらの重要なシステムに総合的な防御戦略を提供します。
1.文脈分析による安全なアクセス
単なるクレデンシャルにとどまらず、ゼロ・トラスト機能を備えたSSEソリューションは、多次元的な認証プロセスを導入する。デバイス、位置情報、行動パターンなどの要素がアクセス許可において極めて重要な役割を果たし、有効な認証情報であっても不正な侵入を保証しないようにします。
2.マイクロセグメンテーション迷宮のような防御
マイクロセグメンテーションは、メインフレームを小さく制御されたゾーンに分割する。各セグメントが要塞となり、1つの侵害が全体を危険にさらすことがないようにし、攻撃者を孤立したセグメントに閉じ込める。
3.継続的な認証常に監視する歩哨
最新のSSEソリューションは継続的な認証を提供し、ユーザー・セッションの異常を監視する。突然のデータダウンロードやデバイスの切り替え?セッションは即座に終了し、脅威をリアルタイムで抑制します。
4.暗号化されたデータ・トンネルデータ傍受に対するシールド
堅牢なSSEソリューションは、Zero Trust Network Access (ZTNA)を提供し、暗号化されたデータ・トンネルを利用することで、安全な通信経路を確保する。データは送信元で暗号化され、送信先ではTLS(Transport Security Layer)などの最新の暗号化プロトコルを使って復号化される。このZTNAツールと暗号化トンネルを組み合わせることで、データが傍受されても解読不可能な状態を維持し、保護レイヤーを追加します。
5.デバイスのセキュリティ体制のチェックエントリー・ゲートキーパー
すべてのデバイスは、接続前に厳格なセキュリティ・チェックを受ける。ソフトウェアが古い、パッチが適用されていない、マルウェアに感染しているなどの問題があれば、アクセスを拒否する。アクセスは拒否され、脆弱性は最初に対処される。
6.特権のエスカレーションを制限する:内部のガードレール
ゼロ・トラスト・モデルは、ユーザーが厳格な境界の中で操作し、必要なものだけにアクセスすることを保証し、潜在的な内部脅威に対する内部のガードレールとして機能する。
7.リアルタイムの監視常時監視
SSEソリューションでは、メインフレームは常に監視されています。すべてのデータパケット、すべてのユーザーの動きが精査され、迅速な脅威の検出と緩和が可能になります。
ユースケース:TN3270の脆弱性
メインフレームへのTN3270端末接続の脆弱性を考えてみよう。暗号化されたトンネルがなければ、TN3270経由で転送されるデータは、特に平文で転送されることが多いため、簡単に傍受される可能性があります。ZTNAソリューションで暗号化トンネルを実装すれば、TN3270経由で転送されるデータはすべて暗号化され、たとえ誰かが接続を盗聴したとしても、データを解読することはできません。
暗号化トンネルは、中間者攻撃(MitM)を阻止する上でも重要な役割を果たす。MitM攻撃では、攻撃者が2者間の通信を密かに傍受し、場合によっては改ざんする。暗号化されたトンネルでは、たとえ攻撃者が中間地点に位置することに成功したとしても、暗号化されているため、データを解読したり改ざんしたりすることはできません。
結論として
メインフレームは、そのレガシーと重要性から、最先端の保護が必要です。Skyhigh SSEとゼロトラスト原則の組み合わせは、包括的な多層防御戦略を提供します。単なる境界防御から全体的で詳細な保護メカニズムへのパラダイムシフトであり、メインフレームが常に破られることのない要塞であり続けることを保証します。
メインフレームのセキュリティに携わる人々にとって、未来は約束されたものです。古くからあるシステムに最新のソリューションを導入し、デジタル領域を強化しよう。
メインフレームセキュリティのためのSSEとゼロトラストのニュアンスについてご興味がおありですか?Skyhigh Security までご連絡の上、デモをご依頼ください。
ブログへ戻る