Zscalerのブログ

Zscalerの最新ブログ情報を受信

登録する
製品およびソリューション

クラウドの内部不正対策:脅威の特定とパブリック クラウド ワークロードからのデータ流出の防止

image
サイバー攻撃の阻止安全なクラウド アプリの構築と実行ゼロトラスト セグメンテーション

コンテンツ

  1. 概要
  2. クラウドの内部脅威と阻止の方法
  3. Zscalerのソリューション
  4. まとめ
  5. おすすめのブログ

概要

現代のデジタル環境において、ソース コードなどの機密データの保護は不可欠です。内部脅威は手強い敵であり、特に、信頼された従業員が価値の高いリポジトリーにアクセスできる場合、重大なリスクとなります。この記事では、架空のソフトウェア開発企業A社を例に、ソース コードをアップロードしようとする内部関係者の試みをZscalerのセキュリティ ソリューションで阻止する方法について解説します。Zscaler Workload Communicationsを活用して、不正なアップロードを検出、防止し、知的財産を保護する方法を見ていきます。

クラウドの内部脅威と阻止の方法

 

架空のソフトウェア開発企業A社は、業務の生命線としてソース コード リポジトリーを利用しています。連携とイノベーションを促進するため、信頼された従業員はこのリポジトリーにアクセスできるようになっています。A社では、内部脅威のリスクを軽減するためにZscalerのセキュリティ ソリューションを導入しており、ソース コードを不正な宛先にアップロードしようとする内部関係者の試みは阻止されます。では、これを可能にするZscaler製品の仕組みを見ていきましょう。

攻撃チェーン

Image

 

 

ユース ケース

  1. 信頼された従業員のアクセス:信頼された従業員(内部関係者)はソース コード リポジトリーにアクセスでき、これを利用して業務を遂行します。簡単なソース コードの例を以下に示します。

Image

Image

  1. 内部脅威インシデント:正当なアクセス権を持つ信頼された従業員が、その権限を悪用し、不正な共有を目的としてソース コード ファイルを不正な宛先(AWS S3バケット)にアップロードしようとします。

 

Image

または

 

user:~$ aws s3 cp sourcecode.c s3://bucket/uploads/sourcecode.c

 

 

 

Image

図1: Zscalerが内部脅威をブロックする仕組み

 

  • Zscaler Workload Communicationsとの統合:A社のソース コード リポジトリーは、すべてのアウトバウンド トラフィックをZscaler Workload Communications経由でルーティングするように構成されており、データの送信にあたっては厳格な検査が実行され、セキュリティ ポリシーが施行されます。

 

 

  • ZIAのDLPエンジンの実装:ZIAは強力なインラインDLPエンジンを活用し、データ トラフィックをリアルタイムで分析します。ZIAのDLPポリシーは、ソース コード ファイルを外部ストレージにアップロードしようとする不正な試みを特定、防止するように設計されています。DLPの構成オプションの例を以下に示します。

Image

図2: DLPの構成オプションの例

 

 

 

  1. ファイル アップロードの試みの検出と防止:内部関係者がソース コード ファイルを不正なAWS S3バケットにアップロードしようとすると、ZIAのDLPエンジンはそれをセキュリティ ポリシー違反として検出します。ZIAは、高度なパターン認識と行動分析を活用し、アップロードの試みをリアルタイムでブロックし、社内データの流出を防止します。

 

以下の図は、ソース コード ファイルのアップロードの試みがリアルタイムでブロックされたことを示すものです。


Image

図2:ソース コード ファイルのアップロード コマンド実行時のエラー

 

会社のポリシーに違反したアップロードの試みついては、以下のような詳細なログが表示されます。

Image

図3:ソース コード ファイルのアップロード失敗を示すログ(ユーザー、場所、宛先などの重要な情報を含む)

  1. アラートと対応:Zscalerのセキュリティ プラットフォームは、不正なアップロードの試みを検出すると、瞬時にアラートを生成します。

Zscalerのソリューション

Zscalerのセキュリティ製品は、ソース コード リポジトリーを狙った内部脅威に対する効果的なソリューションを提供します。

アウトバウンドのデータ送信における違反の検出

ZscalerのCloud Connectorを経由してルーティングすることで、ソース コード リポジトリーからの送信を含め、アウトバウンドのすべてのデータ送信にセキュリティ ポリシーを施行できます。この統合により、送信先を問わず、あらゆるアップロードの試みがセキュリティ チェックを受けることになります。

データ侵害の防止

Zscaler Internet Access (ZIA)は、データをリアルタイムで分析する強力な情報漏洩防止(DLP)エンジンを備えています。高度なDLPポリシーを活用することで、ZIAはソース コードの不正なアップロードを示すパターンを検出できます。このアプローチにより、データ侵害を未然に防止できます。

即時のアラート

Zscalerプラットフォームは、ソース コード リポジトリーへのアクセスを含む、すべてのネットワーク アクティビティーをリアルタイムで監視します。ソース コードを不正な宛先にアップロードしようとする試みなどの不審な動作が発生すると、直ちにアラートがトリガーされます。これにより、セキュリティ部門は迅速に対応し、潜在的なデータの持ち出しを防止できます。

まとめ

サイバーセキュリティ上の脅威は増大しており、内部関係者のリスクに効果的に対処することが求められています。この記事の架空のユース ケースで示したように、Zscalerのソリューションは、内部脅威に対する予防的な対策を提供します。堅牢なDLPポリシーとリアルタイムの監視を導入することで、重要なデータを不正アクセスから保護し、データの完全性を維持できます。Zscalerのプラットフォームを利用することで、内部脅威に確実に対処し、デジタル資産を効果的に保護することが可能です。

form submtited
お読みいただきありがとうございました

このブログは役に立ちましたか?

vote yes
はい
vote no
いいえ

免責事項:このブログは、Zscalerが情報提供のみを目的として作成したものであり、「現状のまま」提供されています。記載された内容の正確性、完全性、信頼性については一切保証されません。Zscalerは、ブログ内の情報の誤りや欠如、またはその情報に基づいて行われるいかなる行為に関して一切の責任を負いません。また、ブログ内でリンクされているサードパーティーのWebサイトおよびリソースは、利便性のみを目的として提供されており、その内容や運用についても一切の責任を負いません。すべての内容は予告なく変更される場合があります。このブログにアクセスすることで、これらの条件に同意し、情報の確認および使用は自己責任で行うことを理解したものとみなされます。

おすすめのブログ

クラウド ワークロード セキュリティを根本的に簡素化する新たなゼロトラスト イノベーション

最新のイノベーションでクラウド ワークロード セキュリティを簡素化

投稿を読む
Dark Side of Public Clouds

Exposing the Dark Side of Public Clouds - Combating Malicious Attacks on Workloads

投稿を読む
Positioning Zscaler Workload Communications for a Growing Business with AWS Gateway Load Balancer

Positioning Zscaler Workload Communications for a Growing Business with AWS Gateway Load Balancer

投稿を読む

Zscalerの最新ブログ情報を受信

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。