Zscalerのブログ
Zscalerの最新ブログ情報を受信
VPNからのスムーズな移行:ZPAが優れたセキュア アクセス ソリューションである理由 - 第3回
AIを活用したアプリケーション セグメンテーション
効果的なアプリケーション セグメンテーションはゼロトラスト アーキテクチャーの中核を担う要素であり、ZPAはこれを優れた形で実現します。
ゼロトラストの基本原則の一つに「侵入されることを前提にする」という考え方があります。これは、従来のネットワーク境界の内外に攻撃者が存在する可能性を見越してプロセスやシステムを設計することを意味します。
ZPAを使用すると、さまざまなネットワーク セグメント間の接続を必要としないため、セグメンテーションを簡単に実現できます。各ネットワーク セグメントは独立した「島」のようになるため、仮に一つのセグメントが侵害されても被害範囲を限定し、攻撃者がデータ センター内を水平移動するリスクを防ぐことができます。
また、ZPAは従来の効率の低いIPベースのアクセス制御手法の代わりに、グループや部門を活用するユーザー グループベースのアプローチを採用しています。AIによる推奨機能を活用することで、正確なアクセス ポリシーを特定、セグメント化、適用できるようになり、以下の主な機能でゼロトラストの取り組みを加速させます。
- Application Segmentのインポート:サイバーセキュリティ資産管理(CSAM)や構成管理データベース(CMDB)ツールからApplication Segmentを簡単にインポートし、構成プロセスを高速化します。
- AIを活用したセグメンテーションの推奨:アプリケーションの使用パターンやトランザクション データを自動的に分析し、アクセス ポリシーを提案します。これらの推奨設定は、各環境に合わせた推奨を取得するように構成できます。
- 使用状況の洞察:どのユーザー グループがどのApplication Segmentにアクセスしているか、どのアクセス ポリシーが使用されているかについての実用的な洞察を取得します。これにより、管理者はアクセス ポリシーを微調整できます。
管理者は簡単に導入を開始し、ユーザーやアプリケーションの変化に合わせて、セグメンテーションのグループやポリシーを随時改善できます。このセグメンテーション主導のアプローチは、セキュリティを向上させるだけでなく、攻撃対象領域を削減し、ゼロトラストの導入をよりシンプルかつ効果的にします。
あらゆる場所での一貫したゼロトラスト ネットワーク アクセス
リモートであってもオフィス内であっても、企業ネットワーク上で従業員が侵害されるとすべてのセキュリティが無効化される可能性があります。
ゼロトラストの基本原則の一つは、広範囲に検証することです。ネットワークの場所など信頼性の低い要素を信頼の基準にしないことが重要です。ネットワークは、組織のネットワークも含めてすべて信頼できないネットワークとして扱う必要があります。
ZPAは、このゼロトラストの基本原則を念頭に設計されています。ZPAで構築された組織のゼロトラスト アーキテクチャーでは、ユーザーが明示的な承認なしにプライベート アプリケーションにアクセスすることは決して許されず、ICMPパケット1つでさえアプリケーションに到達できません。プライベート アプリケーションは、ユーザーがリモートで接続している場合でも、社内のオフィスから接続している場合でも、承認が行われるまで不可視化されたままとなります。
すべてのネットワークを信頼できないものとして扱うべきです。オフィス ネットワーク上のユーザーも、パブリックWi-Fiに接続している場合と同じレベルのアクセス権に制限する必要があります。プライベート アプリケーションへのアクセスは、ZPA経由でのみ許可されます。企業ネットワークをゲストWi-Fiのように扱えば、攻撃者が侵害されたWi-Fiやネットワーク ケーブルを通じてアクセスを獲得しても、単なるゲスト ユーザーとして扱われ、追加のアクセス権は付与されません。
この方法を採用することで、Wi-Fiをハッキングされて組織が侵害されるリスクから解放されます。このアプローチには、以下のような追加のメリットがあります。
- 新しいオフィスの迅速なセットアップ
- 安全なハイブリッド ワーク環境の構築
- IPsec、MPLS、ExpressRouteなどの廃止による運用の複雑さとインフラ コストの削減
ハイブリッド ワーク向けのゼロトラスト アクセスの合理化:
ローカル アプリケーションをホストするオフィス ネットワークの場合、Private Service Edgeを展開することでZPAトラフィックのヘアピンを回避できます。ZPAは組織とリモートに別々のソリューションを必要とせず、一貫した安全なアクセス ポリシーを適用することで、以下のような非効率を解消します。
- 拠点間で異なるユーザー アクセス エクスペリエンス。
- 複数のコンソールと断片化されたポリシー エンジン。
- 個別の製品の管理に関連する追加コスト。
結果として、ハイブリッド ワークにシームレスなアクセスを提供するとともに、運用の簡素化、一貫したセキュリティ、コスト削減を実現します。
プライベート アプリケーションの保護
プライベート アプリケーションのセキュリティは、決して後回しにすべきではありません。残念ながら、多くの内部アプリケーションは依然として重大なCVEやゼロデイ攻撃に対して脆弱です。さらに、Kerberos、LDAP、SMBなどの主なネットワーク サービスは、Kerberoastingや列挙などの脅威にさらされており、継続的な監視と堅牢な防御戦略の必要性が高まっています。
内部脅威や認証情報の侵害から保護するうえで、プライベート アプリケーションへのアクセスを認証、承認するだけではもはや不十分です。侵害の可能性を前提としたゼロトラストの基本原則に沿って、プライベート アプリケーションへの接続を検査し、セキュリティ対策が最初のアクセス ポイントを超えて拡張されなければなりません。
ZPAは、ユーザーとプライベート アプリケーション間のトラフィックを検査する機能を提供します。この検査は、以下の2つの方法で実行できます。
- AppProtection: App Connectorレベルでレイヤー7のトラフィック検査を実行し、Webの脆弱性、アイデンティティー攻撃、Active Directoryを標的とする脅威からプライベート アプリケーションを保護します。また、Zscaler ThreatLabzチームが維持する最新のシグネチャーと仮想パッチを通じて、最新のCVEも保護します。
- 脅威検査とデータ保護:ZscalerのZTEクラウドでは、堅牢なマルウェア対策、URLフィルタリング、サンドボックス、侵入防止、情報漏洩防止(DLP)を提供します。
AppProtection、脅威検査、データ保護を組み合わせることで、内部脅威や認証情報の侵害に対するプライベート アプリケーションの包括的な防御を構築します。
B2Bアプリケーションのアクセスの保護
ZPAは、VPNに関連する固有のリスクを排除し、アプリケーションのホスト場所を問わず、すべてのアプリケーションにゼロトラスト アクセスを提供するように設計されています。また、パートナーのアプリケーションに対してもゼロトラスト アクセスを拡張します。
ZPAのB2Bアプリケーション アクセスにより、信頼されたパートナーはZscaler Zero Trust Exchange (ZTE)にIPsecトンネルを直接確立できます。ZPAはZTEを通じて、認証と承認が完了したユーザーのみがパートナーのプライベート アプリケーションにアクセスできるようにします。このアプローチにより、パートナーごとに個別のVPNを設定して管理する必要がなくなり、外部アクセスを合理化し、保護します。
トンネル終端をクラウドにオフロードすることで、ZPAは拡張性を向上させ、高可用性をサポートします。トンネルは複数のZscalerデータ センターに接続でき、冗長性と信頼性を提供します。このソリューションは、パートナー接続を安全でスケーラブル、かつ管理の手間がかからない方法で提供し、パートナーのオンボーディングを迅速化しながら、スムーズな連携を可能にします。B2BアクセスにZPAを活用することで、以下のようなメリットを得られます。
- パートナーのアクセスの保護:内部ネットワークを公開することなく、パートナーのプライベート アプリに接続します。
- パートナーのオンボーディングの迅速化:複雑なVPN設定は不要で、IPsecを介して新しいパートナーを迅速にオンボーディングします。
- 管理の簡素化:アクセス制御を一元化し、追加のルーティングや構成を必要とすることなく複数のパートナーのアプリ アクセスを合理化します。
- 信頼性の高い接続:アクティブ/アクティブ トンネルと自動フェイルオーバーにより、パートナーのアプリケーションへの継続的なアクセスを確保します。
サードパーティー ユーザーと管理対象外デバイスからのアクセスの保護
BYODアクセスやサードパーティーの請負業者向けに使用される従来の仮想デスクトップ インフラ(VDI)ソリューションには、攻撃対象領域の拡大、複雑さ、高額など多くの課題があります。ZPAは、VPNとVDIに代わる直感的な代替ソリューションを以下の方法で提供します。
ブラウザー アクセス
ユーザーは、クライアントを必要とすることなくブラウザーでプライベートWebアプリケーションに安全に直接アクセスできます。Zero Trust Browserと組み合わせることで、堅牢なデータ セキュリティときめ細かなアクセス制御を適用でき、アプリケーション コンテンツを安全なピクセル データとしてストリーミングすることで、管理対象外デバイスからの悪用やデータ漏洩を防止します。
特権リモート アクセス(PRA)
IT/OTやIIoT資産を管理するエンジニア向けに設計された特権リモート アクセスは、SSHやRDP、VNCプロトコルを介して安全なアクセスを提供します。主な機能は以下のとおりです。
- マルウェアやランサムウェアを抑止する、サンドボックス化されたファイル転送。
- 監査とコンプライアンスを目的とする、セッションの記録、再生、監視。
- 管理者がセッション内でユーザーを招待や退出させることができる、許可制のアクセス機能。
これらのツールは、インフラを大量に消費するVDIの使用を削減し、セキュリティを強化しながら、運用を簡素化します。
包括的な世界中のService Edge
ZPAのService Edgeアーキテクチャーは、Zscalerの世界中に分散したフットプリントを活用することで、最適なパフォーマンスを確保します。VPNゲートウェイは、限られた場所に展開されることが多く、トラフィックのバックホールや遅延を発生させます。一方、ZPAのユーザーは、最も近いService Edgeに接続することで、プライベート アプリケーションに最速でアクセスできます。
Service Edgeの広範な対応範囲によってボトルネックを解消し、地理的な場所を問わず優れたユーザー エクスペリエンスを提供します。データ センターに展開されたApp Connectorと組み合わせることで、すべてのユーザーにとって信頼性が高く低遅延な接続を確保します。
事業継続性とレジリエンスの確保
ZPAは堅牢な事業継続性機能を提供し、ゼロトラスト セキュリティを損なうことなくプライベート アプリケーションへの中断のないアクセスを確保します。
事業継続性により、ユーザーはすべての障害シナリオにおいてミッションクリティカルなサービスへのアクセスを維持できます。そのため、組織はコンプライアンス要件を順守できます。事業継続性は、以下のような幅広い障害シナリオに対応します。
- ISP障害によるサイトの分離
- データ センター固有の障害
まとめ
ZPAは、ゼロトラストの原則の採用、高度なセグメンテーションの提供、ハイブリッド ワークにおける一貫したアクセスの確保、そして従来のVPNやVDIに代わる革新的な代替ソリューションの提供により、セキュア リモート アクセスを再定義し続けています。
AIを活用したセグメンテーション、事業継続性、B2Bアプリケーション アクセス、プライベート アプリケーションの保護などの堅牢な機能により、運用を簡素化しながら、ユーザー エクスペリエンスを向上させて、セキュリティ態勢を近代化できます。
Forrester Total Economic Impactレポートで、Zscaler Private Accessのお客様がROI 289%を達成した事例をご覧ください。
以下は、ZPAとVPNの比較をまとめた表です。
ZPA | VPN |
インサイドアウト接続で、インバウンド接続や外部攻撃対象領域がなく、データ センターを非公開化します。 | インバウンド接続が必要で、ネットワークを公開し、攻撃者の侵入経路を生み、単一障害点となります。 |
交換機として機能し、アクセス ポリシー基準に基づいてアプリケーションへのユーザー アクセスを許可または拒否します。 | 橋として機能し、クライアントとサーバー間のネットワーク接続を可能にします。 |
必要なアクセスを必要な時にだけ許可します。 | アクセスを過剰に許可します。 |
ネットワークをセグメント化することなく、アプリケーション セグメンテーションを実現します。 | ネットワーク セグメンテーションは難しく、アプリケーション セグメンテーションを実現できません。 |
ビジネスベースのアクセス ポリシーにより、効果的なゼロトラストが可能になります。 | 従来のIPベースのポリシーを使用するため、複雑で管理が困難なファイアウォール ルールが必要です。 |
特定のアプリケーションのみにアクセスを許可し、残りのアプリケーションの可視化はブロックし、偵察を防止します。 | 広範なネットワークとDNSアクセスを提供し、DNSとサービスの偵察を可能にします。 |
ネットワーク アクセスを介さずユーザーをアプリに接続します。IPは不可視化されたままであるため、攻撃者によるリソースの発見や標的化は困難です。 | ユーザーを内部ネットワークに配置します。 ユーザーをネットワーク上に配置し、IPが可視化されるため、攻撃者によるスキャン、ラテラル ムーブメント、データ窃取が可能となります。 |
シンプルなルーティングとコスト効率の高いインフラを提供します。 運用の複雑さとコストを軽減します。 | 運用が非常に複雑で、複雑なルーティング設定を必要とします。 コストのかかるプライベート リンク(MPLS、Azure ExpressRoute、AWS Direct Connectなど)が必要です。 |
ネットワーク セグメンテーションを可能にし、攻撃の影響範囲を制限します。 | 効果的なセグメンテーションは事実上不可能です。 |
SAMLやSCIMなどの標準IdPプロトコルを使用し、ZTEに認証情報は保存されません。この仕組みにより、組織はIdPベンダーによる技術革新のメリットを最大限活用できます。 | 一部のVPNはLDAPの認証情報を使用しているため、VPNゲートウェイが侵害されるとActive Directoryに不正アクセスされるリスクが生じます。 |
ネットワーク セグメンテーションを必要とすることなく、アプリケーション セグメンテーションを可能にします。 | ネットワーク セグメンテーションの複雑さにより、アプリケーション セグメンテーションが不可能になります。 |
最も近いService Edgeからアプリケーションに直接アクセスする、優れたユーザー エクスペリエンスを提供します。 | アプリケーションへのユーザー アクセスにはトラフィックのバックホールが必要となることが多く、遅延が発生します。 |
セッションベースで施行し、コンテキストに基づく適応型アクセス ポリシーを可能にします。 | ソース、宛先、サービスごとにアクセスを許可し、コンテキストを認識しません。 |
ユーザーがアクセスするアプリケーションを可視化します。 | IPベースのログで、ユーザーとアプリケーション間の可視性はありません。 |
オンプレミスからクラウドへのシームレスなアプリの移行を可能にします。 | アプリの移行は複雑で時間がかかります。 |
ユニバーサル ゼロトラストは、すべてのネットワークを信頼できないものとして扱い、暗黙の信頼を排除します。 | ネットワーク内のすべてが信頼できると仮定し、古い「城と堀」のモデルに従います。 |
プロキシベースのアーキテクチャーにより、セキュリティとデータ保護のためのコンテンツ検査を可能にします。 | 組み込みのコンテンツ検査なしで、ネットワークへの直接アクセスを提供します。 |
分散されたApp Connectorによる柔軟な展開により、優れたユーザー エクスペリエンスを可能にします。 | 柔軟性のない展開であり、通常は限られたDCに展開され、内部リンクを逼迫させます。 |
シンプルなアーキテクチャーで、運用コストが低く、複雑なルーティングは不要です。 | 複雑なルーティングとVPNゲートウェイの頻繁なパッチ適用により、コストが高くなります。 |
複数のIdPと重複するサブネットをサポートし、M&Aに伴う統合を簡素化します。 | M&Aに伴う統合は複雑で管理が困難です。
|
VDIの代替として機能します。 | 多くの場合、高額なVDIソリューションと組み合わせる必要があります。 |
任意のHTML5ブラウザーを介して、RDPやSSH、VNC用の堅牢な特権リモート アクセス(PRA)を提供します。 | IT/IoTデバイス アクセス向けには設計されていません。 |
真のゼロトラスト アーキテクチャーを導入する準備はできていますか?デモを依頼して、ZPAがどのようにゼロトラスト戦略を変革できるかご確認ください。
免責事項:このブログは、Zscalerが情報提供のみを目的として作成したものであり、「現状のまま」提供されています。記載された内容の正確性、完全性、信頼性については一切保証されません。Zscalerは、ブログ内の情報の誤りや欠如、またはその情報に基づいて行われるいかなる行為に関して一切の責任を負いません。また、ブログ内でリンクされているサードパーティーのWebサイトおよびリソースは、利便性のみを目的として提供されており、その内容や運用についても一切の責任を負いません。すべての内容は予告なく変更される場合があります。このブログにアクセスすることで、これらの条件に同意し、情報の確認および使用は自己責任で行うことを理解したものとみなされます。
