97%
検査された暗号化トラフィック
250万件
3か月でブロックされた脅威
2~3倍
アプリへのアクセスの速度
課題
VPN経由でオンプレミスやAWSの多数のプライベート アプリに接続するため、攻撃対象領域が拡大
500以上の支店からのトラフィックをデータ センターにバックホールする必要があるため、パフォーマンスと生産性が低下
従来のファイアウォールでは、インターネットからネットワークに侵入してラテラル ムーブメントを行うゼロデイ脅威の検出が不可能
採用したアプローチ
- インターネットとSaaSへのアクセスの保護:クラウド経由のアクセスで、500以上の支店からのトラフィックのバックホールを排除
- VPNのリプレース:データ センターとクラウドの500以上のプライベート アプリへの高速かつ安全なアクセスを提供
- ユーザー エクスペリエンスの最適化:パフォーマンスの問題をより迅速かつ効率的に特定して解決
成果
攻撃対象領域の最小化:ユーザーが最小特権の原則に基づいて直接アクセスできるようにしながら、検知と対応を強化
不正侵入のリスクの軽減:インラインのTLS/SSLトラフィック モニタリングとAIを活用した高度な脅威対策でリスクを解消
ラテラル ムーブメントの防止:デセプション テクノロジーを活用して、攻撃者を機密性の高いリソースから遠ざけ、脅威をリアルタイムで封じ込めることで環境全体を保護
Guaranteed Rate の概要
全米50州で500以上の支店を運営する、米国第2位の規模の小売住宅ローン融資企業
業界:
金融サービス/保険
本社:
イリノイ州シカゴ
Size:
6,000人以上の従業員
事例の詳細
ゼロトラストを段階的に展開するきっかけとなったセキュリティ ギャップとリモート ワークへの移行
Guaranteed Rateでは以前から、攻撃対象領域だけでなく、サイバー リスクや複雑さも増大させる同社のアーキテクチャー(3か所のオンプレミス データ センター、従来のVPNとファイアウォール、3つのクラウド プラットフォーム)が問題視されていました。また、500以上の支店や取引先、不動産会社などに出向き、現地で作業する同社の融資担当者を支援するために、ハイブリッド環境に移行しました。
「クラウドファーストの取り組みに着手したことで、セキュリティ アーキテクチャーの見直しが必要だと気づきました。リモート ワーカーはプライベート アプリにアクセスするためにVPNを使用していましたが、VPNは低速で信頼性に欠けていました。また、インターネット トラフィックをフィルタリングして検査する企業プロキシがなかったため、ネットワークは悪意のある振る舞いに対して脆弱なままとなっていました。セキュリティ技術は多くの支店で一貫性がなく、管理に大量の時間とリソースが消費されていたのです」と、Guaranteed Rateの最高情報セキュリティ責任者であるDarin Hurd氏は話します。
機密データの保護と金融規制の遵守
セキュリティ プログラムの成熟化に加えて、機密データの保護と各種規制の厳格な遵守も最優先事項でした。たとえば、住宅ローンのプロセスでは顧客、住宅ローン企業、借り手などの間で機密データを共有する必要があるため、電信詐欺の防止は住宅ローンの貸し手にとって依然として大きな課題となっていました。悪意のある人物はこのうちの誰かを狙い、送金指示を変更してデータや資金を本来の受取人から自分たちのシステムやアカウントに転送させるため、Hurd氏とセキュリティ部門はこうした人物に常に注意を払っていました。
このような状況も、Guaranteed Rateがゼロトラスト アーキテクチャーの採用を決めた理由の一つでした。同社がベンダーを選ぶ際に重視したのが、業界をリードするベンダーと提携すること、ポイント製品ではなく統合プラットフォームを実装すること、そして価値実現までの時間を短縮することの3点でした。この基準をすべて満たしていたのが、Zscaler Zero Trust Exchangeでした。
フェーズ1:常時オンの保護によるインターネットとSaaSの保護
Guaranteed Rateは、あらゆるデバイスにZscaler Internet Access (ZIA)を展開することでゼロトラスト ジャーニーを開始しました。ZIAは、インターネット トラフィックをすべて検査して暗号化されたコンテンツを特定し、AI活用型のエンジンを利用して脅威を識別、ブロックします。
「これまではユーザーがメールやデータをプライベートなメールに添付してデータを持ち出したり、DropboxやGoogle Driveに機密データをアップロードしたりするのを阻止できませんでした。Zscalerは、悪意のある人物や内部関係者が重要なデータを持ち出すのを防ぎ、金融サービスのデータ保護規制を遵守するために必要な情報漏洩防止機能を提供してくれます」(Hurd氏)
Hurd氏が率いるセキュリティ部門はZscalerのURLフィルタリングを使用して、潜在的に悪意のある不適切なWebサイトや自社が取引を行っていない国へのトラフィックをブロックするポリシーを設定しています。また、AI活用型のZscaler Sandboxを導入し、疑わしい未知のファイルがデバイスやユーザーに到達する前に隔離することで、脅威の侵入を防止しています。機械学習と行動分析を活用するZscaler Sandboxは、安全な環境でファイルの振る舞いを分析することでゼロデイ脅威を特定、検出します。従来のシグネチャーベースの手法では通常、こうした新たな脅威を特定できません。
「Zscalerが提供するAI活用型のマルウェア対策を導入したことで、さまざまなメリットを実現できました。イノベーションをリードする企業と提携することが重要であり、まさにその革新的な技術こそがZscalerの真価です」(Hurd氏)
フェーズ2: 500か所以上にある数百のプライベート アプリへのアクセスの保護
融資担当者は出張することが多く、住宅ローンを確定するために各社独自のローン管理システムなどの内部アプリケーションに出張先からアクセスする必要があります。従来のVPNでは、アプリケーションのダウンタイム、ログインの手間、オンボーディング プロセスの遅延、過剰な権限付与などの問題が絶えず発生していたため、ユーザー エクスペリエンスだけでなく、生産性にも大きく影響を与えていました。
Guaranteed RateはZIAの導入後すぐにZscaler Private Access (ZPA)も導入し、データ センターとAWSの500以上のプライベート アプリケーションに安全かつ迅速にアクセスできるようにしました。ZPAを導入したことで、ユーザー エクスペリエンスと保護が劇的に改善し、ログイン プロセスもスムーズになりました。COVID-19のパンデミックが発生した際も、リモート ワークへの移行はシームレスに行われました。現在、従業員と融資担当者はアプリケーションのパフォーマンスの遅れを感じることなく、どこからでも安全に作業できるようになっています。
「Zscalerは多くのポイント オブ プレゼンスを保有しているため、スムーズにアプリケーションにアクセスできます。データ センターにトラフィックをバックホールする必要がなく、ユーザーはアプリに直接接続されるため、応答時間も2〜3倍速くなりました」(Hurd氏)
フェーズ3:従業員のデジタル エクスペリエンスの最適化
次に、Hurd氏とセキュリティ部門は、ユーザー エクスペリエンスの監視、接続とアプリケーションの問題の特定、サポート チケットの迅速な解決などの課題に対処するために、Zscaler Digital Experience (ZDX)を導入しました。
「ZDXの大きなメリットは、ネットワーク、アプリケーション、デバイスで発生しているパフォーマンスの問題を1つのダッシュボードでリアルタイムに確認できる点です。ヘルプ デスクはここで得た情報を基にボトルネックを迅速に特定できるため、問題解決までの平均時間が大幅に短縮しました。近い将来、その利用範囲を拡大する予定です」(Hurd氏)
さらに、セキュリティ部門はZscaler Risk360を利用して潜在的なリスク領域を特定し、修復作業の優先順位付けと全体的なリスク管理に役立てています。
「Zscalerによって集中的に取り組むべき領域が可視化されるため、最も差し迫ったサイバー リスクに対処して、そのリスクを軽減できます」(Hurd氏)
「やるべきことは山ほどありますが、増え続ける課題に対処するためのリソースは常に限られています。しかし、それぞれの課題やリスクがすべて同じというわけではありません。Risk360は時間を費やすべき領域を特定する助けとなるため、より効率的かつ効果的に最も重要なリスクに対処できるのです」(Hurd氏)
ZDXとRisk360はAIを活用したZscaler Business Analyticsの一部であり、企業インフラ全体からの最新のデータをリアルタイムに提供します。そして、リスクの低減、ユーザー エクスペリエンスの改善、SaaSコストとオフィス利用の最適化に役立つ実用的な情報をセキュリティ部門が利用できるようにします。
次のフェーズ:高度な脅威の検出とラテラル ムーブメントの阻止
Hurd氏はセキュリティ成熟度をさらに高めるために、Zscaler Deceptionのテストも行いました。Zscaler Deceptionはエンドポイントにルアーやデコイのアプリケーション、サーバー、ユーザー、企業リソースを展開し、脅威や攻撃者をあぶり出すソリューションです。機密性の高いリソースから攻撃者を予防的に遠ざけ、脅威をリアルタイムで封じ込めることで、脅威のラテラル ムーブメントを防止し、エンドポイント、アイデンティティー システム、ネットワーク、アプリケーション、クラウドなど環境全体のリスクを軽減します。Zscaler Deceptionを導入することで、ユーザー認証情報の侵害などの検出が難しい脅威や、通常は機密データに狙いを定めて攻撃を仕掛けるランサムウェアなどの回避型の脅威を阻止できるようになります。
「攻撃者をおびき寄せるファイルやプロセス、偽アプリなどを展開し、どのような脅威を捕まえられるか今から楽しみにしています。また、防御を強化し、機密データをより効果的に保護するためのもう一つの手段として、ZDXを活用しています」(Hurd氏)
CrowdStrikeとの統合でセキュリティ管理に必要な人員を数分の1にまで削減
ZIAの導入以前はすべてのエンドポイントにCrowdStrikeが展開されていましたが、ZscalerとCrowdStrikeの統合によって堅牢なエンドツーエンド ソリューションが実現し、脅威インテリジェンスの強化、リスクの軽減、ユーザー エクスペリエンスの向上、業務効率の改善などがすべて可能になりました。
「ZscalerとCrowdStrikeの統合により、すべてのデバイス ポスチャーをリアルタイムで評価できるようになりました。CrowdStrikeのポスチャー スコアは、Zscalerのライブにフィードされます。そのスコアが指定されたしきい値を下回った場合は、デバイスを封じ込めて問題をより徹底的に調査することができます」(Hurd氏)
強化された脅威インテリジェンスが双方向にやり取りされるため、デバイスの振る舞いに対する可視性が高まります。統合ソリューションでは、侵害の痕跡の監視、脅威のラテラル ムーブメントの阻止、インシデント対応といった作業がより迅速に実行されます。
Zscalerは、CrowdStrikeとログ ファイルも共有しています。エンドポイント、ネットワーク、クラウド アプリケーションからのテレメトリーを含む可視性を組み合わせることで、潜在的な脅威とセキュリティ イベントを詳細に把握できるようになります。セキュリティ部門は、事前に構築されたZscalerのダッシュボードでログ データを確認して異常を検出できるため、迅速に問題を特定して調査することができます。
「Zscalerを導入する前は、複雑すぎるセキュリティ技術スタックを複数の従業員で管理する必要がありましたが、現在はより少ないリソースと時間でCrowdStrikeとZscalerの管理を行っています。Zscalerのおかげでリソースをより効率的に割り当て、リスクを軽減できました。少人数の部門を率いる者として、この成果と影響は言い表せないほど大きなものであると感じています」(Hurd氏)
AWSとOktaとのシームレスな統合でリスクの軽減とユーザー満足度の向上を実現
Guaranteed Rateはゼロトラストを中心としたインフラ統合を進めるために、AWSやOktaとも統合しています。ZscalerはユーザーをAWS上のアプリケーションやワークロードに安全に直接接続させます。データ センターを経由させたり、ユーザーを企業ネットワークに接続させたりしないため、攻撃対象領域の最小化、脅威のラテラル ムーブメントのリスクの排除、データの保護、低遅延のユーザー エクスペリエンスの提供などすべて実現します。
ZscalerとOktaが統合することで、SCIM (クロスドメインID管理システム)統合によるユーザーやグループのプロビジョニングの自動化と解除が可能になり、リアルタイムでゼロトラスト ポリシーが施行されます。
また、SAML (Security Assertion Markup Language)の統合により、ユーザーのログイン エクスペリエンスも向上し、シームレスな認証が可能になります。「1日に何度もログインするのではなく、今では週に1回ログインするだけで済みます。さらに簡素化するために、ノートパソコン向けのパスワードレス認証をまもなく展開する予定です。これにより、シングル サインオンで管理している500以上のアプリケーションにアクセスする際のユーザーの負担が軽減されます」(Hurd氏)
ZscalerとOktaにより、買収した企業のアイデンティティー プロバイダーを問わず、M&A取引のオンボーディング プロセスが合理化されるため、買収後の価値実現までの時間を短縮できます。
ゼロトラストが実現するさまざまなメリット
Guaranteed RateがZscalerを導入して以降、同社のリスク プロファイルは大幅に改善されました。ZscalerのフルTLS/SSLインスペクションにより、暗号化されたトラフィックに潜んでいた420,071件の脅威がわずか90日間で検出およびブロックされたと同時に、脅威の検知と対応も強化され、4,490万件のポリシー違反と250万件のセキュリティ脅威が3か月の間に阻止されました。
Hurd氏は、電信通信詐欺の試みを特定してブロックする場合もZscalerが役立つと話します。「私たちはZscalerを利用して、借り手が受信した元のメールを見つけ、借り手とのやり取りに一致する侵害の痕跡と照らし合わせています。以前は、それをシームレスかつ効率的に行う手段がありませんでした」
Zero Trust Exchangeは、マイクロセグメンテーションやロールベースおよびポリシーベースのアプリケーションへのアクセスなどのセキュリティ上のメリットも実現するため、セキュリティ部門はより少ないリソースで、より多くの作業を行えるようになります。
Guaranteed Rateの最高情報セキュリティ責任者であるDarin Hurd氏は、次のように述べています。「当社の飛躍的な成長と変革を可能にしながらセキュリティ リスクも軽減し、ユーザーや借り手には一切影響を与えない手段が必要でした。Zscaler Zero Trust Exchangeによってデバイス、人、データが簡単に保護されるため、自社を拡大するという目標に集中できるようになりました」
M&Aに伴うセキュリティをZscalerで標準化
Guaranteed Rateは、合弁会社数社、保険会社1社、権原会社1社を含む13社を運営しています。新しい企業を買収する際に2社のネットワークを統合すると、企業リソースへの安全なアクセスが確立されるまでに数か月かかる場合があります。しかし、上級管理職は多くの場合、主要なリソースにより早くアクセスする必要があります。
同社のセキュリティ部門は先日、ある権原会社を新たに買収した際にこの課題に直面しました。2社のネットワーク統合が完了する前に、上級管理職が特定のアプリケーションにアクセスする必要があったのです。同部門はZPAを活用してこの問題に対処し、上級管理職がすぐにビジネスクリティカルなシステムにアクセスできるようにしました。
「Zscalerを導入したことで、プロセスの早い段階で2社を迅速に統合できました。買収した企業のエンドポイントにZPAをインストールし、Guaranteed Rateの特定のアプリケーションにアクセスできるようにしましたが、これは、より大規模なネットワーク接続の取り組みに先立って行われたものでした。Zscalerは、すべてを統合する唯一のセキュリティ技術スタックです。今では、買収が完了した翌日にはZscalerを展開するというのが基本の流れになっています」(Hurd氏)