ゼロトラストを実現したMAN Energy Solutions

ビジネスの世界展開と並行して、世界で展開するあらゆる規模のエンジンやシステムのIoTなど、テクノロジーには急速な変化が生じており、その多くは輸送機関で稼働しています。同時に、世界規模に大きく分散している従業員はさらにモバイル化し、Web アプリやカスタム ビジネス アプリケーションへのモバイル アクセスを必要としています。

ネットワークとアプリケーションのセキュリティに対する従来型の「城と堀」方式のアプローチは、ワークロードがAWSやAzureに移行してインターネットが新しい企業ネットワークとなった現状では、世界規模のビジネスやアクセス、セキュリティ態勢の改善の可能性を実現する最新のクラウド展開の環境には対応できません。このような環境で必要とされるのは、アプリケーションがインターネットに公開されないように、認証されたアクセスを使用して、信頼できるユーザーを信頼できるアプリケーションに接続する方法です。

従来型のVPNソリューションによってアプリケーションにアクセスする方法では、ユーザー エクスペリエンスが低く、アプライアンスやソフトウェア、MPLSネットワーキングのコストが増えてしまいます。そのため、MAN Energy Solutionsはクラウドの導入によるスピードと俊敏性の改善というメリットが相殺されると感じていました。また、アプリがインターネット上で不可視化されるようにセキュリティを強化したいとも考えていました。

「以前は、検出可能なアクセス ポートへの従来のVPNを使って、分散されたモバイル ワーカーがアプリケーションにアクセスできるようにしていました。しかし、パフォーマンスの問題に加え、ユーザー エクスペリエンスの面で社内から不満の声が上がっていました。当時のセキュリティ スタンスは、その潜在能力を発揮できていなかったのです。この状況は、AWSとAzureの導入によって得られるものとは矛盾していました(Tony Fergusson氏、MAN ITインフラストラクチャー アーキテクト)」「また、社内の比較的小規模の運用チームがオンプレミスのインフラストラクチャーを管理していましたが、データ セットやリアルタイム分析、アプリ アクセスへのニーズは急増していました。社内アプリケーションを最新化して、より多くのデータ ソースをオンライン化し、高度な製品およびテクノロジーを世界規模に展開するようになると、状況はさらに困難になったのです」

クラウドへの移行によって、MAN Energy Solutions (MAN)はビジネス課題の解決にあたって確固たるメリットを得られました。同社のTony Fergusson氏は「他社が続々と世界規模のユース ケースをクラウドに実装するのを目の当たりにするなか、自社の技術的な目標を解決できるアーキテクチャーを特定することができました」と述べています。

MANがZscalerを採用したのは2011年。ユーザエクスペリエンスの向上、帯域幅コストの削減、厳しさを増すセキュリティの目標を達成するため、導入を決断しました。MANはまず、Zscaler Internet Access (ZIA)を使って、世界中に分散するモバイルユーザをSaaSアプリケーションに接続することにし、APT（標的型攻撃）の要件の解決にも、Zscalerを採用しました。

その後Zscaler Private Access (ZPA)が採用され、モバイル ワーカーや請負業者がオンプレミスで実行されているアプリケーションに時間や場所を問わずアクセスできるようになりました。また最近では、AWSとAzureで実行されるアプリケーションへの安全なアクセスにもZPAが利用されるようになったことで、ネットワーク コストの削減とモバイル ユーザーのエクスペリエンス向上が同時に実現しました。

Zscaler Private Access (ZPA)は、VPNに関連するコストや複雑さ、セキュリティ リスクを排除し、ポリシー ベースによるプライベート アプリケーションやアセットへの安全なアクセスを提供にします。内部アプリケーションを権限のないユーザーに対して「不可視化」させるという考え方は、ソフトウェア定義のネットワーク(SDN)の導入以来浸透してきています。ゼロトラスト モデルのアプローチでは、サービスが外部に対して不可視化されるため、アプリケーションとユーザーの両方をSAMLを使用して承認することで初めて、ユーザー アクセスが確立されます。

「私たちはゼロトラスト モデル、またはブラック クラウド(SDP)と呼ばれるモデルを実装することができました。ソリューションの実装によって攻撃対象領域が縮小し、従来のアプローチをこの最新の安全なクラウドファーストのシステムに置き替えることができたのです。また、ユーザーの権限をきめ細かく制御できるため、各従業員および請負業者は必要なものだけにアクセスできるようになりました」とFergusson氏は述べます。このように、ZPAによって、ネットワークではなくアプリケーションで請負業者のアクセスをセグメンテーションすることが可能です。

このアプローチによって、不正ソフトウェアのラテラル ムーブメントも防止できます。クライアントからサーバへのアクセスを可能としつつ、その逆は許可しないよう設定することができるからです。これら2つのパラダイムを組み合わせることで、すべてのセッションの検証が完了してからアクセスが許可されるため、悪意あるラテラル ムーブメントを防止できます。ゼロトラストモデルを前提に、ユーザ認証、承認、既知と未知のアプリケーションに基づいてポリシーを適用することで、セキュリティを強化できます。

ビジネスアプリや開発プロジェクトのクラウドへの移行、クラウドサービスの増加、世界中に分散する多くの従業員やパートナーへ早急なアクセス提供が求められている背景といった社内的な事情もあり、エンドユーザを自社アプリに接続する、より高速で安全な方法を必要としていました。実現すればビジネスの柔軟性や俊敏性は向上しますが、従来のVPNアプローチから脱却できなければ、ITとネットワークの両方のリソースの負担が増大するばかりです。

Zscalerのクラウドは、強力で優れた代替手段として、リモートアクセスへの従来のハードウェアやソフトウェアのセキュリティスタックの必要性を排除し、移動中のエンドユーザによるVPNクライアントやリモートアクセスのヒューリスティックを解消、トラフィックの代替パスを提供します。結果として、インターネットベース接続のMPLSトンネルの必要性が少なくなります。

MAN Energy Solutionsは、複雑さとコストの削減と同時に、エンド ユーザーのエクスペリエンス向上も実現しました。エンド ユーザーが内部アプリケーションにアクセスする際、そのアプリケーションがデータ センターあるいはクラウドのどちらで実行されていても、完全にシームレスでクラウドのようなエクスペリエンスを実感できるようになりました。ユーザーは、Zscalerのグローバル クラウド経由でアプリケーションに直接つながるため、従来のリモート アクセスで生じていたチョーク ポイントを完全に迂回できます。

結果として、アプリケーションのホスティング場所に完全な柔軟性が提供され、TLSベースの暗号化されたマイクロトンネル接続によって機密データが保護されます。ユーザがネットワークに接続することも、アプリケーションが未承認のユーザに公開されることもありません。従来のソリューションで悩まされることが多い複雑さもクラウドで軽減されます。

VPNインフラストラクチャとソフトウェアのライセンスが不要になったことで、2桁のコスト削減率を実現し、帯域幅コントロールによってミッションクリティカルトラフィックをWebの閲覧などの優先度の低いトラフィックより優先させることで、ネットワークパフォーマンスも向上しました。

最大の技術的なメリットの1つは、攻撃対象領域を抑え、すべての管理の保護をAWSとAzureに集約できた点です。MANは、ZPAのロギングおよび分析クラスターを活用してSIEMへのログ ストリーミングを行い、ユーザー アクセスとアクティビティーへの可視性を高めています。

「数分で、新しいVPCの導入と新しい名前空間を作成できます。名前空間のルーティングを使用できるため、IPではなく、名前空間に基づいてトラフィックをコントロールできることは、我々にとって大きなメリットです。結果として、効果的なポリシーを作成できるようになり、ネットワークのコストと複雑さを軽減できました。コンサルタントのオンボーディング プロセスも大幅に加速し、数週間ではなく数時間以内のオンボーディングが可能になりました（Fergusson氏）」