リモートワーク環境におけるZTNAの優位性

リモートワーカーの急増とZTNAへの移行 従来、IT組織はVPN接続を利用して企業ネットワークへのリモートアク...
リモートワーク環境におけるZTNAの優位性 リモートワーカーの急増とZTNAへの移行 従来、IT組織はVPN接続を利用して企業ネットワークへのリモートアクセス環境をユーザーに提供してきました。しかし、COVID-19の影響によるリモートワーカーの急増に伴い、VPN接続の容量が従業員の快適な同時アクセスを妨げるという現実に多くの企業が直面しています。現在、世界中で外出制限等は緩和されていますが、リモートワークの必要性は高まり続けており、リモートワーカーに対するこれまで以上のサポートが求められています。 ZTNA(ゼロトラストネットワークアクセス)は、明確に定義されたアクセス制御ポリシーに基づいて、組織のアプリケーションやデータ、サービスへの安全なリモートアクセスを提供するITセキュリティソリューションです。LANへの完全なアクセスを許可するVPNとは異なり、ZTNAソリューションはデフォルトでアクセスを拒否し、ユーザーが明示的に許可されたサービスへのアクセスのみが提供されます。ガートナー社によると、2022年までに新しいビジネスアプリケーションの約80%がZTNAを通じてアクセスされ、2023年までに企業の約60%がリモートアクセスVPNを廃止し、ZTNAに移行すると予想されています。 広域ネットワークアクセスの境界をなくすZTNA 従来のネットワークセキュリティは、その周辺部のみを保護しているに過ぎませんでした。許可されたネットワーク認証情報を持つユーザーは、ネットワーク上のすべての情報と内部リソースにアクセスすることができ、規制対象やビジネスクリティカルな情報にもアクセスできる状況にあったのです。従業員がオフィス内でデータにアクセスする場合や、情報がオンプレミスで一箇所に保存されている場合、広域ネットワーク境界は問題なく機能していましたが、ネットワークの境界外にあるクラウドデータへのアクセスの必要性や、リモートユーザーの劇的な増加により、データリソースをグループごとに保護するZTNAに移行する企業が増えています。 またデータ漏洩の約30%は組織内部に起因しますが、最小特権アクセス、多要素認証、マイクロセグメンテーションといったゼロトラストの原則を活用することで、ネットワーク内の個々のユーザーに対して厳格な管理を実施できます。ゼロトラスト・アプローチではネットワークの内外を問わず、すべてのユーザーが脅威とみなされ、各エントリーポイントでの認証が必要となります。ZTNAでは、広域ネットワーク境界に依存せずアクセスを許可するための明確な方法が確立されています。 ネットワークアクセスにおけるゼロトラストのメリット ゼロ・トラストのコンセプトは、企業を保護し、外部からの脅威を阻止し、有害な内部脅威から個人を保護するための様々なポリシーを提供します。ゼロトラストは検証の概念に焦点を当て、次の点で組織にメリットをもたらします。 1. ネットワークの可視化 データとコンピューティングデバイスを横断し、組織全体の脅威を監視するアプローチを強化することで、ネットワークに対する洞察力が高まり、アクセス・リクエストごとのタイムスタンプ、アプリケーション、ユーザー、場所をより意識するようになります。標準的でない動作はすべてセキュリティ・インフラによってフラグが立てられ、リアルタイムですべてのアクティビティを追跡することが可能になります。ネットワーク全体の可視性を高めることで、誰が、あるいは何がネットワークへのアクセスを許可されているか、より深く理解することができます。 2. データ保護の向上 データ漏洩は、サイバー犯罪者が効果的に企業の身代金を要求する方法の一つですが、ZTNAはマルウェアやネットワークの大部分への不当なアクセスを防ぎ、攻撃の可能性を減らすことができます。また、たとえ侵入されたとしても、ネットワークへのアクセスが最小限であれば、被害を最小限に食い止めることができ、ビジネスだけでなく顧客や知的財産も保護することになります。その結果、顧客からの信頼を高め、データ流出から生じる混乱の収束のための財政的負担も回避することができます。 3. 遠隔地の従業員へのセキュリティ強化 COVID-19から生じた最も一般的なビジネス適応はリモートワークでした。しかしリモートワークが広く受け入れられるようになったにもかかわらず、ネットワークやデバイスのセキュリティ対策が不十分なためにリスクが高まっています。世界中で働くワーカーを抱える企業は、非効率なファイアウォールのためにリスクにさらされる可能性を持っています。 ZTNAはあらゆるレベルでユーザーの識別と確認を要求し、プライベートネットワークと別のパブリックネットワークの間にファイアウォールを設置する「境界の概念」に基づいています。すべてのユーザー、デバイス、アプリケーションは、アクセスのためのセキュリティレイヤーが保証され、世界中のどこにいても、データがどこに保管されていても、ワーカーに対してより強固な保護が提供されます。 4. 手作業によるIT管理の必要性を低減 ZTNAのコンセプトは継続的な監視に重点を置いており、自動化されたプロセスを取り入れることで、組織のITチームはよりシンプルに物事を進めることが可能となります。すべてを手作業で行っている場合、各リクエストの承認に多くの時間がかかるため、生産性やワークフローが低下し、ビジネスに悪影響を及ぼすことになります。 自動化パッケージは、特定のセキュリティ識別子に従ってアクセス要求の判断をプログラムすることができるため、ITチームがすべてのリクエストを手動で承認する必要がありません。また手動アクセスはワークフローの低下だけでなく、ヒューマンエラーの可能性も増大させます。自動化により全てが解決するわけではありませんが、自動化によってチームは煩雑な管理業務に追われることなく、ビジネスの改善と革新に取り組むことができるようになります。 リモートワークをサポートする方法について、詳しくはCato eBook「Work From Anywhere for Everyone」をご覧ください。

SASEにより廃れゆくVPN:ゼロトラストネットワークアクセス(ZTNA)時代の幕開け

SASE(セキュアアクセスサービスエッジ)は、2019年にガートナー社により提唱された、新しいエンタープライズ...
SASEにより廃れゆくVPN:ゼロトラストネットワークアクセス(ZTNA)時代の幕開け SASE(セキュアアクセスサービスエッジ)は、2019年にガートナー社により提唱された、新しいエンタープライズ・テクノロジーのカテゴリです。SA​​SEは、ネットワークおよび、エンドポイントセキュリティ・ソリューションの機能を、統合したされたグローバルなクラウドネイティブサービスに集約します。現在、SASEという用語は新たなトレンドとなっており、多くのベンダーは、真にSASEプラットフォームによるメリットを提供していないにも関わらず、自社製品にSASEという用語を取り入れています。それによって、SASE導入を検討する企業は、どのベンダーが真に要件を満たしているのか特定しなければならないという課題に直面しています。当記事では、SASEの背景的情報と、この新たなテクノロジーが今日の企業ネットワークに革命をもたらし、その過程で従来のVPNに取って代わりつつある理由について説明します。 SaaSアプリケーションと、IaaS型パブリッククラウド・プラットフォーム上に存在する多くのワークロードのために、クラウドで実行されるエンタープライズ・アプリケーションがますます増加傾向にあります。さらに、Covid19以降の「ニューノーマル」時代は、日常的にクラウドにアクセスし、自宅等からリモート環境で働く従業員数が右肩上がりで増えており、企業はこのクラウドの変革とモビリティの変化により、アクセスネットワークの設計方法を再考する必要に迫られています。 何故従来のVPNは時代にそぐわなくなったのでしょうか。典型的なVPNベースのアーキテクチャは、ユーザーが企業ネットワーク内のネットワークセグメントにアクセスできるようにする、ネットワーク中心のソリューションです。通常、アプライアンスとアクセス制御リスト(ACL)、ファイアウォールポリシーが必要であり、ユーザーからアプリケーションに対するきめ細かいマッピングは提供されません。企業の境界がインターネットにまで拡大することにより、リモートアクセスVPNなどのネットワーク中心のソリューションは時代遅れになったのです。従来のVPNなどのネットワーク中心のアプローチの落とし穴は、セキュリティやパフォーマンス、柔軟性、コストの観点から次のように要約できます。 セキュリティ:従来のVPNは、特定のアプリケーションアクセスに対する個々のユーザーのニーズを加味せず、ユーザーをネットワークセグメントに配置します。それらはネットワークアクセスに焦点を合わせており、ユーザーによる完全なネットワークアクセス要求に対して真偽の判断を提供するものですします。VPNサービスのユーザー側のアプリケーション需要に対するこの融通の効かなさと、アプリケーション関連のアクティビティに対するユーザーの可視性の欠如は、セキュリティリスクを大幅に増大させます。第三者のVPNクレデンシャルを盗むことができる悪意のある存在は、知的財産や顧客情報など、組織の機密データを手に入れるため、大胆な行動に出る可能性があります。多要素認証機能の追加がこれらの事故防止に一役買ってはいますが、それでもラテラルムーブメントの非常に大きなリスクは残ります。一方、「ゼロトラスト」の原則を採用するSASEは、データ制御と企業リソースの可視性を提供します。 パフォーマンス:SASEモデルは信頼の置けるブローカーを利用して、特定のプライベート・アプリケーションと、許可を与えられたユーザー間の接続を仲介します。ITチームはゼロトラストを基底としながら、コンテキスト(ID、デバイスなど)に基づいた接続の提供を可能とします。SASEはVPNとは異なり、ネットワークアクセスではなく、なしでアプリケーションにアクセスする手段と、オープンなインターネットからアプリケーションをマスクする機能を提供します。企業がクラウドでSaaSアプリケーションをサブスクライブする場合、パブリッククラウドによりホストされた複数のミラーサイトにアクセスすることが望ましいですを望んでいます。つまり、ユーザーに最適なパフォーマンスを提供するには、エンドポイントから最寄りのクラウドサービスプロバイダーの拠点にトラフィックを転送する必要があります。しかし従来のVPNモデルのセキュリティチェックは、トラフィックを集中型ハブにバックホール(中継)することに依存しています。今日、SaaSを利用した重要なビジネスアプリケーションが多数存在するため、データセンター中心のネットワークインフラストラクチャは、アプリケーションに多大なパフォーマンスのペナルティを課し、全体的なユーザーエクスペリエンスを低下させます。 柔軟性:VPNソリューションは、特定数のユーザーとレガシーネットワークに根ざしているため、柔軟性がありません。このようなソリューションは、トラフィックとユーザー数の変化に応じてスケールを変更することが困難です。ソリューションをスケールアップするために、組織は新しいハードウェアとライセンスを購入し、新しいリソースのインストールと構成にOPEXを割く必要があります。対してスケールダウンの機能はほとんど無視され、使用しない容量とライセンスへの料金を結局支払うことになります。COVID-19のパンデミックにより、ギグワーカーへのより大きな依存が加速しています。プロジェクトの開始・終了と共に変化する人的移動に伴い、組織は双方向のリモートアクセスを拡張する必要がありますが、多くの場合、実践的なIT作業が必要になります。クラウドネイティブのマルチテナントSASEソリューションは、手作業を最小限に抑え、必要に応じてネットワークやコンピュータの設備などのリソースを提供できるよう予測・準備する時間を合理化します。 コスト:SASEソリューションの導入により、企業ネットワークの日常業務の多くの側面でメリットを確認できます。SASEは、企業が複数のポイントプロダクトに代わって、単一のプラットフォームの使用を実現することで、コストを削減します。エンタープライズネットワーク全体でさまざまなポイントソリューションを調達、プロビジョニング、監視、保守することで、CAPEXとOPEXの両方が膨れ上がります向上します。 組織の外部に配置されるユーザー、デバイス、アプリケーション、およびデータが増えるにつれ、既存のVPNアーキテクチャは不十分なものとなっています。SASEは、クラウドから必要なすべてのネットワーキングとセキュリティテクノロジーを提供し、「サービスとして」提供することで、一般的なVPNソリューションの欠点を克服することを目的としています。 SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。 。また認定SASEエキスパートになることもできます。 CatoのSASEプラットフォームを実際にご覧いただくには、デモをご予約いただくか、今すぐお問い合わせください。