リモートワーカーの保護:ゼロトラストアクセスの導入

ZTNA:ゼロトラストネットワークアクセス

ゼロトラストアクセスの導入

世界的なパンデミックの影響により、多くの従業員が職場を離れ、分断された自宅環境で在宅ワークを行っています。大半の企業がソーシャルディスタンスにより、従業員の安全を維持しています。ある時点で一時的であれ、在宅勤務者も職場に復帰すると思われますGlobal Workplace Analyticsは、2021年末までに通勤者の25~30%が在宅勤務(週のうち何日か)に移行すると予測しています。また、このままずっと在宅勤務を続けたいと考えている従業員も多いはずです。

膨大な数の従業員が一斉に在宅勤務となり、ネットワークセキュリティに大きな負担がかかっています。オフィス環境と同レベルのセキュリティ保護を提供する、安全なリモートアクセス戦略を策定および実行する時間がほとんどなかったため、サイバーセキュリティのさまざまなリスクや課題が生じています。そのため、従業員が仕事を行うすべての場所で真のゼロトラストアクセスソリューションが必要となっています。

多くの場合、リモートアクセスのセキュリティが脆弱

2020年4月、世界中で膨大な数の在宅勤務が進み始めた頃、Catoはテレワークを促進する企業の準備状況に関する調査「Enterprise Readiness to Support Widespread Work-from-Anywhere(企業による、すべての社外環境サポートの準備)」を実施しました。約700社の企業を対象としたこの調査で、約3分の2(62%)がリモートアクセスのトラフィックが新型コロナウイルス感染拡大前にくらべて2倍以上になったと回答し、4分の1以上(27%)が3倍になったと回答しています。

拡大するテレワークに対する、セキュリティポリシーの適用は、企業にとって大きな懸念材料です。この調査により、大半の企業がエンタープライズグレードのセキュリティに最低限必要な主な対策を行っていないことが判明しました:

  • ユーザーIDを検証する多要素認証(MFA)
  • ネットワークベースの攻撃を特定する不正侵入検知
  • 悪意のあるコンテンツによる脅威を回避するマルウェア対策

MFAは一般的になっていますが、回答者の3分の1以上(37%)が、リモートユーザーの許可にMFAを使用しておらず、シングルサインオン(SSO)またはユーザ名とパスワードを使用していると回答しています。攻撃に対する防御に関しては、回答者の半数以上(55%)が、不正侵入検知やマルウェア対策を採用していないと回答しています。さらに悪いことには、11%の回答者が、トラフィックインスペクションを行っていないと回答しています。

回答者の64%が、リモートアクセスのポイントソリューションとしてVPNサーバを利用していると回答しています。VPNは、トラフィックの暗号化とユーザ認証を提供しますが、ネットワーク全体へのアクセスを許可し、特定のリソースへのユーザアクセスを細密に制御するオプションがないため、セキュリティ面のリスクがあります。また、接続するデバイスのセキュリティ状態を精査できないため、マルウェアがネットワークに侵入する可能性があります。さらに、盗まれたVPN認証情報が、重大なデータ侵害に利用されています。攻撃者は、正規の認証情報を使用して、VPNを介して企業のネットワークに侵入し、自由に移動しています。

VPNのゼロトラストセキュリティ

技術業界では、より安全性の高いユーザーアクセスモデルである、ゼロトラストネットワークアクセス(ZTNA)への移行が進んでいます。これはソフトウェア定義の境界 (SDP)とも呼ばれています。ZTNAの仕組みはシンプルです。明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、全体的なネットワークセキュリティとマイクロセグメンテーションをより強化して、セキュリティ侵害が発生した場合でも、横方向への移動を制限できます。これがZTNAアーキテクチャの基本的な考え方です。

ガートナーのゼロトラストネットワークアクセス(ZTNA)マーケットガイドは、2023年までに60%の企業がVPNを廃止し、ZTNAに移行すると予測しています。ZTNAの主なメリットは、ネットワークへのアクセス、リソース、エンドユーザーのデバイスを特定して細密に制御できることです。セキュリティポリシーに基づき、最小特権ベースでアクセスが許可されます。

細密なレベル制御により、SASE(セキュアアクセスサービスエッジ)に必要なネットワークアクセスへのID主導型アプローチを補完できます。SASEは、ZTNAをクラウドネイティブネットワークプラットフォームに組み込み、企業のリソース(サイト、クラウドアプリケーション、クラウドデータセンター、モバイル/リモートユーザー)を適切なアクセスレベルで接続します。

ゼロトラストセキュリティポリシーの効果的な適用には、セキュリティ統合が重要

ZTNAのポイントソリューションとして、VPN、ファイアウォール、侵入防止ソリューションなどを利用できます。実際、今日のネットワークの多くが、スタンドアロンのセキュリティやリモートアクセスのソリューションで構成されています。しかし、製品が統合されていない場合、いくつかの理由で支障が生じます。まず、設定ミスが生じたり、セキュリティポリシーの一貫性が失われる可能性が高くなります。次に、トラフィックインスペクションを各デバイスで個別に行う必要があるため、ネットワークの遅延時間が増えます。また、統合されていない場合、各アプライアンスが独自のフォーマットでデータを処理するため、包括的な脅威検出はほぼ不可能です。SIEM(セキュリティ情報イベント管理)によってデータが集約されていても、データを正規化し、イベントを相関させ、脅威による被害が及ぶ前に阻止するには、相当な労力が必要です。

またゼロトラストは、リモートアクセスソリューションの一部であり、ZTNAのスタンドアローン製品では、パフォーマンスや継続的なセキュリティ課題に対応できません。ZTNAをSASEソリューションに完全に統合すると、最大限のメリットがもたらされます。

SASEは、ゼロトラストネットワークアクセス、NGFW、その他のセキュリティサービスとSD-WAN、WANなどのネットワークサービスの最適化、帯域幅アグリゲーションをクラウドネイティブプラットフォームに統合します。つまり、SASEアーキテクチャにより、ゼロトラストネットワークアクセスのメリットだけではなく、シンプルに管理できる拡張性の高い、統合型ネットワークおよびセキュリティソリューション一式を実現できます。Cato SASEソリューションは、これらすべてをクラウドネイティブプラットフォームで提供しています。

Cato SASEプラットフォームによる、安全かつシンプルな在宅ワークのリモートアクセス

従業員のリモートアクセスに何をもたらすのか? Cato SASEプラットフォームは、安全性の高いアクセスをすべての在宅勤務者に極めて迅速かつ容易に提供します。

Catoは、リモートユーザーやモバイルユーザーのリソースやアプリケーションへの安全な接続に柔軟性のある選択を提供します。Cato Clientは、数分でセットアップして、リモートユーザーをCato Cloudに自動的に接続できる軽量アプリケーションです。クライアントレスアクセスにより、ブラウザを介してアプリケーションを選択して、最適化された安全なアクセスを提供できます。Catoのグローバルな70ヵ所以上のPoPにわたって利用できる、アプリケーションポータルへユーザーをシンプルにナビゲートして、設定済みのSSO認証により、承認済みのアプリケーションを即座に利用できます。どちらのアプローチも統合型ZTNAにより、特定のネットワークリソースへのアクセスを保護します。

安全なテレワークには、ゼロトラストアプローチが不可欠です。Catoのソリューションにより、ZTNAを容易かつ効果的に導入できます。

テレワークをサポートする方法について、詳しくはCato eBook「Work From Anywhere for Everyone」をご覧ください。

よくある質問

  • ゼロトラストネットワークアクセス(ZTNA)とは?

    ゼロトラストネットワークアクセスは、アプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAは、明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、より強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、万が一セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。

  • ZTNAとSDP(ソフトウェア定義の境界)の違い?

    現在のSDPとZTNAは、機能的には同じです。どちらも明示的に許可されていない限り、リソースへのアクセスをすべて拒否するアーキテクチャに基づいています。

  • ZTNAが重要な理由?

    ZTNAは、従来のネットワークソリューションよりも安全で、また今日のビジネスに照準を合わせています。ユーザーはオフィスだけでなく、あらゆる場所で働き、アプリケーションやデータのクラウドへの移行が進んでいます。アクセスソリューションは、このような変化に対応する必要があります。ZTNAにより、ユーザーのID、場所、デバイスのタイプなどに基づいて、アプリケーションアクセスを動的に調整できます。

  • ZTNAの仕組み?

    ZTNAは、すべてのユーザーおよびデバイスを拒否することがデフォルト設定された、細密なアプリケーションレベルのアクセスポリシーを適用します。ゼロトラストコントローラーに接続するユーザーの認証を行い、適切なセキュリティポリシーを適用してデバイスの属性をチェックします。ユーザーとデバイスが指定された要件を満たせば、ユーザーIDに基づいて、特定のアプリケーションやネットワークリソースへのアクセスが許可されます。アクセス中にユーザーとデバイスのステータスが継続的に検証されます。

  • ZTNAとVPNの違い?

    ZTNAは、ネットワークベースのIT資産へのアクセスを許可する前に、すべてのユーザーとデバイスを検証して認証する、ID認証方式を採用しています。ユーザーには、ポリシーによって許可された特定のリソースのみが表示され、アクセスが許可されます。

    VPNは、ユーザーとネットワークの一般的な端末間の安全な仮想トンネルに基づく専用回線接続です。アクセスは、ユーザーの認証情報に基づきます。ユーザーがネットワークに接続してパスワードを入力すると、ネットワーク上のすべてのリソースにアクセスできます。

  • ZTNAの導入方法?

    クライアントベースのZTNAでは、認可されたデバイスにインストールされたエージェントが、そのデバイスのセキュリティコンテキストに関する情報をコントローラーに送ります。コントローラーがデバイスのユーザーに認証情報の入力を指示します。ユーザーとデバイスの両方が認証されると、複数のセキュリティポリシーを適用できる次世代ファイアウォールなどのゲートウェイを介して、コントローラがデバイスを接続します。ユーザーは、明示的に許可されたアプリケーションにのみアクセスできます。

    サービスベースのZTNAでは、アプリケーションと同じネットワークにインストールされたコネクタが、プロバイダーのクラウドへのアウトバウンド接続を確立および維持します。アプリケーションへのアクセスを要求するユーザーは、クラウド内のサービスによる認証後、ID管理製品によって検証されます。アプリケーションのトラフィックはプロバイダーのクラウドを経由するため、直接アクセスやプロキシ経由の攻撃から隔離されます。ユーザーのデバイスにエージェントは必要ありません。

  • ZTNAはSASEに置き換わるもの?

    ZTNAは、SASEのごく一部に過ぎません。ユーザーを認証してネットワークへ接続後、ネットワークベースの脅威を保護する必要があります。また、ユーザー環境を保護するために、適切なインフラと最適化機能が必要です。デプロイ全体を管理する必要もあります。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、これらの課題に対応しています。

  • ZTNAが対応していないセキュリティ機能?

    ZTNAは、安全なネットワークとアプリケーションへのアクセスに対応していますが、マルウェアのチェック、サイバー脅威の検出や修正、Web閲覧デバイスの感染防止、すべてのネットワークトラフィックへの企業ポリシーの適用などのセキュリティ機能は提供しません。つまり、SASEの一連のセキュリティサービスにより、ZTNAを補完する必要があります。

  • ゼロトラストとSASEの連携方法?

    SASEは、ZTコントローラー機能がSASE PoPの一部に含まれているため、別途のコネクタは不要です。デバイスをSASE PoPに接続して認証後、ユーザーはSASEの次世代ファイアウォール(NGFW)およびセキュアWebゲートウェイ(SWG)のセキュリティポリシーで許可されたアプリケーション(および拠点)へのアクセスのみが許可されます。

    SASEは、ZTNAにNGFW、SWG、マルウェア対策、MDRなどのセキュリティサービス一式と、SD-WAN、WAN最適化、帯域幅アグリゲーションなどのネットワークサービスをバンドルして、その他のセキュリティおよびネットワーキングのニーズに対応します。SASEの採用により、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる、最適化された、拡張性の高いパッケージに統合できます。