Zscaler Cloud Platform

なぜ従来のサンドボックスではゼロトラストを実現できないのか

ホワイトボードに書き込む2人

ゼロトラストは、もはや単なる流行りの言葉ではありません。実際には、ゼロトラストは作業環境と授業員が分散されている現代においてリスクを軽減し、回復力を高め、アクセスを保護するためのより大規模なデジタル戦略の一部であることが多くなっています。組織がゼロトラストの戦略とアーキテクチャーに大きく舵を切る中、IT部門やセキュリティ部門はセキュリティ スタック、特にデータ センターや支店に設置されているアプライアンスの見直しを迫られています。マルウェア対策において重要な役割を果たすサンドボックスは、再評価されているセキュリティ アプライアンスの1つです。

 

従来のサンドボックスは、NIST 800-207で規定されたゼロトラストの原則に沿うものなのか

1.すべてのデータ ソースとコンピューティング サービスをリソースとみなす

2.すべての通信がネットワークの場所に関係なく保護される

モバイル ワークやハイブリッド ワークの普及に伴い、ファイルへのアクセス、アプリケーションやインターネットへの接続は高速かつダイレクトであることが求められています。残念ながら、データ センターのサンドボックスやセキュリティ スタックにファイルやトラフィックを送るトラフィック転送機能は、ユーザーにとってはストレスとなり、こういったユーザーがセキュリティ対策を回避するという事態を招いているのが現状です。インターネットが企業ネットワークになりつつある今、場所やデバイスに左右されることなくユーザーを保護するためには、境界ベースのセキュリティをインライン保護に置き換えるか、インライン保護と組み合わせる必要があります。
 

3. 個々の企業リソースへのアクセスはセッション単位で許可する

パススルー アーキテクチャーとアウトオブバウンド展開に依存する従来のサンドボックスでは、マルウェアにユーザーとネットワークへのアクセスが許可されるため、本質的にゼロトラストを提供できません。ファイルが悪意のあるものとみなされた後に保護を適用するファイルのレトロスペクティブ(過去に遡って脅威を検知するアプローチ)を実施したとしても、水平移動や情報漏洩から保護するには手遅れの場合があります。一方、インラインで配置された最新のサンドボックスは、接続またはセッションを終了し、悪意のあるファイルのアクションを制限およびブロックし、ユーザーのアクセス許可を必要に応じて調整します。

4. リソースへのアクセスは、動的ポリシー、クライアントIDの目に見える状態、アプリケーション/サービス、リクエストしているアセット、その他の動作および環境の属性によって決定する

5. 企業は、所有するすべての資産と関連する資産の整合性とセキュリティ態勢を監視して測定する

6. すべてのリソースの認証と承認は動的に行い、アクセスを許可する前に厳しく適用する

従来のハードウェア サンドボックスはラック型で、リモート オフィスまたは支店を持つ企業のほとんどが、各オフィスにサンドボックスを4つも実装しているというケースは珍しくありません。サンドボックスが新しいファイルと既知のファイルを区別できない場合、必然的にファイルの再スキャンが必要になるため、ハードウェア容量の制限に影響を与え、ユーザーのレイテンシーが長くなります。従来のプロバイダーが提供するサンドボックスは、1台につき1日8,200個のファイルしか分析できず、これはSSLおよびTLSトラフィックの復号化と検査によってスロットリングされる前の段階です。

このような状況下で、マルウェアはセキュリティの合間をすり抜け続けています。暗号化された脅威は前年比で314%増加しており、現代に合った最新のサンドボックスは、SSL/TLSを含むWebおよびファイル転送プロトコル全体でネイティブに復号化や検査ができる必要があります。しかし、従来のサンドボックスではSSLインスペクションに追加のデバイスが必要となり、それがない場合、トラフィックを暗号化するセキュリティ上のベストプラクティスが脅威アクターにとっては検出を回避するための最高の手段になってしまいます。

容量無制限で適応性に優れたAI活用型のアプローチでは、すべてを徹底的に検査します。既知の無害なファイルは即座に判定されてユーザーに配信されますが、不明または疑わしいファイルは動的分析や爆発処理(サンドボックス内での実行)のために隔離され、マルウェアがユーザーに到達する前に効果的にブロックされます。

7. 企業は、資産、ネットワーク インフラストラクチャー、通信の現状に関する情報を可能な限り多く収集し、その情報を使用してセキュリティ態勢を改善する

統制やポリシーが必要以上に複雑な場合、アプライアンスや展開場所が追加されるたびに設定ミスのリスクが増大していきます。セキュリティには技術と人的要因の両方が関与するため、些細な人為的ミスが意図せずにデータ侵害につながる可能性があります。すでに多くのシステム管理者がポリシー管理に苦戦している中、一貫性のないルールやポリシー、数か月経ってから適用されるパッチなどは、セキュリティ効果の低下に直結しかねません。

真のゼロトラスト サンドボックスには、ポリシーの変更に速やかに適応し、脅威の特定後すぐにすべてのユーザーを対象にブロックすることで攻撃対象領域をさらに最小限に抑える機能が求められます。クラウドが持つ特徴により、毎日数百億という数のリクエストがZscalerのセキュリティ クラウドで処理される過程で新しい脅威が特定されるたびに、その脅威はすべての場所の、すべてのZscalerユーザーに対してブロックされます。

従来型のサンドボックスには、ゼロトラストの原則と合致できない欠点があります。子どもが成長するにつれて公園で遊ばなくなるように、データ センターに置かれるサンドボックスは過去の物として、実績のあるクラウド世代のサンドボックスを選択してください。Zscaler Advanced Cloud Sandboxは、高度なAI/MLモデルを活用してゼロデイ攻撃やマルウェアを阻止します。クラウド世代のサンドボックスは、未知またはポリモーフィック型の脅威や悪意のあるファイルを検出して防御し、効果的に隔離することで、マルウェアがユーザーに到達してネットワークに拡散するのを防ぎます。真のクラウドネイティブなゼロトラスト プラットフォーム上に構築されたZscaler Zero Trust Exchangeは、セキュリティをユーザーに可能な限り近づけてインラインかつユビキタスな保護を実現します。

詳細は、Zscaler Cloud Sandboxをご覧ください。また、製品デモも行っていますので、ぜひこちらからお問い合わせください。

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。