ゼロトラスト アーキテクチャー

ネットワーク セキュリティの化石を探る

「境界=ファイアウォール」だったネットワークのジュラ紀

ティラノサウルス

巨大な恐竜が世界を支配し、大地を耕し、自然界のバランスを維持していたジュラ紀。当時の環境に最も適した種として、恐竜は存在していました。ビジネスの世界でも同様に、数十年前はファイアウォール、VPN、スイッチ、ルーターがデータ センターに存在し、ルーティング可能な転送を使用してイングレスとエグレスのバランスを維持しながら、外部の脅威に対するセキュリティを提供していました。そして、この多層になったセキュリティ エコシステムが、「城と堀」の信頼できるシステムの中で貴重なデータをすべて保護していたのです。そうした中、隕石のようにネットワーク セキュリティの世界を襲ったのが「クラウド」でした。アプリケーションがクラウドに移行し、ユーザーやデータがあらゆる場所に分散したことで、「オフィス」の概念があいまいになり、インターネットが新しい企業ネットワークとなりました。つまり、ネットワークのジュラ紀の終焉が始まったのです。

クラウド時代の到来

クラウドファーストの企業は、ネットワーク セキュリティの世界の恐竜に頼ることはできません。ネットワークに依存する従来のファイアウォールやVPNはスピードが遅く、メンテナンスに費用がかかるほか、高度な脅威から保護して水平移動を阻止するには不十分です。調査対象となったネットワーク専門家の85%以上が、ファイアウォールはクラウド経由で提供される方が望ましいと回答しており(これこそが新しいアプローチが必要な理由です)、72%の企業が攻撃対象領域を最小限に抑えて水平移動を阻止するために、ゼロトラストのアプローチを積極的に採用しています。ゼロトラストは「誰も信用しない」という極めてシンプルな概念で、ユーザーから目的のアプリケーションまでのアクセスが検証済みであり、直接かつ安全である場合のみ許可するものです。場所やトランスポート レイヤーに左右されることはありません。以下に、先日当社が実施した調査で明らかになった要点を数字とあわせて紹介します。

  • 67%がファイアウォールではリモート ユーザーに高速で安全なアクセスを効率的に提供できないと強く考える
  • 64%がファイアウォールではネットワーク内の水平移動を防ぐことができないと考える
  • 75%がファイアウォールのハードウェア、アップグレード、展開の管理を困難と考える*

情報元:Virtual Intelligence Briefing (ViB) | Networks Security Survey 2021

ゼロトラストを妨げる化石を掘り起こす

では、既存のインフラストラクチャーがネットワークのジュラ紀のなごりかどうかを見分けるにはどうすればいいのでしょうか?以下の5つの兆候を参考に、ネットワーク内の化石を特定して掘り起こしてみてください。

1 - 高い負荷がかかると対応できない:さまざまなセキュリティ アプライアンスを使用し、インターネットに接続するユーザーや拠点のトラフィックをすべて企業ネットワーク経由でバックホールしているものの、望ましい効果が得られていない。その結果、ユーザーのストレスがたまり、未処理のサポート チケットが山積み状態となっている。

2 - 隠れた脅威を検出できない:ファイアウォールでSSL復号化をオンにするとパフォーマンスが大幅に低下することがわかっているため、検査できない。世界中のインターネット トラフィックの84%以上が暗号化されており、ハッカーはこれを利用しています。

3 - 管理を制御できない: ネットワーク セキュリティへのアプローチにゼロトラストが適していることは理解しているものの、ファイアウォールとVPNを使う現在のネットワークでは採用が非常に難しい。この環境でゼロトラスト アーキテクチャーを真似しようとすると、ネットワーク、クラウド、リモート ユーザーにわたる多数の内部ファイアウォールに数百、数千単位でポリシーを構成する必要があります。

4 - ハッカーが攻撃しやすい状況を作っている:ユーザーとアプリケーションはクラウドに急速に移行しています。さらにファイアウォールを追加してネットワークの境界をクラウドに拡張して保護すると、ハッカーにとってはまさに攻撃し放題の状況となります。ネットワーク内を自由に移動できるほか、すべてのクラウド アプリケーションに新たにアクセスできるようになるのです。これは、攻撃対象領域を増やすだけです。

5 - 中に入れてから後で確認する:ファイアウォールやVPNは、既存のネットワーク システムとうまく組み合わせられるように設計されており、高度な攻撃の有無を検査することなくトラフィックを通過させる「パススルー アーキテクチャー」を採用しています。アウトオブバンドのトラフィックを分析して悪意があるかどうかを判断することは確かに可能ですが、その段階まで進んでしまうとすでに手遅れなのです。

Zscaler Zero Trust Exchangeでクラウド時代を躍進

Zscaler Zero Trust Exchangeは、クラウド時代に適合した根本的に異なるアプローチを採用しています。基盤となるIPベースのネットワークに依存することなく、ユーザーからアプリケーションへの安全かつダイレクトなインターネット接続を提供します。複雑なルーティングもパフォーマンスやポリシー管理の問題もない、世界最大のセキュリティ クラウドに守られた世界を想像してみてください。そこにはもう恐竜は存在しないのです。

高度なセキュリティに不可欠な要素

  • SSLを含むすべてのポートとプロトコルを精査する無限のスケールとパフォーマンス。
  • 優れたユーザー エクスペリエンスを備えた安全なローカル インターネット ブレイクアウト。
  • クラウド時代に合わせて構築された簡単なポリシー管理。
  • ネットワークではなく、すべてのユーザー、デバイス、アプリケーションの近くで提供されるクラウド配信型、AI活用型の保護。

近日開催予定のウェビナー「ファイアウォールがゼロトラストに適さない7つの理由」では、何がゼロトラストで、何がゼロトラストでないのか、そしてファイアウォールがなぜクラウド時代に適さないのかを解説します。ぜひ、ご登録ください。

筆者:

Kamil Imtiaz

おすすめ

Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
ZTNAの今後の動向—Enterprise Strategy Groupからの新たなインサイト
Zscalerを採用してITコストを削減する方法 - 第4回:ユーザーの生産性の向上
New IPSec Traffic Forwarding Guidance for Zscaler Customers

Zscalerの最新ブログ情報を受信

設定が完了しました。Zscalerの最新情報をお届けします。

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。