Zscalerのブログ

Zscalerの最新ブログ情報を受信

購読する
製品およびソリューション

従来のサンドボックスではゼロトラストを実現できない理由

image
AMY HENG
9月 07, 2022 - 4 分で読了

ゼロトラストは、もはや単なる流行りの言葉ではありません。実際には、ゼロトラストは作業環境と授業員が分散されている現代においてリスクを軽減し、回復力を高め、アクセスを保護するためのより大規模なデジタル戦略の一部であることが多くなっています。組織がゼロトラストの戦略とアーキテクチャーに大きく舵を切る中、IT部門やセキュリティ部門はセキュリティ スタック、特にデータ センターや支店に設置されているアプライアンスを見直しています。マルウェア対策において重要な役割を果たすサンドボックスは、再評価されているセキュリティ アプライアンスの1つです。 

 

従来のサンドボックスはNIST 800-207で規定されたゼロトラストの原則に沿うのか

1. すべてのデータ ソースとコンピューティング サービスをリソースとみなされる

2. すべての通信がネットワークの場所に関係なく保護される

モバイル ワークやハイブリッド ワークの普及に伴い、ファイルへのアクセス、アプリケーションやインターネットへの接続は高速かつ直接的であることが求められています。残念ながら、データ センターのサンドボックスやセキュリティ スタックにファイルやトラフィックを送るトラフィック転送機能はユーザーの不満につながり、ユーザーがセキュリティ対策を回避するという事態を招いています。インターネットが企業ネットワークになりつつある今、場所やデバイスに左右されることなくユーザーを保護するためには、境界ベースのセキュリティをインライン保護に置き換えるか、インライン保護と組み合わせる必要があります。
 

3. 個々の企業リソースへのアクセスはセッション単位で許可される

パススルー アーキテクチャーと帯域外展開に依存する従来のサンドボックスでは、マルウェアにユーザーとネットワークへのアクセスが許可されるため、本質的にゼロトラストを実現できません。ファイルが悪意のあるものとみなされた後に保護を適用する、遡及的なファイル管理のアプローチを実施したとしても、ラテラル ムーブメントや情報漏洩から保護するには手遅れの場合があります。一方、インラインで配置された最新のサンドボックスは、接続やセッションを終了し、悪意のあるファイルのアクションを制限、ブロックし、ユーザーのアクセス許可を必要に応じて調整します。

4. リソースへのアクセスは動的ポリシー、クライアント アイデンティーの目に見える状態、アプリケーション/サービス、リクエストしているアセット、その他の動作および環境の属性によって決定される

5. 企業は、所有するすべての資産と関連する資産の整合性とセキュリティ ポスチャーを監視、測定する

6. すべてのリソースの認証と承認は動的に行われ、アクセスを許可する前に厳しく施行される

従来のハードウェア サンドボックスはラック型で、リモート オフィスまたは支店を持つ企業のほとんどが、各拠点にサンドボックスを4つも実装しているというケースは珍しくありません。サンドボックスで新しいファイルと既知のファイルを区別できない場合、必然的にファイルの再スキャンによって必然的にハードウェア容量の制限に影響が生じ、ユーザーの遅延が長くなります。従来のプロバイダーが提供するサンドボックスでは1台につき1日8,200件のファイルしか分析できません。これは、SSLおよびTLSトラフィックの復号と検査によってスロットリングされる前の段階です。

このような状況下で、マルウェアはセキュリティの合間をすり抜け続けています。暗号化された脅威は前年比で314%増加しており、現代に合った最新のサンドボックスは、SSL/TLSを含むWebおよびファイル転送プロトコル全体でネイティブに復号や検査ができる必要があります。しかし、従来のサンドボックスではSSLインスペクションに追加のデバイスが必要となります。それがない場合、トラフィックを暗号化するセキュリティ上のベスト プラクティスは、脅威アクターが検出を回避するための最善策になってしまいます。

容量無制限で適応性に優れたAI活用型のアプローチでは、すべてを徹底的に検査します。既知の無害なファイルは即座に判定されてユーザーに配信されますが、不明または疑わしいファイルは動的分析や爆発処理のために隔離され、マルウェアがユーザーに到達する前に効果的にブロックされます。

7. 企業は、資産、ネットワーク インフラストラクチャー、通信の現状に関する情報を可能な限り多く収集し、その情報を使用してセキュリティ ポスチャーを改善する

制御やポリシーが過度に複雑な場合、アプライアンスや展開場所が追加されるたびに設定ミスのリスクが増大していきます。セキュリティにはテクノロジーと人的要因の両方が関係するため、些細な人為的ミスが意図せずにデータ侵害につながる可能性があります。すでに多くのシステム管理者がポリシー管理に苦戦している中、一貫性のないルールやポリシー、数か月経ってから適用されるパッチなどは、セキュリティの低下を招きかねません。

真のゼロトラスト サンドボックスには、ポリシーの変更に速やかに適応し、特定された脅威をすべてのユーザーを対象としてすぐにブロックすることで、攻撃対象領域をさらに最小限に抑える機能が求められます。クラウドの効果により、1日あたり数百億件のリクエストがZscalerのセキュリティ クラウドで処理される新しい脅威が特定されるたびに、その脅威はすべての場所のすべてのZscalerユーザーに対してブロックされます。

従来型のサンドボックスには、ゼロトラストの原則と合致できない欠点があります。子どもが成長するにつれて公園で遊ばなくなるように、データ センターに置かれるサンドボックスは過去の物として、実績のあるクラウド世代のサンドボックスを選択してください。Zscaler Advanced Cloud Sandboxは、高度なAI/MLモデルを活用してゼロデイ攻撃やマルウェアを阻止します。クラウド世代のサンドボックスは、未知またはポリモーフィック型の脅威や悪意のあるファイルを検出して防御し、効果的に隔離することで、マルウェアがユーザーに到達してネットワークに拡散するのを防ぎます。真のクラウドネイティブなゼロトラスト プラットフォーム上に構築されたZscaler Zero Trust Exchangeは、セキュリティをユーザーに可能な限り近づけてインラインかつユビキタスな保護を実現します。

詳細は、Zscaler Cloud Sandboxをご覧ください。また、製品デモも行っていますので、ぜひこちらからお問い合わせください。

form submtited
お読みいただきありがとうございました

このブログは役に立ちましたか?

dots pattern

Zscalerの最新ブログ情報を受信

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。