ゼロトラストは、もはや単なる流行りの言葉ではありません。実際には、ゼロトラストは作業環境と授業員が分散されている現代においてリスクを軽減し、回復力を高め、アクセスを保護するためのより大規模なデジタル戦略の一部であることが多くなっています。組織がゼロトラストの戦略とアーキテクチャーに大きく舵を切る中、IT部門やセキュリティ部門はセキュリティスタック、特にデータセンターや支店に設置されているアプライアンスを見直しています。マルウェア対策において重要な役割を果たすサンドボックスは、再評価されているセキュリティアプライアンスの1つです。

従来のサンドボックスはNIST 800-207で規定されたゼロトラストの原則に沿うのか

1. すべてのデータソースとコンピューティングサービスをリソースとみなされる

2. すべての通信がネットワークの場所に関係なく保護される

モバイルワークやハイブリッドワークの普及に伴い、ファイルへのアクセス、アプリケーションやインターネットへの接続は高速かつ直接的であることが求められています。残念ながら、データセンターのサンドボックスやセキュリティスタックにファイルやトラフィックを送るトラフィック転送機能はユーザーの不満につながり、ユーザーがセキュリティ対策を回避するという事態を招いています。インターネットが企業ネットワークになりつつある今、場所やデバイスに左右されることなくユーザーを保護するためには、境界ベースのセキュリティをインライン保護に置き換えるか、インライン保護と組み合わせる必要があります。

3. 個々の企業リソースへのアクセスはセッション単位で許可される

パススルーアーキテクチャーと帯域外展開に依存する従来のサンドボックスでは、マルウェアにユーザーとネットワークへのアクセスが許可されるため、本質的にゼロトラストを実現できません。ファイルが悪意のあるものとみなされた後に保護を適用する、遡及的なファイル管理のアプローチを実施したとしても、ラテラルムーブメントや情報漏洩から保護するには手遅れの場合があります。一方、インラインで配置された最新のサンドボックスは、接続やセッションを終了し、悪意のあるファイルのアクションを制限、ブロックし、ユーザーのアクセス許可を必要に応じて調整します。

4. リソースへのアクセスは動的ポリシー、クライアントアイデンティーの目に見える状態、アプリケーション/サービス、リクエストしているアセット、その他の動作および環境の属性によって決定される

5. 企業は、所有するすべての資産と関連する資産の整合性とセキュリティポスチャーを監視、測定する

6. すべてのリソースの認証と承認は動的に行われ、アクセスを許可する前に厳しく施行される

従来のハードウェアサンドボックスはラック型で、リモートオフィスまたは支店を持つ企業のほとんどが、各拠点にサンドボックスを4つも実装しているというケースは珍しくありません。サンドボックスで新しいファイルと既知のファイルを区別できない場合、必然的にファイルの再スキャンによって必然的にハードウェア容量の制限に影響が生じ、ユーザーの遅延が長くなります。従来のプロバイダーが提供するサンドボックスでは1台につき1日8,200件のファイルしか分析できません。これは、SSLおよびTLSトラフィックの復号と検査によってスロットリングされる前の段階です。

このような状況下で、マルウェアはセキュリティの合間をすり抜け続けています。暗号化された脅威は前年比で314%増加しており、現代に合った最新のサンドボックスは、SSL/TLSを含むWebおよびファイル転送プロトコル全体でネイティブに復号や検査ができる必要があります。しかし、従来のサンドボックスではSSLインスペクションに追加のデバイスが必要となります。それがない場合、トラフィックを暗号化するセキュリティ上のベストプラクティスは、脅威アクターが検出を回避するための最善策になってしまいます。

容量無制限で適応性に優れたAI活用型のアプローチでは、すべてを徹底的に検査します。既知の無害なファイルは即座に判定されてユーザーに配信されますが、不明または疑わしいファイルは動的分析や爆発処理のために隔離され、マルウェアがユーザーに到達する前に効果的にブロックされます。

7. 企業は、資産、ネットワークインフラストラクチャー、通信の現状に関する情報を可能な限り多く収集し、その情報を使用してセキュリティポスチャーを改善する

制御やポリシーが過度に複雑な場合、アプライアンスや展開場所が追加されるたびに設定ミスのリスクが増大していきます。セキュリティにはテクノロジーと人的要因の両方が関係するため、些細な人為的ミスが意図せずにデータ侵害につながる可能性があります。すでに多くのシステム管理者がポリシー管理に苦戦している中、一貫性のないルールやポリシー、数か月経ってから適用されるパッチなどは、セキュリティの低下を招きかねません。

真のゼロトラストサンドボックスには、ポリシーの変更に速やかに適応し、特定された脅威をすべてのユーザーを対象としてすぐにブロックすることで、攻撃対象領域をさらに最小限に抑える機能が求められます。クラウドの効果により、1日あたり数百億件のリクエストがZscalerのセキュリティクラウドで処理される新しい脅威が特定されるたびに、その脅威はすべての場所のすべてのZscalerユーザーに対してブロックされます。

従来型のサンドボックスには、ゼロトラストの原則と合致できない欠点があります。子どもが成長するにつれて公園で遊ばなくなるように、データセンターに置かれるサンドボックスは過去の物として、実績のあるクラウド世代のサンドボックスを選択してください。Zscaler Advanced Cloud Sandboxは、高度なAI/MLモデルを活用してゼロデイ攻撃やマルウェアを阻止します。クラウド世代のサンドボックスは、未知またはポリモーフィック型の脅威や悪意のあるファイルを検出して防御し、効果的に隔離することで、マルウェアがユーザーに到達してネットワークに拡散するのを防ぎます。真のクラウドネイティブなゼロトラストプラットフォーム上に構築されたZscaler Zero Trust Exchangeは、セキュリティをユーザーに可能な限り近づけてインラインかつユビキタスな保護を実現します。

詳細は、Zscaler Cloud Sandboxをご覧ください。また、製品デモも行っていますので、ぜひこちらからお問い合わせください。