ゼロトラストを実現したMAN Energy SolutionsZscaler Private Accessを活用した事例

ビジネスの世界展開と並行して、世界で展開するあらゆる規模のエンジンやシステムのIoTなど、テクノロジーには急速な変化が生じており、その多くは輸送機関で稼働しています。同時に、世界規模に大きく分散している従業員はさらにモバイル化し、Web アプリやカスタム ビジネス アプリケーションへのモバイル アクセスを必要としています。

ネットワークとアプリケーションのセキュリティに対する従来型の「城と堀」方式のアプローチは、ワークロードがAWSやAzureに移行してインターネットが新しい企業ネットワークとなった現状では、世界規模のビジネスやアクセス、セキュリティ ポスチャーの改善の可能性を実現する最新のクラウド展開の環境には対応できません。このような環境で必要とされるのは、アプリケーションがインターネットに公開されないように、認証されたアクセスを使用して、信頼できるユーザーを信頼できるアプリケーションに接続する方法です。

従来型のVPNソリューションによってアプリケーションにアクセスする方法では、ユーザー エクスペリエンスが低く、アプライアンスやソフトウェア、MPLSネットワーキングのコストが増えてしまいます。そのため、MAN Energy Solutionsはクラウドの導入によるスピードと俊敏性の改善というメリットが相殺されると感じていました。また、アプリがインターネット上で不可視化されるようにセキュリティを強化したいとも考えていました。

「以前は、検出可能なアクセス ポートへの従来のVPNを使って、分散されたモバイル ワーカーがアプリケーションにアクセスできるようにしていました。しかし、パフォーマンスの問題に加え、ユーザー エクスペリエンスの面で社内から不満の声が上がっていました。当時のセキュリティ スタンスは、その潜在能力を発揮できていなかったのです。この状況は、AWSとAzureの導入によって得られるものとは矛盾していました(Tony Fergusson氏、MAN ITインフラストラクチャー アーキテクト)」「また、社内の比較的小規模の運用チームがオンプレミスのインフラストラクチャーを管理していましたが、データ セットやリアルタイム分析、アプリ アクセスへのニーズは急増していました。社内アプリケーションを最新化して、より多くのデータ ソースをオンライン化し、高度な製品およびテクノロジーを世界規模に展開するようになると、状況はさらに困難になったのです」

クラウドへの移行によって、MAN Energy Solutions (MAN)は、ビジネス課題の解決にあたって確固たるメリットを得られました。同社のTony Fergusson氏は「他社が続々と世界規模のユースケースをクラウドに実装するのを目の当たりにするなか、自社の技術的な目標を解決できるアーキテクチャーを特定することができました」と述べています。

MANは2011年にZscalerを採用し、ユーザー エクスペリエンスの向上、帯域幅コストの削減、増え続けるまでセキュリティの目標を達成することを目指しました。MANはまずZIA (Zscaler Internet Access)を使って、世界中に分散するモバイル ユーザーをSaaSアプリケーションに接続し、その後APT(標的型攻撃)の要件の解決にもZscalerを採用しました。

その後Zscaler Private Access (ZPA)が採用され、モバイル ワーカーや請負業者がオンプレミスで実行されているアプリケーションに時間や場所を問わずアクセスできるようになりました。また最近では、AWSとAzureで実行されるアプリケーションへの安全なアクセスにもZPAが利用されるようになったことで、ネットワーク コストの削減とモバイル ユーザーのエクスペリエンス向上が同時に実現しました。

Zscaler Private Access (ZPA)は、VPNに関連するコストや複雑さ、セキュリティ リスクを排除し、ポリシー ベースによるプライベート アプリケーションやアセットへの安全なアクセスを提供にします。内部アプリケーションを権限のないユーザーに対して「不可視化」させるという考え方は、ソフトウェア定義のネットワーク(SDN)の導入以来浸透してきています。ゼロトラスト モデルのアプローチでは、サービスが外部に対して不可視化されるため、アプリケーションとユーザーの両方をSAMLを使用して承認することで初めて、ユーザー アクセスが確立されます。

「私たちはゼロトラスト モデル、またはブラック クラウド(SDP)と呼ばれるモデルを実装することができました。ソリューションの実装によって攻撃対象領域が縮小し、従来のアプローチをこの最新の安全なクラウドファーストのシステムに置き替えることができたのです。また、ユーザーの権限をきめ細かく制御できるため、各従業員および請負業者は必要なものだけにアクセスできるようになりました」とFergusson氏は述べます。このように、ZPAによって、ネットワークではなくアプリケーションで請負業者のアクセスをセグメンテーションすることが可能です。

このアプローチによって、クライアントからサーバーへのアクセスを可能としつつ、その逆は許可しないよう設定することができ、不正ソフトウェアの水平移動も防止できます。これら2つの考え方を組み合わせることで、アクセスの許可はすべてのセッションの検証が完了してから行われるため、悪意ある水平移動を防止できます。ゼロトラスト モデルを前提に、ユーザー認証、承認、既知と未知のアプリケーションに基づいてポリシーを適用することで、セキュリティを強化できます。

社内のビジネス アプリや開発プロジェクトのクラウドへの移行、クラウド サービスの拡大、世界中に分散する従業員やパートナーの増加に伴う早急なアクセス提供が求められている点などのビジネス上の要因もあり、エンドユーザーをアプリに接続する、より高速で安全な方法を必要としていました。このような方法によってビジネスの柔軟性や俊敏性は向上しますが、従来のVPNアプローチに依存し続けるのであれば、ITとネットワークの両方のリソースの負担は増大するばかりです。

このような状況において、Zscalerクラウドは強力で洗練されたソリューションとして活用できます。リモート アクセスに向けた従来のハードウェアやソフトウェアのセキュリティ スタックの必要性を排除し、移動中のエンドユーザーによるVPNクライアントやリモート アクセスのヒューリスティックを解消、トラフィックの代替の経路を提供でき、インターネットベース接続のMPLSトンネルの必要性が低減されます。

MAN Energy Solutionsは、複雑さとコストの削減と同時に、エンド ユーザーのエクスペリエンス向上も実現しました。エンド ユーザーが内部アプリケーションにアクセスする際、そのアプリケーションがデータ センターあるいはクラウドのどちらで実行されていても、完全にシームレスでクラウドのようなエクスペリエンスを実感できるようになりました。ユーザーは、Zscalerのグローバル クラウド経由でアプリケーションに直接つながるため、従来のリモート アクセスで生じていたチョーク ポイントを完全に迂回できます。

結果として、アプリケーションのホスティング場所が完全に柔軟になり、TLSベースの暗号化されたマイクロトンネル接続によって機密データが保護されます。ユーザーがネットワーク上に置かれることはなく、アプリケーションが未承認のユーザーに公開されることもありません。従来のソリューションで悩まされることが多い複雑さも、クラウドで軽減されます。

VPNインフラストラクチャーとソフトウェアのライセンスが不要になったことで、2桁のコスト削減率を実現し、帯域幅制御によって重要なトラフィックをWebの閲覧などの優先度の低いトラフィックより優先させることで、ネットワーク パフォーマンスも向上しました。

最大の技術的なメリットの1つは、攻撃対象領域を抑え、すべての管理の保護をAWSとAzureに集約できた点です。MANは、ZPAのロギングおよび分析クラスターを活用してSIEMへのログ ストリーミングを行い、ユーザー アクセスとアクティビティーへの可視性を高めています。

Fergusson氏は、「新しいVPCの導入と新しい名前空間の作成を数分で行えます。名前空間のルーティングを使用できるため、IPではなく名前空間に基づいてトラフィックを制御できることは、我々にとって大きなメリットです。これによって効果的なポリシーを作成できるようになり、ネットワークのコストと複雑さを減らすこともできます。コンサルタントのオンボーディング プロセスもはるかに速くなり、数週間ではなく数時間以内のオンボーディングが可能になりました」と語りました。