ゼロトラストを実現したMAN Energy Solutions

従来のセキュリティ アプローチの限界

ビジネスの世界展開と並行して、世界で展開するあらゆる規模のエンジンやシステムのIoTなど、テクノロジーには急速な変化が生じており、その多くは輸送機関で稼働しています。同時に、世界規模に大きく分散している従業員はさらにモバイル化し、Web アプリやカスタム ビジネス アプリケーションへのモバイル アクセスを必要としています。

ネットワークとアプリケーションのセキュリティに対する従来型の「城と堀」方式のアプローチは、ワークロードがAWSやAzureに移行してインターネットが新しい企業ネットワークとなった現状では、世界規模のビジネスやアクセス、セキュリティ ポスチャーの改善の可能性を実現する最新のクラウド展開の環境には対応できません。このような環境で必要とされるのは、アプリケーションがインターネットに公開されないように、認証されたアクセスを使用して、信頼できるユーザーを信頼できるアプリケーションに接続する方法です。

従来型のVPNソリューションによってアプリケーションにアクセスする方法では、ユーザー エクスペリエンスが低く、アプライアンスやソフトウェア、MPLSネットワーキングのコストが増えてしまいます。そのため、MAN Energy Solutionsはクラウドの導入によるスピードと俊敏性の改善というメリットが相殺されると感じていました。また、アプリがインターネット上で不可視化されるようにセキュリティを強化したいとも考えていました。

「以前は、検出可能なアクセス ポートへの従来のVPNを使って、分散されたモバイル ワーカーがアプリケーションにアクセスできるようにしていました。しかし、パフォーマンスの問題に加え、ユーザー エクスペリエンスの面で社内から不満の声が上がっていました。当時のセキュリティ スタンスは、その潜在能力を発揮できていなかったのです。この状況は、AWSとAzureの導入によって得られるものとは矛盾していました(Tony Fergusson氏、MAN ITインフラストラクチャー アーキテクト)」「また、社内の比較的小規模の運用チームがオンプレミスのインフラストラクチャーを管理していましたが、データ セットやリアルタイム分析、アプリ アクセスへのニーズは急増していました。社内アプリケーションを最新化して、より多くのデータ ソースをオンライン化し、高度な製品およびテクノロジーを世界規模に展開するようになると、状況はさらに困難になったのです」

Zscalerのゼロトラストの力

クラウドへの移行によって、MAN Energy Solutions（MAN）は、ビジネスの課題の解決にあたっての確かなメリットを手に入れることができました。「他社が続々とグローバル規模でクラウド実装に成功し、多くのユースケースを目にしたことから、自社のテクニカルな目標を解決できるアーキテクチャを特定することができました（ファーガソン氏）」

MANがZscalerを採用したのは2011年。ユーザエクスペリエンスの向上、帯域幅コストの削減、厳しさを増すセキュリティの目標を達成するため、導入を決断しました。MANはまず、Zscaler Internet Access (ZIA)を使って、世界中に分散するモバイルユーザをSaaSアプリケーションに接続することにし、APT（標的型攻撃）の要件の解決にも、Zscalerを採用しました。

その後Zscaler Private Access (ZPA)が採用され、モバイル ワーカーや請負業者がオンプレミスで実行されているアプリケーションに時間や場所を問わずアクセスできるようになりました。また最近では、AWSとAzureで実行されるアプリケーションへの安全なアクセスにもZPAが利用されるようになったことで、ネットワーク コストの削減とモバイル ユーザーのエクスペリエンス向上が同時に実現しました。

内部アプリケーションへのゼロトラスト アクセス

Zscaler Private Access (ZPA)は、VPNに関連するコストや複雑さ、セキュリティ リスクを排除し、ポリシー ベースによるプライベート アプリケーションやアセットへの安全なアクセスを提供にします。内部アプリケーションを権限のないユーザーに対して「不可視化」させるという考え方は、ソフトウェア定義のネットワーク(SDN)の導入以来浸透してきています。ゼロトラスト モデルのアプローチでは、サービスが外部に対して不可視化されるため、アプリケーションとユーザーの両方をSAMLを使用して承認することで初めて、ユーザー アクセスが確立されます。

「私たちはゼロトラスト モデル、またはブラック クラウド(SDP)と呼ばれるモデルを実装することができました。ソリューションの実装によって攻撃対象領域が縮小し、従来のアプローチをこの最新の安全なクラウドファーストのシステムに置き替えることができたのです。また、ユーザーの権限をきめ細かく制御できるため、各従業員および請負業者は必要なものだけにアクセスできるようになりました」とFergusson氏は述べます。このように、ZPAによって、ネットワークではなくアプリケーションで請負業者のアクセスをセグメンテーションすることが可能です。

このアプローチによって、クライアントからサーバーへのアクセスを可能としつつ、その逆は許可しないよう設定することができ、不正ソフトウェアのラテラル ムーブメントも防止できます。これら2つの考え方を組み合わせることで、アクセスの許可はすべてのセッションの検証が完了してから行われるため、悪意あるラテラル ムーブメントを防止できます。ゼロトラスト モデルを前提に、ユーザー認証、承認、既知と未知のアプリケーションに基づいてポリシーを適用することで、セキュリティを強化できます。

世界規模でユーザーを接続する最新のアプローチ

社内のビジネス アプリや開発プロジェクトのクラウドへの移行、クラウド サービスの拡大、世界中に分散する従業員やパートナーの増加に伴う早急なアクセス提供が求められている点などのビジネス上の要因もあり、エンドユーザーをアプリに接続する、より高速で安全な方法を必要としていました。このような方法によってビジネスの柔軟性や俊敏性は向上しますが、従来のVPNアプローチに依存し続けるのであれば、ITとネットワークの両方のリソースの負担は増大するばかりです。

Zscalerのクラウドは、強力で優れた代替手段として、リモートアクセスへの従来のハードウェアやソフトウェアのセキュリティスタックの必要性を排除し、移動中のエンドユーザによるVPNクライアントやリモートアクセスのヒューリスティックを解消、トラフィックの代替パスを提供します。結果として、インターネットベース接続のMPLSトンネルの必要性が少なくなります。

スピード、俊敏性、パフォーマンスの向上

MAN Energy Solutionsは、複雑さとコストの削減と同時に、エンド ユーザーのエクスペリエンス向上も実現しました。エンド ユーザーが内部アプリケーションにアクセスする際、そのアプリケーションがデータ センターあるいはクラウドのどちらで実行されていても、完全にシームレスでクラウドのようなエクスペリエンスを実感できるようになりました。ユーザーは、Zscalerのグローバル クラウド経由でアプリケーションに直接つながるため、従来のリモート アクセスで生じていたチョーク ポイントを完全に迂回できます。

結果として、アプリケーションのホスティング場所が完全に柔軟になり、TLSベースの暗号化されたマイクロトンネル接続によって機密データが保護されます。ユーザーがネットワーク上に置かれることはなく、アプリケーションが未承認のユーザーに公開されることもありません。従来のソリューションで悩まされることが多い複雑さも、クラウドで軽減されます。

VPNインフラストラクチャーとソフトウェアのライセンスが不要になったことで、2桁のコスト削減率を実現し、帯域幅制御によって重要なトラフィックをWebの閲覧などの優先度の低いトラフィックより優先させることで、ネットワーク パフォーマンスも向上しました。

最大の技術的なメリットの1つは、攻撃対象領域を抑え、すべての管理の保護をAWSとAzureに集約できた点です。MANは、ZPAのロギングおよび分析クラスターを活用してSIEMへのログ ストリーミングを行い、ユーザー アクセスとアクティビティーへの可視性を高めています。

Fergusson氏は、「新しいVPCの導入と新しい名前空間の作成を数分で行えます。名前空間のルーティングを使用できるため、IPではなく名前空間に基づいてトラフィックを制御できることは、我々にとって大きなメリットです。これによって効果的なポリシーを作成できるようになり、ネットワークのコストと複雑さを減らすこともできます。コンサルタントのオンボーディング プロセスもはるかに速くなり、数週間ではなく数時間以内のオンボーディングが可能になりました」と語りました。