ワークロード保護とは

ワークロード保護が重要な理由

クラウド アプリケーションが企業運営の基盤となりつつある今、こうしたアプリケーションへのアクセスは従業員が業務を進めるうえで不可欠となっています。各部署の生産性を向上させるために、企業はAmazon Web Services (AWS)、Microsoft Azure、Google Cloud Platformなどのベンダーが提供するクラウド インフラなどのクラウド サービスを採用しています。また多くの場合、さまざまなベンダーのSaaS、PaaS、IaaSサービスを組み合わせてマルチクラウド環境を作り出します。

世界中の組織がオンプレミスからクラウドに移行する中、クラウド ワークロード保護はセキュリティ部門にとって最優先事項となっています。

セキュリティへのフォーカス

前述したクラウド サービス プロバイダー(特に大手)は強力なサイバーセキュリティを備えており、自社のインフラが他社よりも安全であることをアピールしています。しかし、こういったクラウド プロバイダーは責任共有モデルを採用しています。つまり、クラウド インフラ自体のセキュリティについてはクラウド プロバイダーが責任を負い、クラウド内に存在するものやそこで通信されるもの(アプリケーション、ワークロード、データ)については、クラウドの利用者が責任を負うことになります。

そのため、クラウドを行き来するワークロードを保護するためのセキュリティ ソリューションが現在市場に数多く出回っています。従来のセキュリティ アーキテクチャーでは最新の脅威に対応できないことが明らかになったため、こうしたソリューションの人気は高まる一方です。その理由を理解するために、ワークロードがこれまでどのように保護されていたのか、そしてその保護のニーズが時間の経過とともにどのように変化したかを説明します。

従来型のワークロード保護

ファイアウォールや仮想マシンなどといった、従来型のネットワーク ベースの技術は、ビジネスがオンプレミスで行われ、IT部門が守るべきデータの量が今よりもはるかに少なかった時代には、ワークロード保護として適切に機能していました。当時のサイバー攻撃は現在ほど高度ではなく、システムの内部まで侵入することもなかったうえ、クラウド アプリケーションがまだ普及していなかったため、こういった保護は比較的効果を発揮していたのです。

当然ながら、ここ10年で世界は少しだけ変化しています。従業員があらゆる場所で仕事をするようになっただけでなく、クラウドやクラウドネイティブなアプリケーションが日々の生産性を高めるために必要不可欠なものとなりました。

ITやセキュリティの専門家は、従来型の技術はクラウド環境に十分対応できないことを認識しています。このクラウド環境は弾力性があり、インフラストラクチャーとの結合が緩く、セキュリティ制御を行うための静的な境界がありません。さらにほとんどの企業は、アプリケーションの格納とワークフローの通信のためにクラウド サービス プロバイダーとデータ センターを組み合わせているため、それらを一貫して可視化するタスクが複雑になっています。

つまり、アプリケーションとサービスはセキュリティ対策の周りではなくその中心に置かれる必要があるのです。

変化するダイナミクス

制御は、アプリケーションが通過するネットワーク パスではなく、通信を行うアプリケーションとサービスのアイデンティティーに直接結びつける必要があります。アドレスやトラフィック ルートでソフトウェアを定義するだけではもはや十分とはいえません。アドレスベースの制御はクラウド環境では特に変更の影響を受けやすく、セキュリティ部門はこれを補うためにより多くのルールを構築する必要があります。

クラウドの一時的な性質は、セキュリティ部門に多くの課題をもたらします。従来型のセキュリティ テクノロジーは信頼に基づいたモデルをベースにしていますが、これではサイバー脅威を取り巻く最新の状況には対応できません。境界がほとんどなく、トラフィックの暗号化によって検査も困難になり、さらに分散されたデータを分類する際にはリソースを大量に消費します。同時に、こういった課題を抱えたクラウドは攻撃者にとっては格好の標的となります。

ワークロード保護における一般的な脅威

クラウドが拡大するにつれて、そこに存在するデータを攻撃する脅威の数も増えています。検知が難しく、強力な攻撃を仕掛ける脅威が増え続ける中で、適切なワークロード保護がない組織は簡単に大混乱に陥る恐れがあります。こういった脅威には、次のようなものが含まれます。

• クラウド ランサムウェア：クラウド環境は、身代金を目当てに機密データを人質にしようと侵入してくるマルウェアやランサムウェア攻撃に耐性がありません。
• サプライ チェーン攻撃：この手の攻撃は、標的の組織が使用する製品(通常はソフトウェア)にバックドアを埋め込むことでアクセスを得ようとします。こうして、攻撃者はマルウェアなどの攻撃を許す扉として、自動パッチまたは「トロイの木馬化」されたソフトウェア アップデートを配信できるようになります。
• データ流出：定義上、「脅威」ではありませんが、クラウド コンピューティングの最大のリスクの1つです。データ流出は保護対策の死角が原因で発生する場合が多く、ユーザーのミスや悪意のある行為がデータを流出させる事態を招いています。

ワークロード保護は上述のようなクラウド リスク全般を防ぐほか、別の大きなメリットをもたらします。それについては、次のセクションで解説します。

ワークロード保護のセキュリティ上のメリット

ワークロード保護は、デバイスやユーザーに対してではなく、特定のアプリケーションに対して制御を加えることで、次のような質問に対する答えを明確にできます。

• どのアプリケーションが通信しているのか？
• どのアプリケーションが通信しているべきなのか？
• 悪意のあるトラフィックが持続することなく、適切なシステムが互いに通信しているのか？

これらの質問に関する洞察を踏まえ、パブリック、プライベート、またはハイブリッド クラウド環境で、検証済みのワークロードによる通信のみを許可することで、結果的にリスクを軽減しデータ侵害に対して最高レベルの保護を提供できるようになります。組織にセキュリティ上のメリットをもたらす、効果的なワークロード保護の例を以下に紹介します。

複雑さの軽減

資産やポリシーのインベントリーを追跡することは簡単ではありません。また、クラウドにおけるデータ フローのマッピングは、サービスの場所の変化に伴い監視や管理が必要なデータ ポイントの数が増えるため、複雑になります。ワークロード保護は、アプリケーションが通信する環境ではなくアプリケーションそのものに焦点を当てることで、追跡と保護を簡素化して変更による影響を予測します。

場所に依存しない一貫した保護

IPアドレス、ポート、プロトコルをコントロール プレーンとして使用するこれまでのセキュリティ ツールは、クラウド環境には適していません。クラウドの動的な本質に対して、このような静的なセキュリティ制御は1日の中でいつでも何度でも変更される可能性があるため、信頼性が低くなります。こうした問題に対処するために、ワークロード保護プラットフォームは、ソフトウェア自体のプロパティーに基づいて保護を割り当てます。

継続的なリスクの評価

セキュリティ担当者であれば自社の企業ネットワークが侵害に対して脆弱であることは理解していますが、ネットワークが組織に与えかねないリスクのレベル、特に外部へ公開されたアプリケーションがどの程度のリスクをもたらすかについては定量化できない場合がほとんどです。適切なワークロード保護ソリューションは、目に見えるネットワークの攻撃対象領域をリアルタイムで測定し、使用されている可能性のあるアプリケーション通信経路の数を把握できます。

ワークロード保護のためのベストプラクティス

ワークロードの保護は、適切なプラットフォームを選択することから始まります。ここでは強力なワークロード保護ソフトウェアを選ぶためのヒントをいくつか紹介します。

• DevSecOpsプラクティスを統合する：DevSecOps戦略は、ソフトウェア開発ライフサイクル(SDLC)全体にセキュリティを統合します。これにより、DevOpsチームはアプリケーションを構築および展開するにあたって、潜在的な脆弱性について心配する必要がなくなります。
• ゼロトラストでセグメンテーションを使用する：セグメンテーションはサイバー脅威の侵入と移動を抑制する戦略として、すでにその効果が実証されています。ゼロトラスト ポリシーを適用したセグメンテーションは最小特権の原則とコンテキストアウェア認証に基づいて、脅威の移動を排除します。
• クラウド ワークロード保護プラットフォーム(CWPP)を採用する：効果的なCWPPは、物理マシン、仮想マシン、Kubernetesなどのコンテナー、サーバーレス ワークロード向けに、場所に左右されることなく一貫性のある制御と可視性を提供します。

クラウド ワークロード保護プラットフォーム(CWPP)の役割

ワークロード セグメンテーションは、フラットなネットワークで許可される過剰なアクセスを排除できるため、ワークロード保護戦略の中核となります。フラットなネットワークでは、攻撃者は水平移動してクラウドやデータ センター環境のワークロードを侵害することができます。アプリケーションをセグメント化または分離して不要な経路を排除することで、潜在的な侵害は影響を受けた資産に封じ込められ、影響が生じる範囲を実質的に抑えることができます。

マイクロセグメンテーションとも呼ばれるアプリケーションとワークロードのセグメント化により、相互に通信するワークロードの特性に基づいて、ワークロードの効果的なグループ分けが可能になります。このため、マイクロセグメンテーションは、動的に変化するネットワークやネットワークに課せられたビジネスあるいは技術要件に依存しないため、より強力で信頼性の高いセキュリティを提供できます。

Zscalerのソリューション

Zscaler Workload Segmentation (ZWS)は、ワンクリックでアプリケーション ワークロードをセグメント化する簡単で新しい手段です。ZWSは、ネットワークを一切変更することなく、ワークロードに対してアイデンティティーベースの保護を適用します。Zscaler Workload Segmentationは以下を実現します。

• ゼロトラスト セキュリティを駆使し、サーバー、クラウド ワークロード、デスクトップ間でのマルウェアやランサムウェアの水平移動を防止し、脅威を阻止する
• 機械学習を活用した独自のシンプルなマイクロセグメンテーションにより、ポリシーの作成と継続的な管理を自動化する
• オンプレミスおよびパブリック クラウドで通信を行うアプリケーションに関し、統一された可視性を得る

また、通信するソフトウェアの重要性に基づいてリスク エクスポージャーを定量化し、機械学習の活用により最小限のゼロトラスト セキュリティ ポリシーを推奨することで、シンプルな管理を維持したままデータ侵害の可能性を大幅に低減します。