Zscaler Workload Segmentationのデモをリクエストして、クラウド対応型のCWPPがどのような効果を発揮するかご確認ください。
クラウド アプリケーションが企業運営の基盤となりつつある今、こうしたアプリケーションへのアクセスは従業員が業務を進めるうえで不可欠となっています。各部署の生産性を向上させるために、企業はAmazon Web Services (AWS)、Microsoft Azure、Google Cloud Platformなどのベンダーが提供するクラウド インフラなどのクラウド サービスを採用しています。また多くの場合、さまざまなベンダーのSaaS、PaaS、IaaSサービスを組み合わせてマルチクラウド環境を作り出します。
世界中の組織がオンプレミスからクラウドに移行する中、クラウド ワークロード保護はセキュリティ部門にとって最優先事項となっています。
前述したクラウド サービス プロバイダー(特に大手)は強力なサイバーセキュリティを備えており、自社のインフラが他社よりも安全であることをアピールしています。しかし、こういったクラウド プロバイダーは責任共有モデルを採用しています。つまり、クラウド インフラ自体のセキュリティについてはクラウド プロバイダーが責任を負い、クラウド内に存在するものやそこで通信されるもの(アプリケーション、ワークロード、データ)については、クラウドの利用者が責任を負うことになります。
そのため、クラウドを行き来するワークロードを保護するためのセキュリティ ソリューションが現在市場に数多く出回っています。従来のセキュリティ アーキテクチャーでは最新の脅威に対応できないことが明らかになったため、こうしたソリューションの人気は高まる一方です。その理由を理解するために、ワークロードがこれまでどのように保護されていたのか、そしてその保護のニーズが時間の経過とともにどのように変化したかを説明します。
ファイアウォールや仮想マシンなどといった、従来型のネットワーク ベースの技術は、ビジネスがオンプレミスで行われ、IT部門が守るべきデータの量が今よりもはるかに少なかった時代には、ワークロード保護として適切に機能していました。当時のサイバー攻撃は現在ほど高度ではなく、システムの内部まで侵入することもなかったうえ、クラウド アプリケーションがまだ普及していなかったため、こういった保護は比較的効果を発揮していたのです。
当然ながら、ここ10年で世界は少しだけ変化しています。従業員があらゆる場所で仕事をするようになっただけでなく、クラウドやクラウドネイティブなアプリケーションが日々の生産性を高めるために必要不可欠なものとなりました。
ITやセキュリティの専門家は、従来型の技術はクラウド環境に十分対応できないことを認識しています。このクラウド環境は弾力性があり、インフラストラクチャーとの結合が緩く、セキュリティ制御を行うための静的な境界がありません。さらにほとんどの企業は、アプリケーションの格納とワークフローの通信のためにクラウド サービス プロバイダーとデータ センターを組み合わせているため、それらを一貫して可視化するタスクが複雑になっています。
つまり、アプリケーションとサービスはセキュリティ対策の周りではなくその中心に置かれる必要があるのです。
制御は、アプリケーションが通過するネットワーク パスではなく、通信を行うアプリケーションとサービスのアイデンティティーに直接結びつける必要があります。アドレスやトラフィック ルートでソフトウェアを定義するだけではもはや十分とはいえません。アドレスベースの制御はクラウド環境では特に変更の影響を受けやすく、セキュリティ部門はこれを補うためにより多くのルールを構築する必要があります。
クラウドの一時的な性質は、セキュリティ部門に多くの課題をもたらします。従来型のセキュリティ テクノロジーは信頼に基づいたモデルをベースにしていますが、これではサイバー脅威を取り巻く最新の状況には対応できません。境界がほとんどなく、トラフィックの暗号化によって検査も困難になり、さらに分散されたデータを分類する際にはリソースを大量に消費します。同時に、こういった課題を抱えたクラウドは攻撃者にとっては格好の標的となります。
Gartner, Market Guide for Cloud Workload Protection Platforms
クラウドが拡大するにつれて、そこに存在するデータを攻撃する脅威の数も増えています。検知が難しく、強力な攻撃を仕掛ける脅威が増え続ける中で、適切なワークロード保護がない組織は簡単に大混乱に陥る恐れがあります。こういった脅威には、次のようなものが含まれます。
ワークロード保護は上述のようなクラウド リスク全般を防ぐほか、別の大きなメリットをもたらします。それについては、次のセクションで解説します。
ワークロード保護は、デバイスやユーザーに対してではなく、特定のアプリケーションに対して制御を加えることで、次のような質問に対する答えを明確にできます。
これらの質問に関する洞察を踏まえ、パブリック、プライベート、またはハイブリッド クラウド環境で、検証済みのワークロードによる通信のみを許可することで、結果的にリスクを軽減しデータ侵害に対して最高レベルの保護を提供できるようになります。組織にセキュリティ上のメリットをもたらす、効果的なワークロード保護の例を以下に紹介します。
資産やポリシーのインベントリーを追跡することは簡単ではありません。また、クラウドにおけるデータ フローのマッピングは、サービスの場所の変化に伴い監視や管理が必要なデータ ポイントの数が増えるため、複雑になります。ワークロード保護は、アプリケーションが通信する環境ではなくアプリケーションそのものに焦点を当てることで、追跡と保護を簡素化して変更による影響を予測します。
IPアドレス、ポート、プロトコルをコントロール プレーンとして使用するこれまでのセキュリティ ツールは、クラウド環境には適していません。クラウドの動的な本質に対して、このような静的なセキュリティ制御は1日の中でいつでも何度でも変更される可能性があるため、信頼性が低くなります。こうした問題に対処するために、ワークロード保護プラットフォームは、ソフトウェア自体のプロパティーに基づいて保護を割り当てます。
セキュリティ担当者であれば自社の企業ネットワークが侵害に対して脆弱であることは理解していますが、ネットワークが組織に与えかねないリスクのレベル、特に外部へ公開されたアプリケーションがどの程度のリスクをもたらすかについては定量化できない場合がほとんどです。適切なワークロード保護ソリューションは、目に見えるネットワークの攻撃対象領域をリアルタイムで測定し、使用されている可能性のあるアプリケーション通信経路の数を把握できます。
Gartner, Market Guide for Cloud Workload Protection Platforms
John Arsneault氏, Goulston & Storrs CIO
ワークロードの保護は、適切なプラットフォームを選択することから始まります。ここでは強力なワークロード保護ソフトウェアを選ぶためのヒントをいくつか紹介します。
ワークロード セグメンテーションは、フラットなネットワークで許可される過剰なアクセスを排除できるため、ワークロード保護戦略の中核となります。フラットなネットワークでは、攻撃者は水平移動してクラウドやデータ センター環境のワークロードを侵害することができます。アプリケーションをセグメント化または分離して不要な経路を排除することで、潜在的な侵害は影響を受けた資産に封じ込められ、影響が生じる範囲を実質的に抑えることができます。
マイクロセグメンテーションとも呼ばれるアプリケーションとワークロードのセグメント化により、相互に通信するワークロードの特性に基づいて、ワークロードの効果的なグループ分けが可能になります。このため、マイクロセグメンテーションは、動的に変化するネットワークやネットワークに課せられたビジネスあるいは技術要件に依存しないため、より強力で信頼性の高いセキュリティを提供できます。
Zscaler Workload Segmentation (ZWS)は、ワンクリックでアプリケーション ワークロードをセグメント化する簡単で新しい手段です。ZWSは、ネットワークを一切変更することなく、ワークロードに対してアイデンティティーベースの保護を適用します。Zscaler Workload Segmentationは以下を実現します。
また、通信するソフトウェアの重要性に基づいてリスク エクスポージャーを定量化し、機械学習の活用により最小限のゼロトラスト セキュリティ ポリシーを推奨することで、シンプルな管理を維持したままデータ侵害の可能性を大幅に低減します。
Zscaler Workload Segmentationのデモをリクエストして、クラウド対応型のCWPPがどのような効果を発揮するかご確認ください。
Zscaler Workload Protection
ソリューションを見る(英語)クラウド ワークロード保護プラットフォーム(CWPP)とは
記事を読む(英語)CWPPによるシフト レフトとシフト ダウン
ブログを読む(英語)CNAPPとクラウド ワークロード保護