リソース > セキュリティ用語集 > ワークロード保護とは

ワークロード保護とは

ワークロード保護とは

セキュリティの世界では、サイバー脅威からの保護とデータ保護は誰もが聞き慣れている概念です。これらの保護はクラウドセキュリティプラットフォームから提供されるか、データセンタまたは地域のゲートウェイによって処理されるかにかかわらず、基本的には悪影響をもたらすものがネットワークへ侵入するのを防ぎ、機密データの漏洩を防止するためのものです。ワークロード保護は、アプリケーション間の通信を保護する異なる種類のセキュリティ制御です。たとえば、あるクラウド内のERPソフトウェアと別のクラウド上にあるデータベースとの間、基幹業務(LOB)アプリと財務ソフトウェアやコラボレーションツールとの間、あるいはCADソフトウェアとプロジェクト管理アプリケーションとの間のデータ交換など、アプリケーション間で発生する通信のセキュリティを保護するもので、非常に大きな可能性を秘めています。

クラウドアプリケーションはビジネスオペレーションの基盤となっており、今では従業員はクラウドにアクセスしないと業務遂行が困難な状態となっています。流れがオンプレミス主体からクラウドネイティブに急速に移行するにつれて、クラウドワークロード保護はセキュリティ部門にとっての最優先事項になってきています。

クラウドサービスプロバイダ(特に大規模なもの)には強力なセキュリティが組み込まれており、往々にしてその安全なインフラストラクチャを競争力の高い特長として宣伝しています。ところが、クラウドのセキュリティに関して責任を負うのはクラウドプロバイダである一方、責任共有モデルの下ではクラウド内に存在するものや通信されるもの(アプリケーションやワークロード、データなど)に関しては、クラウドの利用者が責任を負うことになります。

従来型の制御がクラウドアプリケーションに適していない理由

従来型のネットワークベーステクノロジは、弾力性があり、インフラストラクチャとの結合が強固ではなく、セキュリティ制御を配置するための静的な境界がないクラウド環境には効果的ではありません。また、多くの企業では、複数のクラウドサービスプロバイダとデータセンタを組み合わせてアプリケーションを収容しているため、ワークロードを一貫して可視化することが難しくなっています。そこで、アプリケーションとサービスそのものをセキュリティ計画の中核に据える必要があるのです。 

制御は、アプリケーションが通過するネットワークパスではなく、通信を行うアプリケーションとサービスのアイデンティティに直接紐付ける必要があります。アドレスやトラフィックルートによってソフトウェアを定義するだけでは、対処としてはもはや不十分です。それは、アドレスベースの制御は変更が発生した場合に影響を受けやすく、特にクラウド環境ではこの点が顕著なためです。そのため、セキュリティ部門は継続的に起こる変更に対処すべく、さらに多くのルールを構築していく必要が生じてしまいます。

クラウドの変動的な性質は、いくつもの課題をセキュリティ部門にもたらします。従来型のセキュリティテクノロジは信頼に基づいたモデルに即していますが、現在のサイバー脅威を取り巻く状況においてはもはや通用しなくなっています。境界はほぼ消失し、暗号化によってトラフィックの検査が困難になり、分散されたデータの分類には大量のリソースが必要になっている今、これらの課題を抱えるクラウドは攻撃者にとって格好の的と言えます。

エンドユーザのデバイス(デスクトップやノートパソコンなど)の保護だけを目的としたエンドポイント保護プラットフォーム(EPP)をサーバーワークロード保護に使用している企業は、企業のデータとアプリケーションを危険にさらしています。

Gartner、Market Guide for Cloud Workload Protection Platforms(英語)

アプリケーションレベルでの保護が提供するさまざまな利点

すべてのデバイスやユーザではなく、特定のアプリケーションの周辺に制御を追加することで、ワークロード保護はどのアプリケーションが通信しているのか、通信を行うべきアプリケーションはどれか、悪意のあるトラフィックの存続を許すことなく適切なシステム同士が通信をしているかといった問題を把握しやすくなります。

これらの洞察があれば、検証済みのワークロードのみがパブリック、プライベート、ハイブリッドクラウド環境で通信できるようにし、リスクの軽減やデータ侵害からの最高レベルの保護を実現することが可能となります。

 

複雑さの軽減

資産とポリシーのインベントリ追跡は困難であり、クラウドのインスタンスが変更されるたびに依存関係が影響を受けるため、管理や可用性において問題が発生する可能性があります。加えて、サービスによってロケーションが変更される可能性があるため、クラウド内でのデータフローのマッピングは複雑であり、モニタリングおよび管理する必要があるデータポイントの数も増加してしまいます。 

対照的に、ワークロード保護は追跡と保護を簡素化し、通信が行われる環境ではなくアプリケーションそのものに焦点を当てることで、変更による影響を予測します。 

 

ロケーションに依存しない一貫した保護

IPアドレス、ポート、およびプロトコルをコントロールプレーンとして使用する従来型のセキュリティツールは、クラウド環境には適していません。クラウドは動的な性質を持つため、これらの静的なセキュリティ制御はいつでも、しかも一日に何度も変更される可能性があり、信頼性が期待できないからです。アドレスベースの制御が持つ問題に対処するため、攻撃者が悪用できない不変のプロパティに基づき、ワークロード保護によってソフトウェアに暗号的なフィンガープリントを行います。 

Zscalerのゼロトラストに基づいたアイデンティティ中心のポリシーを活用すれば、面倒なアーキテクチャ変更に煩わされることなく、一貫したワークロード保護を提供することができます。また、推奨されるアプリケーションのセグメンテーションポリシーをワンクリックで適用でき、ネットワークのロケーションを問わず、すべてのクラウドベースのワークロードを一様に保護できます。

 

継続的なリスク評価

セキュリティのプロであれば企業ネットワークが侵害に対して脆弱であることは理解していますが、ネットワークが組織に与えかねないリスクのレベル、特にアプリケーションの露出に関連するリスクのレベルを定量化できない場合がほとんどです。そこで、Zscalerは目に見えるネットワーク攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーション通信経路の数を把握します。また、通信を行うソフトウェアの重要度に基づいてリスクエクスポージャーを定量化し、機械学習を使用して最小限のゼロトラストセキュリティのポリシーを提案することで、管理を簡易化するとともにデータ侵害の可能性を大幅に低減します。

どのような場合においても、アイデンティティベースのマイクロセグメンテーション(ゼロトラストネットワークセグメンテーションとも呼ばれる、よりきめ細やかなソフトウェア定義のセグメンテーション)に対して求められる要素が増えている現状に、ソリューションが対応できる必要があります。

Gartner、Market Guide for Cloud Workload Protection Platforms(英語)

Zscaler Workload Segmentationのトポロジマッピングによって、絶えず変化する環境を正確に捉えることができるほか、顧客のデータを危険にさらす潜在的な攻撃経路を排除できます。

Goulston & Storrs CIO、John Arsneault氏

ワークロード保護におけるセグメンテーションの役割

ワークロードセグメンテーションは、フラットなネットワークで許可される過剰なアクセスを排除することができるため、ワークロード保護戦略の中核となります。フラットなネットワークでは、攻撃者は水平移動を行うことができ、クラウドおよびデータセンタ環境におけるワークロードの侵害も可能となってしまいます。アプリケーションのセグメンテーションまたは分離を行い、不要な経路を排除することで、潜在的な侵害は影響を受けた資産に封じ込められ、影響が生じる範囲を実質的に抑えることができます。

アプリケーションとワークロードのセグメンテーション(マイクロセグメンテーションとも呼ばれます)を行うことで、相互に通信するワークロードの特性に基づいて、ワークロードのインテリジェントグループを作成することができます。このため、マイクロセグメンテーションは、動的に変化するネットワークやネットワークに課せられたビジネスあるいは技術要件に依存しないため、より強力で信頼性の高いセキュリティを提供できるのです。

Zscaler Workload Segmentation(ZWS)は、ワンクリックでアプリケーションワークロードのセグメンテーションを行える、これまで以上に簡単な新しい手段です。ZWSは、ネットワークを一切変更することなく、ワークロードに対してアイデンティティベースの保護を適用します。Zscaler Workload Segmentationは以下のことを実現します。

  • ゼロトラストセキュリティを駆使し、サーバ、クラウドワークロード、デスクトップ間でのマルウェアやランサムウェアの水平移動を防止し、脅威を阻止すること
  • 機械学習を活用した独自のシンプルなマイクロセグメンテーションにより、ポリシーの作成と継続的な管理を自動化すること
  • オンプレミスおよびパブリッククラウドで通信を行うアプリケーションに関し、統一された可視性を得ること

Zscaler Workload Segmentation

詳細はこちら
Zscaler Workload Segmentation

ワンクリックのゼロトラスト

データシートを読む(英語)
ワンクリックのゼロトラスト

Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例

事例を読む(英語)
Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例