リソース > セキュリティ用語集 > ワークロード保護とは

ワークロード保護とは

ワークロード保護とは

ワークロード保護は、アプリケーション間で発生するさまざまな通信を保護する、一連のセキュリティ制御です。これらの通信には、あるクラウド内のERPソフトウェアと別のクラウドのデータベースとの通信、財務ソフトウェアやコラボレーション ツールと基幹業務(LOB)アプリケーションとの通信、CADソフトウェアとプロジェクト管理アプリケーションとのデータの交換などが含まれます。

 

ワークロード保護が重要な理由

クラウド アプリケーションはビジネス オペレーションの基盤となっており、今では従業員はクラウドにアクセスしないと業務遂行が困難な状態となっています。流れがオンプレミス主体からクラウドネイティブに急速に移行するにつれて、クラウド ワークロード保護はセキュリティ部門にとっての最優先事項になってきています。

クラウド サービス プロバイダー(特に大規模なもの)には強力なセキュリティが組み込まれており、往々にしてその安全なインフラストラクチャーを競争力の高い特徴として宣伝しています。ところが、クラウドのセキュリティに関して責任を負うのはクラウド プロバイダーである一方、責任共有モデルの下ではクラウド内に存在するものや通信されるもの(アプリケーションやワークロード、データなど)に関しては、クラウドの利用者が責任を負うことになります。

従来型の制御がクラウド アプリケーションに適していない理由

従来型のネットワークベースのテクノロジーはクラウド環境には効果的ではありません。それは、クラウド環境は弾力的であり、インフラストラクチャーとの強固に結合されておらず、セキュリティ制御を配置するための静的な境界がないためです。また、多くの企業では、複数のクラウド サービス プロバイダーとデータ センターを組み合わせてアプリケーションを収容しているため、ワークロードを一貫して可視化することが難しくなっています。そこで、アプリケーションとサービスそのものをセキュリティ計画の中核に据える必要があるのです。

制御は、アプリケーションが通過するネットワーク パスではなく、通信を行うアプリケーションとサービスのアイデンティティーに直接紐付ける必要があります。アドレスやトラフィック ルートによってソフトウェアを定義するだけでは、対処としてはもはや不十分です。これは、アドレスベースの制御は変更が発生した場合に影響を受けやすく、特にクラウド環境ではこの点が顕著なためです。そのため、セキュリティ部門は継続的に起こる変更に対処すべく、さらに多くのルールを構築していく必要が生じてしまいます。

クラウドの変動的な性質は、いくつもの課題をセキュリティ部門にもたらします。従来型のセキュリティ テクノロジーは信頼に基づいたモデルに即していますが、現在のサイバー脅威を取り巻く状況においてはもはや通用しなくなっています。境界はほぼ消失し、暗号化によってトラフィックの検査が困難になり、分散されたデータの分類には大量のリソースが必要になっている今、これらの課題を抱えるクラウドは攻撃者にとって格好の的といえます。

エンドユーザーのデバイス(デスクトップやノートパソコンなど)の保護だけを目的としたエンドポイント保護プラットフォーム(EPP)をサーバー ワークロード保護に使用している企業は、企業のデータとアプリケーションを危険にさらしています。

Gartner、クラウド ワークロード保護プラットフォームのマーケット ガイド(英語)

アプリケーションレベルでの保護が提供するさまざまなメリット

すべてのデバイスやユーザーではなく、特定のアプリケーションに関する制御を追加するワークロード保護を通じ、どのアプリケーションが通信しているのか、通信を行うべきアプリケーションはどれか、悪意のあるトラフィックの存続を許すことなく、適切なシステム同士が通信をしているかといった問題を把握しやすくなります。

これらのインサイトがあれば、検証済みのワークロードのみがパブリック、プライベート、ハイブリッド クラウド環境で通信できるようにし、リスクの軽減やデータ侵害からの最高レベルの保護を実現することが可能となります。

 

複雑さの軽減

資産とポリシーのインベントリー追跡は困難であり、クラウドのインスタンスが変更されるたびに依存関係が影響を受けるため、管理や可用性において問題が発生する可能性があります。加えて、サービスによって場所が変更される可能性があるため、クラウド内でのデータ フローのマッピングは複雑であり、監視、管理する必要があるデータポイントの数も増加してしまいます。

対照的に、ワークロード保護は追跡と保護を簡素化し、通信が行われる環境ではなくアプリケーションそのものに焦点を当てることで、変更による影響を予測します。

 

場所に依存しない一貫した保護

IPアドレス、ポート、およびプロトコルをコントロール プレーンとして使用する従来型のセキュリティ ツールは、クラウド環境には適していません。クラウドは動的な性質を持つため、これらの静的なセキュリティ制御はいつでも、かつ一日に何度も変更される可能性があり、信頼性が期待できないからです。アドレスベースの制御が持つ問題に対処するため、攻撃者が悪用できない不変のプロパティーに基づき、ワークロード保護によってソフトウェアに暗号的なフィンガープリンティングを行います。

Zscalerのゼロトラストに基づいたアイデンティティー中心のポリシーを活用すれば、面倒なアーキテクチャーの変更に煩わされることなく、一貫したワークロード保護を提供することができます。また、推奨されるアプリケーションのセグメンテーション ポリシーをワンクリックで適用でき、ネットワークの場所を問わず、すべてのクラウドベースのワークロードを一様に保護できます。

 

継続的なリスクの評価

セキュリティのプロであれば企業ネットワークが侵害に対して脆弱であることは理解していますが、ネットワークが組織に与えかねないリスクのレベル、特にアプリケーションの露出に関連するリスクのレベルを定量化できない場合がほとんどです。そこで、Zscalerは可視化されているネットワーク攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーション通信経路の数を示します。また、通信を行うソフトウェアの重要度に基づいてリスク エクスポージャーを定量化し、機械学習を使用して最小限のゼロトラスト セキュリティのポリシーを提案することで、管理を簡易化するとともにデータ侵害の可能性を大幅に低減します。

どのような場合においても、アイデンティティーベースのマイクロセグメンテーション(ゼロトラスト ネットワーク セグメンテーションとも呼ばれる、よりきめ細やかなソフトウェア定義のセグメンテーション)に対して求められる要素が増えている現状に、このソリューションが対応できる必要があります。

Gartner、クラウド ワークロード保護プラットフォームのマーケット ガイド(英語)

Zscaler Workload Segmentationのトポロジー マッピングによって、絶えず変化する環境を正確に捉えることができるほか、顧客のデータを危険にさらす潜在的な攻撃経路を排除できます。

Goulston & Storrs CIO、John Arsneault氏

ワークロード保護におけるセグメンテーションの役割

ワークロード セグメンテーションは、フラットなネットワークで許可される過剰なアクセスを排除することができるため、ワークロード保護戦略の中核となります。フラットなネットワークでは、攻撃者は水平移動を行うことができ、クラウドおよびデータ センター環境におけるワークロードの侵害も可能となってしまいます。アプリケーションのセグメンテーションまたは分離を行い、不要な経路を排除することで、潜在的な侵害は影響を受けた資産に封じ込められ、影響が生じる範囲を実質的に抑えることができます。

アプリケーションとワークロードのセグメンテーション(マイクロセグメンテーションとも呼ばれます)を行うことで、相互に通信するワークロードの特性に基づいて、ワークロードのインテリジェント グループを作成することができます。このため、マイクロセグメンテーションは、動的に変化するネットワークやネットワークに課せられたビジネスあるいは技術要件に依存しないため、より強力で信頼性の高いセキュリティを提供できるのです。

Zscaler Workload Segmentation (ZWS)は、ワンクリックでアプリケーション ワークロードのセグメンテーションを行える、これまで以上に簡単な新しい手段です。ZWSは、ネットワークを一切変更することなく、ワークロードに対してアイデンティティーベースの保護を適用します。Zscaler Workload Segmentationは以下のことを実現します。

  • ゼロトラスト セキュリティを駆使し、サーバー、クラウド ワークロード、デスクトップ間でのマルウェアやランサムウェアの水平移動を防止し、脅威を阻止する
  • 機械学習を活用した独自のシンプルなマイクロセグメンテーションにより、ポリシーの作成と継続的な管理を自動化する
  • オンプレミスおよびパブリック クラウドで通信を行うアプリケーションに関し、統一された可視性を得る

Zscaler Workload Segmentation

詳細はこちら
Zscaler Workload Segmentation

ワンクリックのゼロトラスト

データシートを読む(英語)
ワンクリックのゼロトラスト

Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例

事例を読む(英語)
Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例