パートナーをオフネットワークにし、
部分的なアプリケーションアクセスだけを許可する
パートナーに対して過剰なアクセス権が付与されている
多くの企業が、サードパーティのパートナーによるセキュリティ侵害の被害者になっています。認証情報の漏洩あるいはデバイスの感染のいずれのセキュリティ侵害であっても、ネットワークがリスクにさらされ、重要なデータが外部に流出し、深刻な損害を被る可能性があります。
ほとんどのリモートアクセスソリューションが、サードパーティパートナーに全面的なネットワークアクセスを許可しています。これらの過剰な権限が与えられたユーザが企業にとって大きなリスクとなるのは、管理者が企業のネットワークに接続するパートナーやデバイスをコントロールできないためです。
それでは、強力かつ生産性の高いパートナーシップを育成し、それと同時に、ネットワークやプライベートアプリケーションも保護するには、どうすればよいのでしょうか?

アプリケーションアクセスを必要とするパートナーに、
ネットワーク全体へのアクセスを許可するか?
セキュリティの脅威がますます危険なものになっていることから、水平移動も可能にする、ネットワークへの完全アクセスをパートナーにまで拡大するのは危険です。とは言え、一部のプライベートアプリケーションについては、パートナーにもアクセスを提供する必要があるでしょう。この問題を解決するには、アプリケーションアクセスをネットワークから切り離し、個々のユーザとアプリに基づいてアクセスをセグメンテーションする必要があり、ゼロトラスト ネットワーク アクセス(ZTNA)テクノロジの利用が、それを可能する唯一の方法となります。
ほとんどのリモートアクセスソリューションがネットワーク中心であるのに対し、ZTNAは、ユーザ(従業員、サードパーティのパートナー、取引業者)と認可されたエンタープライズアプリケーションの間に安全な接続を提供するという考え方に基づいています。その結果、アクセスのマイクロセグメンテーションが可能になるため、セキュリティを維持しつつ、過剰な権限をサードパーティのアクセスに許可することで発生するリスクを軽減できます。
セキュリティ
導入前:サードパーティのパートナーや契約社員がネットワークを水平移動できたことから、企業が不要なリスクにさらされていました。
導入後:ゼロトラストアクセスでは、ネットワークではなく、承認されたプライベートアプリケーションだけに対するアクセスがパートナーに許可されます。
シンプルさ
導入前:リモートアクセスソリューションでは、管理対象デバイスあるいは個人のデバイスにクライアントをダウンロードする必要がありました。
導入後:ブラウザアクセスの機能を利用した、パートナーセキュアアクセスがシームレスに可能になり、デバイスや場所に関係なく、ユーザがブラウザを利用するだけで、承認されたアプリケーションにアクセスできるようになります。
可視性とコントロール
導入前:リモートアクセスソリューションでは、パートナーの活動の可視性はIPアドレスとポートデータに限られていました。
導入後:ZTNAソリューションによって、パートナーのあらゆるアクティビティを、ユーザ、デバイス、指定したアプリのレベルまでの包括的な可視化が可能になります。
ゼロトラスト ネットワーク アクセス(ZTNA)サービスであれば、サードパーティのリスクを容易に排除できます。
Zscaler Private Access は、 ZTNA ユーザとアプリケーションを中心としたアプローチでネットワークセキュリティを実現するサービスです。従業員、契約社員、あるいはサードパーティのパートナーのどのユーザであるかにかかわらず、承認されたユーザやデバイスだけに特定の内部アプリケーションへのアクセスが許可されます。ネットワークへのアクセスは付与されません。物理的または仮想のアプライアンスに頼るのではなく、ZPAはインフラに依存しない軽量のソフトウェアを使用ます。それをブラウザアクセス機能と組み合わせ、 Zscaler Security Cloud 内でつなぎ合わされたインサイドアウト接続を介して、あらゆるタイプのユーザをアプリケーションにシームレスに接続します。

SDP(Software-Defined Perimeter)の概念
1. ブラウザアクセスサービス
- トラフィックをIDPにリダイレクトして認証
- デバイスにクライアントは不要
2. ZPAパブリックサービスエッジ
- ユーザ/アプリ間接続を保護
- カスタマイズされたすべての管理ポリシーを適用
3. App Connector
- Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
- ブローカへの内側から外側へのTLS 1.2接続を提供
- アプリを外部に公開されないようにすることで、DDoS攻撃を防止

「Citrixを作成してユーザが環境に接続し、社内の登録サイトにさらに移動して2つ目の要素のトークンを登録するのではなく、ZPAのクライアントレスアクセス経由でZPAを送信先にするだけで、驚くほどうまくいきました」
Casey Lee氏
National Oilwell Varco、ITセキュリティ担当ディレクタ
ブラウザアクセスによって、パートナーのセキュアアクセスが数分で完了
ZPAブラウザアクセスにより、クライアントを必要とすることなく、安全なアプリケーションアクセスが、サードパーティパートナーとユーザの両方に許可されます。パートナーは、企業のGW経由でエンタープライズアプリケーションにアクセスする必要がなくなり、自分のデバイスを使用して、インターネット経由で簡単にアプリにアクセスできます。結果として、パートナーアクセスの高度なコントロールが可能になり、ユーザが、時間、デバイス、場所の制限なく、プライベートアプリケーションに接続できるようになります。
メリット
- シームレスなユーザエクスペリエンスをパートナーとユーザに提供
- BYODからの安全なアプリアクセス
- すべての内部Webアプリのサポート
- 主要IDPとの統合


CSM Bakeryが、ZTNAテクノロジを採用して、世界中の何千人ものユーザに安全なプライベートアプリへのアクセスを提供した方法をご覧ください。