ソリューション > セキュアサードパーティアクセス向けZPA

パートナーをオフネットワークにし、

部分的なアプリケーションアクセスだけを許可する

ソリューションブリーフを読む

パートナーに対して過剰な
アクセス権が付与されている

多くの企業が、サードパーティのパートナーによるセキュリティ侵害の被害者になっています。認証情報の漏洩あるいはデバイスの感染のいずれのセキュリティ侵害であっても、ネットワークがリスクにさらされ、重要なデータが外部に流出し、深刻な損害を被る可能性があります。

ほとんどのリモートアクセスソリューションが、サードパーティパートナーに全面的なネットワークアクセスを許可しています。これらの過剰な権限が与えられたユーザが企業にとって大きなリスクとなるのは、管理者が企業のネットワークに接続するパートナーやデバイスをコントロールできないためです。

それでは、強力かつ生産性の高いパートナーシップを育成し、それと同時に、ネットワークやプライベートアプリケーションを保護するには、どうすればよいのでしょうか?

図:従来型VPNでは、パートナーユーザとBYODデバイスがネットワークに接続し、完全アクセスによって水平移動が可能になることを説明

アプリケーションアクセスを必要とするパートナーに、
ネットワーク全体へのアクセスを許可するか?

セキュリティの脅威がますます高度で悪質なものになっていることから、ネットワークの水平移動を可能にする完全アクセスをパートナーに付与するのは、あまりに危険です。しかしながら、それと同時に、一部のプライベートアプリケーションへのアクセスをパートナーに認める必要はあるでしょう。アプリケーションアクセスをネットワークアクセスから切り離し、ユーザやアプリの単位でアクセスをセグメンテーションする方法が必要とされており、それを可能にする唯一の方法が、SDP(Software-Defined Perimeter)テクノロジの採用です。

SDPは、プライベートアプリケーションアクセステクノロジの最新アプローチです。他のリモートアクセスソリューションがネットワーク中心であるのに対し、SDPは、根本的に異なるアプローチによって、従業員、サードパーティパートナー、取引業者などのさまざまなユーザからのアクセスを、ネットワーク全体ではなく、承認されたエンタープライズアプリケーションだけに限定して許可します。その結果、アプリケーションへのアクセスのマイクロセグメンテーションが可能になるため、ネットワークのセキュリティが維持しつつ、過剰な権限をサードパーティのユーザに許可することで発生する攻撃のリスクが軽減されます。

セキュリティ



サードパーティのパートナーや契約社員がネットワークを水平移動できたことから、企業が不要なリスクにさらされていました。

現在

SD(Software-Defined)アクセスでは、ネットワークではなく、承認されたプライベートアプリケーションだけに対するアクセスがパートナーに許可されます。

シンプルさ



リモートアクセスソリューションでは、管理対象デバイスあるいは個人のデバイスにクライアントをダウンロードする必要がありました。

現在

SD(Software-Defined)ブラウザアクセスでは、パートナーのセキュアアクセスがシームレスに可能になり、デバイスや場所に関係なく、ユーザがブラウザを利用するだけで、承認されたアプリケーションにアクセスできるようになります。

可視性とコントロール



リモートアクセスソリューションでは、パートナーのアクティビティに対する可視性が、IPアドレスとポートデータだけに限定されていました。

現在

SDPソリューションによって、IT担当者は、パートナーのあらゆるアクティビティを、ユーザ、デバイス、指定したアプリのレベルまで包括的に可視化できます。

セキュリティ



サードパーティのパートナーや契約社員がネットワークを水平移動できたことから、企業が不要なリスクにさらされていました。

現在

SD(Software-Defined)アクセスでは、ネットワークではなく、承認されたプライベートアプリケーションだけに対するアクセスがパートナーに許可されます。

シンプルさ



リモートアクセスソリューションでは、管理対象デバイスあるいは個人のデバイスにクライアントをダウンロードする必要がありました。

現在

SD(Software-Defined)ブラウザアクセスでは、パートナーのセキュアアクセスがシームレスに可能になり、デバイスや場所に関係なく、ユーザがブラウザを利用するだけで、承認されたアプリケーションにアクセスできるようになります。

可視性とコントロール



リモートアクセスソリューションでは、パートナーのアクティビティに対する可視性が、IPアドレスとポートデータだけに限定されていました。

現在

SDPソリューションによって、IT担当者は、パートナーのあらゆるアクティビティを、ユーザ、デバイス、指定したアプリのレベルまで包括的に可視化できます。

サードパーティのリスクの排除は、
SD(Software-Defined)アクセスであれば簡単です

Zscaler Private Access(ZPA)は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しているため、従業員、契約社員、あるいはサードパーティのパートナーのいずれのユーザであるかにかかわらず、ネットワークへのアクセスが付与されていない場合であっても、承認されたユーザやデバイスだけに特定の内部アプリケーションへのアクセスが許可されます。ZPAは、物理/仮想アプライアンスの代わりにインフラストラクチャに依存しない軽量のソフトウェアを使用し、ブラウザアクセスの機能を組み合わせることで、Zscaler Security Cloudに組み込まれた逆方向接続経由で、すべてのタイプのユーザをアプリケーションにシームレスに接続します。

図:ZPAは、ユーザ/アプリケーション中心のネットワークセキュリティのアプローチを採用していることを説明ブラウザアクセスを活用するSDPアーキテクチャ

SDP(Software-Defined Perimeter)の概念

1.  ブラウザアクセスサービス
  • トラフィックをIDPプロバイダにリダイレクトして認証
  • デバイスにクライアントは不要
2.  Zscaler Enforcement Node(ZEN)
  • ユーザ/アプリ間接続を保護
  • カスタマイズされたすべての管理ポリシーを適用する
3.  App Connector
  • Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
  • ブローカへの内側から外側へのTLS 1.2接続を提供
  • アプリを外部に公開されないようにすることで、DDoS攻撃を防止
ゼッチスケーラーが、石油・ガスの分野で150年の歴史を誇るNOVをZPAサービスで支援

「Citrixを作成してユーザが環境に接続し、社内の登録サイトにさらに移動して2つ目の要素のトークンを登録するのではなく、ZPAのクライアントレスアクセス経由でZPAを送信先にするだけで、驚くほどうまくいきました」

Casey Lee氏
National Oilwell Varco、ITセキュリティ担当ディレクタ

ブラウザアクセスによって、
パートナーのセキュアアクセスが数分で完了

ZPAのブラウザアクセスにより、クライアントを必要とすることなく、安全なアプリケーションアクセスが、サードパーティパートナーとユーザの両方に許可されます。パートナーは、企業のGW経由でエンタープライズアプリケーションにアクセスする必要がなくなり、自分のBYODを使用して、インターネット経由で簡単に内部アプリにアクセスできます。結果として、パートナーアクセスの高度なコントロールが可能になり、ユーザが、時間、デバイス、場所の制限なく、プライベートアプリケーションに接続できるようになります。

メリット
  • シームレスなユーザエクスペリエンスをパートナーとユーザに提供
  • BYODからの安全なアプリアクセス
  • すべての内部Webアプリのサポート
  • 主要IDPプロバイダとの統合
少女がラップトップを使い、ZPAのブラウザアクセスで、セキュアパートナーアクセスを数分で実現
CSM BakeryがZTNAテクノロジを採用して、世界中の何千人ものユーザへのセキュアプライベートアプリアクセスの提供を可能にしました。その具体的な方法をご確認ください。

CSM BakeryがZTNAテクノロジを採用して、世界中の何千人ものユーザへのセキュアプライベートアプリアクセスの提供を可能にしました。その具体的な方法をご確認ください。

ビデオを見る

お勧めのリソース

ソリューションブリーフ

ZPAによるサードパーティのセキュアアクセス

ソリューション概要を参照する

ガートナー社のレポート

SDP、ガートナーが推奨するゼロトラストネットワーキングプロジェクト

調査結果を読みます

ウェブキャスト

ゼロトラストセキュリティでパートナーアクセスを再定義する3つの方法

今すぐ見る

デモ

ZPAを評価する

ZPAを試用する