セキュリティのニューノーマル「ゼロトラスト」最適な解釈と具体的な実装法とは

セキュリティのニューノーマル「ゼロトラスト」最適な解釈と具体的な実装法とは

多くの企業がニューノーマルへの対応を見据えて、テレワークやクラウドの拡大など、
新しい経営環境を踏まえたデジタルインフラの整備に取り組んでいる。
そのインフラ整備において欠かすことができないのがセキュリティの視点だ。
特に注目されているのが「ゼロトラスト」というセキュリティの概念である。
パロアルトネットワークスは、このゼロトラストの考え方を、具体的な導入アプローチと製品に落とし込み、
その実装までを支援している。

ニューノーマルにふさわしいデジタルインフラの整備

パロアルトネットワークス株式会社 チーフサイバーセキュリティストラテジスト 染谷 征良氏

新型コロナウイルスの感染拡大に伴って緊急事態宣言が発出された2020年4月以降、企業の間にテレワークが急速に浸透した。当初は暫定的対応としてテレワーク環境の整備に臨んだ企業も多かったようだが、いまやテレワークを前提として制度やオフィスの改修を進める企業も少なくない。

「多くの企業がニューノーマルにおける事業継続性の向上を念頭にテレワーク環境のさらなる整備と定着を図っています」とパロアルトネットワークスの染谷 征良氏は指摘する。

そもそも、次の経営環境を見据えたデジタルインフラの整備は、企業にとって恒常的なテーマだ。この事業継続性をはじめ、俊敏性の担保やコスト削減のための業務アプリケーションのクラウド移行をどう進めていくか、深刻化する人材不足や人員のスキル不足の問題に応え得る業務改善をいかに図っていくか、TCO削減により投資効率をいかに高めていくか、そして、企業競争力向上のカギを握るデジタルトランスフォーメーション(DX)の推進をどのように進めていくかなど、企業は様々な視点から、それにふさわしいデジタルインフラを検討し、構築していかなければならない。

「ゼロトラスト」の実現を支える3つのアプローチを提示

新たなデジタルインフラを整備する上ではセキュリティの視点も必須となる。当然、これからのセキュリティは、前述したテレワークやクラウド、人材不足、TCO削減、DXなど、企業が掲げる経営テーマに対応したものでなくてはならない。

例えば、テレワークが進んだ現在、従業員は自宅をはじめ多様な場所から、社内のシステムやクラウドを含む様々なビジネスリソースにアクセスする。結果、これまで主流だったネットワークを社内と社外に分けた境界型のセキュリティ対策では対応が困難になってきている。

「これまでのような方法では、社外のデバイスやビジネスリソースの安全性を同等に確保することが困難です。テレワークやクラウドを含め、場所を問わず一貫した安全性と利便性の両立を実現することが求められます」と染谷氏は語る。

このような中、急速に注目を集めているのが「ゼロトラストセキュリティ」である。

このゼロトラストは、「『信頼』は危険な『脆弱性』であり、悪意あるものに必ず悪用される」との前提に基づくセキュリティ対策の戦略的概念。具体的には、従来の境界型セキュリティが前提とする「社内ネットワーク内部は信頼に足るもの」とする考え方の再考を求めている。

パロアルトネットワークスは、この戦略的概念であるゼロトラストを具体的なアーキテクチャおよびシステムに落とし込み、既に顧客企業に向けた提案や具体的なソリューションの提供を行っている。

「私たちはゼロトラストを『すべての場所のすべてのユーザー、デバイス、アプリケーションを常に検査し、信頼をデジタル社会から取り除くことで侵害を防ぐためにデザインされたセキュキュリティ戦略である』と定義。その実現に向けて3つのアプローチを提示しています」と紹介する。

1つ目は「エンドツーエンドでのすべての通信と状態の可視化」である。

これは、従業員がビジネスリソースへとアクセスするのが本社や拠点、テレワーク環境などいずれの場所からであろうと、またアクセス先のビジネスリソースの所在が自社のデータセンター、パブリッククラウドなど、どこにあろうとも、すべての通信の内容とその状態を可視化するというもの。アプリケーションやユーザーに至るまで、すべてのポート、プロトコルによる通信がその対象となる。「通信経路に加えて、エンドポイントで稼働するOSのパッチの適用状況や、仮想インスタンス、コンテナなどを含むクラウド上のワークロードのアクセス権限、アプリケーションの脆弱性、やりとりされるコンテンツなども含めたトータルな可視化を行います」と染谷氏は説明する。

2つ目は「ポリシーとコンテキストに基づいた監視、制御、ログ」だ。

これは、1つ目の可視化を受けて把握した通信の内容やエンドポイント、ワークロードの状態を、動的にあらかじめ定義したセキュリティポリシーやルール、脅威インテリジェンスと照らし合わせて不審な通信や挙動を捕捉する。ポリシーやルールでの検出が困難な疑わしい挙動や高度な攻撃には、AIや機械学習も有効な技術となる。

そして3つ目は「AI/機械学習の活用による自律化、自動化された運用」だ。

「ここでのテーマは、いかにセキュリティ管理負荷を低減するか。ますます切実になる人材不足や人員のスキル不足などに対応して、インシデント対応時間を短縮するためにも、AI/機械学習、SOARのようなオートメーション・オーケストレーション技術を活用してセキュリティ運用を効率化していきます」と染谷氏は紹介する。

ネットワーク/セキュリティ機能をクラウドで包括的に提供するSASE

3つのアプローチからなるパロアルトネットワークスのゼロトラストアーキテクチャにおいて、中心的な役割を担う製品が「Prisma Access」である。

これは、いわゆる「Secure Access Service Edge(SASE)」ソリューション。ネットワークとセキュリティの機能をクラウドサービスとして包括的に提供するものだ。

図1 SASEによるネットワーク変革

図1 SASEによるネットワーク変革

SASEソリューションの導入により、シンプルで拡張性、柔軟性に優れたネットワーク環境の実現が可能になる

「これまで企業は、ファイアウオール 、サンドボックスなど、ネットワーク、およびネットワークセキュリティに必要な製品を個々に導入してきました。それに対してSASEであるPrisma Accessは、一貫したアーキテクチャに基づくネットワークサービス、サイバーセキュリティ対策の機能を1つのクラウドサービスとして統合的に提供します」と染谷氏は強調する。

具体的には、SD-WAN、ポリシーベースフォワーディング、QoS、SSL VPN、IPSec VPNなどのネットワーク機能を提供。セキュリティに関しても、同社の代名詞ともいえる次世代ファイアウオールの機能をはじめ、サンドボックス、DLP、DNSセキュリティ、SSL復号化、さらにはZTNA(Zero Trust Network Access)やCASB(Cloud Access Security Broker)、SWG(Secure Web Gateway)などの多彩な機能を装備している。充実した機能とクラウドによるオートスケールのメリットによって、コロナ禍の短期的なテレワーク対応はもちろん、中長期的なネットワークインフラの刷新にも有効だ。

また、Prima Accessのほかにもパロアルトネットワークスは、ゼロトラストの実現に必要な可視化、脅威の検知、防御、調査、対処などを行うための一連のソリューションをSaaS型で提供。同社の描くゼロトラストによるセキュリティ対策の実現をトータルに支援している。

例えば、エンドポイント領域の「Cortex XDR」、SaaS領域の「Prisma SaaS」、IaaS/PaaS領域の「Prisma Cloud」などがこれにあたる。併せて、不審な挙動や高度な脅威の検出は、エンドポイント、ネットワーク、クラウドから「Cortex Data Lake」に上がるログを「Cortex XDR」のAI・機械学習で分析して実現する。複数のセキュリティ関連のソース全体からアラートを取り込み、標準化された自動化可能なプレイブックを実行して、セキュリティオペレーションの自律化、自動化を支援する「Cortex XSOAR」といったツールも用意されている。

「どのようなデジタルインフラとセキュリティでDXを支えるかが、企業の浮沈のカギを握っています。我々パロアルトネットワークスは、セキュリティの専門家として、その取り組みを支援します」と染谷氏は最後に語った。

図2 Prisma Accessの概要

図2 Prisma Accessの概要

多彩なネットワーク/セキュリティ機能を単一のクラウドプラットフォームにより提供

お問い合わせ

パロアルトネットワークス株式会社
〒100-0011 東京都千代田区内幸町2丁目1番6号 日比谷パークフロント 15階
TEL:03-6205-8061
URL:https://www.paloaltonetworks.jp/