サイバーインテリジェンス セキュリティマネジメントSummit 2025 summer
ゼットスケーラー

対策実施で疲弊する現場を救う
カギを握る「ブローカー方式」とは

脅威の侵入を完全に防ぐことは難しい。これからは、従来の境界防御だけでなく、侵入を前提としたセキュリティー対策を実施することが不可欠だ。とはいえ、ツールの運用や脆弱性管理といった日々の対応には多くのリソースが必要になる。この負荷を取り除き、効果的かつ速やかなセキュリティー対策を可能にするアプローチとして、ゼットスケーラーが提案しているのが「ブローカー方式」だ。

侵入を前提とした対策の
難しさと運用上の課題とは

ゼットスケーラー株式会社 トランスフォーメーション・アーキテクト 林 聡氏
ゼットスケーラー株式会社
トランスフォーメーション・アーキテクト
林 聡
 ゼロデイ脆弱性を狙った攻撃が増加傾向にある。AIを用いた攻撃も登場する中、サイバー攻撃を水際で防ぎきるのはもはや不可能といえるだろう。多くの企業が「侵入される」ことを前提としたセキュリティー対策に力を入れている。

 だが、それを徹底することもまた簡単ではない。

 例えば、コロナ禍をきっかけとしたリモートワークの普及を受けて、VPN装置の脆弱性を狙う攻撃が増えている。ところが、VPN装置はアンチウイルスやEDRを実装していないため、攻撃を受けても防ぐ仕組みがない。このように、守れない機器が存在することはその理由の1つといえる。

 「また、リソース不足の問題もあります」と語るのはゼットスケーラーの林 聡氏である。侵入前提の対策にはEDRが広く用いられるが、その運用には継続的なモニタリングが必要になる。また、侵入を検知してから駆除するまでのタイムラグを埋めるには、通信セグメンテーションなどを併用することが重要だが、そのためには通信要件を網羅的に把握しなければならない。通信要件はシステムの追加や変更に合わせて随時、見直すことが求められる。このような運用には、非常に多くのリソースが必要になるからだ。

 そもそも、システムや機器の脆弱性を減らすことができれば安全性は高まるが、現実問題、サーバーの脆弱性は昨年1年間だけで4万件も公表されている。すべての社内サーバーに対して影響調査や動作検証を行い、パッチを確実に適用することは非現実的といえるだろう。

 「日々の監視や運用の負荷に加え、『感染拡大を防ぐ』責任とプレッシャーが重くのしかかり、セキュリティー担当者は疲弊しています。これが多くの企業・組織の現実です」と林氏は述べる。

ブローカーがクライアントPCと
サーバーを仲介する

 このような状況をどうすれば打開できるのか。そこで今、注目を集めているのがゼットスケーラーが提案する「ブローカー方式」だ。同社のセキュリティープラットフォーム「Zscaler Zero Trust Exchange」によって実現する、アクセス制御の新しいアーキテクチャである。

 「感染拡大は、クライアントPCとクラウド/オンプレミスのサーバーとが直接通信できるために起こります。そこで当社は、仲介の仕組みであるブローカーを間に挟むことで、人が工数をかけなくても感染拡大を自動で防げる仕組みを提案しています」と林氏は説明する。

 具体的には、アプリケーションがあるクラウド/オンプレミスのデータセンターにコネクタ(仮想アプライアンス)を設置する。このコネクタが、ブローカーを介してクライアントPCとつながる仕組みだ(図1)。ブローカーは、搭載されたAI機能などを用いて通信の認証を行い、通してよいかどうかを判断する。
図1 「ブローカー方式」のイメージ 図1「ブローカー方式」のイメージ クライアントPCとサーバー/アプリの間にブローカーが入ることで、直接通信しない方式にする。これにより、万一の際の感染拡大を最小限にとどめる
 「ブローカーはクラウド/オンプレミスのどちらに設置することもできます。また、コネクタはインターネットに露出していないため、外部から攻撃を受けることはありません。このアプローチであれば、セキュリティー担当者の運用負荷を軽減しながら、安全性を高めることが可能です」と林氏は述べる。

VPN装置は不要 
アクセスを絞って脆弱性管理も効率化

 ブローカー方式によって、セキュリティー対策とその運用は大きく変わる。

 まずVPNは不要になる。企業ネットワークの内側/外側のどちらにいても、ユーザーはブローカーの認証を受けることで、利用したいアプリにセキュアに接続できるからだ。「攻撃対象になる装置自体を撤去できます。装置の脆弱性管理や、入れ替え、EOLに伴う対応も不要になります」(林氏)。

 また業務上、アクセス不要なサーバーには通信させないという運用をしている企業は少なくないだろう。しかし、「必要最低限の通信だけを許可する」運用は非常に手間がかかる。加えて、社員の異動や担当業務の変更、システムの入れ替えなどがあれば見直しが必要になる。ブローカー方式を採用すれば、この問題自体が存在しなくなる。

 「あらゆる通信がブローカーを通り、認証を受けるので、『いつ』『誰が』『どのサーバーにアクセスしているのか』を可視化することもできます。アクセス可能な社内アプリをユーザー単位で制御するといった高度な運用も、容易に実現できるようになります」と林氏は付け加える。

 アクセスできるサーバーを限定することは、脆弱性管理の対象を絞り込むことにもつながる。例えば、人事部の社員には人事の仕事に必要な社内アプリにだけアクセスできるようにすることで、仮に社員のPCが感染しても、他部門のサーバーやアプリに影響が及ぶことを防げる。被害が想定されるサーバーに対して優先的にパッチを適用すれば、効率よく脆弱性対策を進めることもできるだろう。「ファイアウオールやルーターなどでIPアドレスベースの通信制限をしたり、手間のかかる通信のセグメンテーションを行わなくても、ブローカーで同様の効果を得ることが可能です」と林氏は言う。

 さらに、ブローカー自体が脆弱性攻撃を緩和する機能を備えている(図2)。例えば、「OWASP(The Open Web Application Security Project) TOP 10」の攻撃をブロックする機能をそなえているという。これにより、脆弱性が存在していることは分かっているが手が回らない、あるいは既にサポート切れのOS/アプリでパッチそのものが存在しないといった場合にも、ブローカーで保護できるのだ。もちろん、順番にパッチを適用していく間の、一時的な保護に使うことも可能だ。
図2 ブローカーによる脆弱性攻撃の阻止機能 図2ブローカーによる脆弱性攻撃の阻止機能 OWASP TOP 10の攻撃を検知し対応するための機能を標準で実装している。セキュリティーパッチ未適用のサーバーがあっても、感染拡大のリスクを低減できる
 このように、ゼットスケーラーが提案するブローカー方式であれば、既存のサーバーやアプリに手を入れることなく、シンプルかつ簡単にネットワークの安全性を高めることができる。何より、無数の対策作業に追われるセキュリティー担当者の負担を大きく軽減できる点は大きな魅力といえるだろう。侵入前提のセキュリティー対策を考える企業は、ぜひ一度検討してみることをお勧めする。
TOPへ
PAGETOP
お問い合わせ
ゼットスケーラー株式会社 URL:https://www.zscaler.com/jp/company/contact