This post is also available in: English (英語)

これは、弊社のパートナーシップによりZTNA 2.0を利用して今日のハイブリッド勤務およびハイブリッド環境を保護している仕組みの詳細を説明したシリーズ「ZTNAパートナー」の最初の投稿です。

2020年まで、多くの組織にとってデジタル変革は長期的な目標でした。それが世界的なパンデミックによって大きく変わりました。デジタル変革の時間枠が年単位から月単位か週単位、あるいは日単位になり、切迫した事態となっています。企業は突然、ハイブリッド勤務、新しい流通経路と販売経路、そして高まる顧客の期待に対応しなければならなくなりました。

この2年間の新しいビジネスニーズを満たすための取り組みで、組織は25%以上もクラウドの利用を拡大しましたが、セキュリティ、コンプライアンス、および技術にわたる全体的な複雑さに苦心しています。同時に、サイバー脅威情勢がますます増大してきました。組織がこういった状況に合わせて体制を調整し、データと業務をサイバー攻撃から保護しながらデジタル変革のメリットを高められるような新しいセキュリティアプローチが必要なことは明らかです。

ゼロトラストの進化

ゼロトラスト ネットワーク アクセス(ZTNA)は、きめ細かく定義された最小権限アクセス制御ポリシーに基づいて、アプリケーションおよびサービスにセキュアなリモートアクセスを提供することを目的としたフレームワークです。組織のネットワークに完全なアクセス権を付与する仮想プライベートネットワーク(VPN)とは異なり、ZTNAソリューションは、ユーザーに明示的にアクセス権が付与されているサービスの利用のみを許可します。ZTNAサービスでは、認証後にのみ、アプリケーションへのセキュアな暗号化されたトンネル経由のアクセスが許可されます。またZTNAによって、組織は場所またはデバイス固有のアクセス制御ポリシーを実装して、パッチが適用されていないデバイスや脆弱なデバイスが企業サービスに接続するのを防ぎます。

ただし、ZTNAソリューションは当初、リモートワークがミッションクリティカルではなく、アプリケーション構成、クラウド導入、および接続の要件が現在とは大きく異なっていた時点で構想されました。リモートワークおよびハイブリッドワークへの急速な移行が、クラウド導入の意欲が高まっている状況と相まって、アプリケーションに直接接続するアーキテクチャへの移行を加速しています。このことは、第1世代のZTNA製品(ZTNA 1.0と呼んでいます)の重大な欠落部を露呈することとなりました。まず、ZTNA 1.0ソリューションは、最小権限の原則に違反しており、保護が不十分であるにもかかわらず、過剰なアクセスを提供しています。多くのZTNA 1.0ソリューションが、短時間で作成、破棄されるネットワーク構成要素に基づいてアプリケーションを識別するため、攻撃対象領域が必要以上に広くなります。また、ZTNA 1.0ソリューションは、アプリケーション全体へのアクセスを提供するだけで、アプリケーション内の特定の機能へのアクセスに限定することができません。

ZTNA 1.0ソリューションのもう一つの欠落部が、「許可して放置」モデルを採用していることです。つまり、ユーザーがアプリへのアクセスをひとたび取得すると、正当性があるかどうかに関係なく、その接続は永続的、暗黙的に信頼されます。ZTNA 1.0では、一度アプリへのアクセスを許可したユーザーについては、接続における横方向の移動を検出することも防止することもできません。

さらに言えば、ZTNA 1.0ソリューションは、データの可視性と制御をほとんどまたはまったく提供しません。そのうえ、マイクロサービスベースのクラウドネイティブアプリやサーバー起動型アプリ(ヘルプデスクやパッチシステムなど)を適切に保護できません。また、現在では企業アプリの大部分であるSaaSアプリケーションを完全に無視します。

ZTNA 2.0の導入—実用的なゼロトラスト

Presidioとパロアルトネットワークスの提携により、従来のZTNAソリューションの限界をZTNA 2.0で克服しました。ZTNA 2.0は、次の5つの原則を実現することによって、今日のハイブリッド勤務およびハイブリッド環境を保護する新しいパラダイムシフトです。

1. 最小権限アクセス: IPアドレスやポート番号といったネットワーク構成要素を使用してアプリケーションの識別を試みる従来のZTNAソリューションとは異なり、Prisma Accessは、アプリケーションをレイヤー7で識別してアプリレベルおよびサブアプリレベルでアクセスを正確に制御します。これには、ダウンロードやアップロードといった機能の制御も含まれます。
2. 継続的な信頼性検証: Prisma Accessは、ユーザー、デバイス、およびアプリケーションのトラフィックを継続的に評価します。また、疑わしい活動を識別する特許取得済みのメカニズムを使用して信頼性を検証し、デバイスのコンプライアンス違反やアプリが承認済みかどうかを検出します。
3. 継続的なセキュリティ検査: Prisma Accessでは、高度な脅威防御テクノロジが利用されます。これには、リアルタイムの保護を提供する人工知能(AI）および機械学習(ML)が含まれ、未知の脅威の最大95%を阻止することにより、システム感染を99.5%削減します。
4. 完全なデータ保護: Prisma Accessでは、プライベートアプリやSaaSも含めて、企業で利用されるすべてのアプリのデータを、1つのデータ損失保護(DLP)ポリシーで一貫性を持って管理できます。
5. 完全なアプリ保護: 企業で使用されているアプリケーションが、クラウドネイティブのアプリ、従来のプライベートアプリ、SaaSアプリかどうかなど、その種類は関係ありません。アプリケーションは同一の総合的な方法で保護されます。

Prisma Accessが提供するZTNA 2.0は、クラウド規模の保護を実現するためにクラウド専用に構築されています。クラス最高の機能ですべてのアプリケーショントラフィックを保護する使いやすい統合セキュリティ製品をベースに設計されており、今日の脅威に対処し、明日の脅威に備えられるようサポートします。

「働く場所は、もはや本社だけではなくなりました。従業員はあらゆる場所で働き、クラウドとモバイルのテクノロジを必要としています」と、Presidio、フィールドCISO、Dave Trader氏は言います。このように、今日のハイブリッドの組織にとって、ゼロトラストを見直してZTNA 2.0を導入することが脅威の阻止に不可欠です。

Presidioとパロアルトネットワークスは、ネットワークセキュリティをインテリジェントでプロアクティブなものにすることで、大きな変化をもたらしました。Presidioは、パロアルトネットワークスのセキュリティ導入に対し、組織にエンドツーエンドのサポートを提供します。これにより、業界で最初の包括的なセキュリティ運用向け製品スイートを使用して、今日のセキュリティ運用を改善、迅速化し、これからの脅威への対処を強化できます。

デジタル社会の進化に合わせて、パロアルトネットワークスのソリューションも進化を続け、サイバーセキュリティに対する組織のニーズにお応えできるよう取り組みを続けてまいります。こちらの特別なローンチ イベントもぜひご覧ください。ZTNA 2.0とPrisma Accessを活用してハイブリッド勤務を保護するイノベーションとベストプラクティスについて説明しています。