拠点向けのゼロトラスト：脅威のラテラル ムーブメントを阻止

ネットワークの拡張が招くセキュリティ ツールのスプロール化

従来のネットワーク アーキテクチャーは、従業員がオフィスで作業し、データ センターでホストされるアプリケーションにアクセスするという想定を基に設計されました。そして、MPLSやサイト間VPN、最近ではSD-WANなどの技術を使用して、拠点とデータ センターを接続するプライベート ネットワークを構築、最適化し、ファイアウォールで境界を保護していました。これは、ネットワーク内のものはすべて信頼し、ネットワーク外のものは一切信頼しないというアプローチです。

アプリケーションがクラウドに移行し、組織の分散化が進むにつれ、こうしたネットワークは遠隔地やパートナー、クラウドにまで拡張されましたが、過剰な暗黙の信頼は残されたままとなっていました。ファイアウォールでこれらのネットワークをセグメント化しようとしても、ファイアウォールの乱立を助長するだけで、セグメンテーションの作業が終わることはありません。また、コストと複雑さも大幅に増加し、インフラ部門のリソースに負担をかけます。

ランサムウェア攻撃を助長する従来のSD-WAN

こうした従来のネットワーク アーキテクチャーにより、ユーザー、デバイス、ワークロードが簡単に相互にやりとりできるようになりましたが、同時に脅威のラテラル ムーブメントのリスクも高まりました。拠点で1台のデバイスが感染すると、データ センターやクラウド内の重要なアプリにまで感染が広がる可能性があります。これが、ランサムウェア攻撃が急速に広がる理由の一つです。2024年版 ThreatLabzランサムウェア レポートによると、脅迫被害を受けた組織の数は昨年だけで58%増加し、身代金の支払い額は過去最高の7500万ドルに達しました。ランサムウェア攻撃が急増し続けている理由は単純で、従来のSD-WANによって攻撃対象領域が拡大し、ラテラル ムーブメントが可能になっているためです。

現代の環境で従来のアーキテクチャーを使用し続けると、コストと複雑さが急増するだけでなく、脆弱性も生まれます。

拠点向けのゼロトラスト — ファイアウォールなしで、脅威のラテラル ムーブメントをゼロに

拠点向けのゼロトラスト アーキテクチャーを導入すれば、ネットワークをあらゆる場所に拡張する必要がなくなり、カフェ型の拠点を実現できます。ユーザー、デバイス、アプリは任意のブロードバンドやセルラー データで接続し、Zero Trust Exchange経由で通信します。攻撃者が悪用できるVPN接続をリッスンするオープン ポートはありません。ある場所のデバイスがネットワークをスキャンして、他の場所にあるデバイスやアプリを見つけることもできません。フラットでルーティング可能なネットワークは存在しないため、拠点ごとのファイアウォールは一切不要です。

拠点向けのゼロトラストは、3つの主要なZscalerイノベーションによって実現します。まず、Zscaler Zero Trust SD-WANは、従来のSD-WANやMPLS、サイト間VPNに代わるもので、拠点からのインバウンド/アウトバウンド通信を保護します。ISP接続を直接終端して管理するZscaler Edgeアプライアンスを使用してアプリのパフォーマンスを最適化し、拠点からのすべてのユーザー、デバイス、サーバーのトラフィックに対して完全なサイバー脅威対策とデータ保護を提供します。3つの物理アプライアンス(ZT 400、ZT 600、ZT 800)と仮想アプライアンス(ZT VM)により、さまざまな拠点や工場、データ センターをZero Trust Exchangeに接続できます。

Zscalerは先日、5Gセルラーに対応する新しいZsaler Edgeアプライアンスをリリースしました。このアプライアンスは、ATMマシンや営業拠点、小売店などに安全な接続を提供するためのプライマリーまたはバックアップのインターネット接続として使用できます。さらに、スループットを向上させたアプライアンスもリリースしました。最大5Gbpsの暗号化スループットに対応し、アクティブ/アクティブモードで動作する複数のギガビット ファイバー接続を可能にします。

ゼロトラストSD-WANは、拠点間での脅威のラテラル ムーブメントを防ぎます。拠点内では、Zscaler Zero Trust Device Segmentationを活用して、各デバイスを1つのネットワークにさらにセグメント化できるため、東西のファイアウォール、NAC、高額な専用スイッチが一切不要になります。この革新的なソリューションは数時間で展開でき、従来のOTシステムなどのあらゆるデバイスを検出、特定、セグメント化しながら、拠点内のすべてのラテラル ムーブメントを排除します。

脅威のラテラル ムーブメントにつながるもう一つの大きな要因となっているのが、OTシステムやサーバーにアクセスするサードパーティーのベンダーや請負業者です。こうしたサードパーティーによるアクセスはネットワーク接続またはVPNを通じて行われてきましたが、この方法では管理対象外のデバイスがネットワークに接続されるため、重要な資産にも直接アクセスできるようになってしまいます。Zscaler Privileged Remote Accessは、サードパーティーとインフラ間のネットワーク接続を必要としない、より安全なアプローチを提供します。ブラウザーベースのクライアントレス アクセス、ピクセル ストリーミング技術、キーボードとマウスの制御を活用して、リモート技術者がOTシステムに安全にアクセスできるようにすると同時に、完全な監視、セッションの記録、ファイル サンドボックス制御で工場のリスクを最小限に抑えながら、作業員の安全も確保します。

コストを削減し、セキュリティを強化

カフェ型の拠点は、インフラ部門とエンドユーザーに多くのメリットをもたらします。

• コストの削減：さまざまな場所にネットワークを拡張する必要がないため、インフラのフットプリントとコストが大幅に削減されます。従業員の自宅のネットワークを保護する必要はないのと同じように、各拠点もファイアウォールで保護する必要はありません。そのため、複雑なルーティングとファイアウォール ポリシーの管理も不要になります。

• セキュリティの強化：ランサムウェアは拠点間だけでなく、同じ拠点内のデバイス間であっても水平方向に移動することはできません。また、攻撃対象領域が縮小するため、サイバー脅威にとって拠点は有効なターゲットではなくなります。Zero Trust Exchangeは、完全なサイバー脅威対策とデータ保護を提供し、既知のコマンド＆コントロール サイトとの通信や、DNSなどのチャネルからのデータ流出を阻止します。

• ユーザー エクスペリエンスの向上：セキュリティ検査のためにデータ センター経由でトラフィックをバックホールする必要がないため、スピーディーにアプリケーションが実行され、オフィスと自宅でより優れた一貫性のあるユーザー エクスペリエンスを確保できます。また、パフォーマンスを低下させることなく、TLSで暗号化されたトラフィックなどすべてのトラフィックをZero Trust Exchangeで検査できるため、パフォーマンスとセキュリティの両立が可能になります。

Zscaler Zero Trust Branchは、拠点のアーキテクチャーを簡素化して最大50%インフラ コストを削減すると同時に、パフォーマンスを向上させて優れたユーザー エクスペリエンスも提供します。そして、ゼロトラスト アーキテクチャーで脅威のラテラル ムーブメントを排除し、ランサムウェア攻撃を未然に阻止します。

拠点向けのゼロトラストのイノベーションの詳細は、Zscalerのリソース ページをご覧ください。