Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読する環境内のゼロトラスト:拠点や工場向けのデバイス セグメンテーション
従来のネットワークとセキュリティのアーキテクチャー
現在の複雑なデジタル環境において、拠点や工場の内部における脅威のラテラル ムーブメント(ネットワーク内でのマルウェアや攻撃者の移動)は、依然として大きなサイバーセキュリティ課題となっています。高額なファイアウォールや複雑なネットワーク アクセス制御(NAC)を利用する従来のソリューションは、極めて古い手法を用いるか、常に展開できるとは限らないエンドポイント エージェントを必要とするため、多くの場合、こうした課題を解決することはできません。Zscaler Zero Trust Device Segmentationは、従来のネットワーク セグメンテーションの複雑さを伴わずに、これらのセキュリティ課題に対する合理的でスケーラブルなソリューションを実現します。通信事業者のネットワークに着想を得たゼロトラスト アーキテクチャーによって、組織のネットワーク内のすべてのデバイスを分離して保護するための効果的な戦略を提供します。
脅威のラテラル ムーブメントという大きな問題
1.拠点内や工場内のセグメント化されていないデバイス:何年にもわたってセキュリティのポイント ソリューションを追加し続けても、従来のネットワーク セグメンテーションの手法では、依然としてラテラル ムーブメントが発生します。1台のデバイスが侵害されれば、脅威は水平方向に拡散し、機密データの漏洩や事業の中断につながります。このような東西方向での脅威の移動は、医療、製造、重要インフラなど、稼働時間が重要視され、ネットワークが比較的フラットであることが多い業界では特に問題となります。
2.従来のセグメンテーション ソリューションの欠点:既存のセグメンテーション ソリューションの多くは、アクセス制御リスト(ACL)またはNACポリシーを利用しており、手動での継続的な管理が必要で、最新のネットワークへの拡張には適していません。さらに、多くのソリューションはデバイスにエージェントを展開することが必要で、エージェントベースのセキュリティに対応できない従来のシステム、IoTデバイス、運用技術(OT)資産が存在する環境では機能しない場合があります。
3.組織規模でのデバイス分離の欠如:ゼロトラストの原則では、いかなるデバイス、ユーザー、ネットワーク セグメントも基本的に信頼できないものとして扱います。しかし、従来の組織のネットワークは、本当の意味でデバイスを分離できていない場合が多く、脅威の拡散につながるセキュリティ ギャップが存在します。こうした問題は特に、社内ファイアウォールと従来の境界セキュリティを展開することで実現される粗いセグメンテーションで見られます。Zscalerのアプローチでは、デバイスごとに1つのネットワークにセグメント化し、明示的に許可された場合にのみ通信できるようにすることで、このリスクを最小限に抑えます。
通信事業者に着想を得たアプローチ
通信事業者のネットワークは、数百万人単位のユーザーが利用しているものの、ある電話から別の電話にマルウェアが移動することはありません。通信事業者のシステムでは、各契約者のデバイスが分離された形で動作するようになっており、ラテラル ムーブメントが起こらない仕組みになっているのです。ある契約者のモバイル デバイスが侵害されても、他のデバイスに影響することはありません。Zscalerでは、ゼロトラスト デバイス セグメンテーションでこれと同様の戦略を採用しており、事実上、各デバイスを分離された独自の「ネットワーク」に配置することで、水平方向への接続を制限します。
デバイス セグメンテーションの仕組み
Zscaler Zero Trust Device Segmentationは、ゼロトラスト セキュリティをネットワーク インフラに直接組み込むことで、セグメンテーションを簡素化することを目的としています。展開と運用の主な仕組みを以下に紹介します。
1.シンプルな展開
- 設置:Zscalerのエッジ アプライアンスをトランク ポートを使用してコア スイッチの隣に展開することで、シームレスなゲートウェイが作成され、デバイスによる通信を傍受、管理できます。
- 高可用性の構成:通常は、2つのアプライアンスをアクティブとスタンバイの組み合わせで導入することで、中断のないサービスと単一障害点に対するレジリエンスを確保します。
2.デバイスの自動セグメンテーション
- SVIの無効化:展開が完了すると、VLAN用のスイッチ仮想インターフェイス(SVI)が無効化され、Zscalerのエッジ アプライアンスがデフォルト ゲートウェイの役割を引き継ぎます。
- ネットマスクの調整による分離:デバイスでIPリースが更新されると、アプライアンスはネットマスクを/32に変更し、各デバイスを固有のサブネット マスクで効果的に分離します。
- 固定IPデバイスの処理:Zscalerは、ダウンタイムやセッションのドロップなく固定IPデバイスのネットマスク構成を更新する自動スクリプトを提供し、病院や組織のキャンパスなど、高い可用性が求められる環境でのシームレスな統合を可能にします。
すべてのインベントリー化とあらゆる場所でのポリシーの施行
Zscaler Zero Trust Device Segmentationが展開されると、ネットワーク全体できめ細かい制御と可視化が可能になります。
1.デバイスの分類と動的グループ化
- Zscalerのプラットフォームは、デバイスをタイプ別(プリンター、IoTデバイス、Androidデバイスなど)に自律的に検出、分類、グループ化します。新しいデバイスが追加または削除されると、グループのメンバーシップが動的に更新され、リアルタイムで継続的な可視性が提供されます。
- グループ化の柔軟性:デバイスのグループ化は、タイプ、OS、カスタムの属性に基づいて構成できるため、ターゲットを絞ったポリシーの施行と管理の簡素化が可能になります。
2.ロールベースの制御によるポリシーの施行
- ポリシーを作成して、特定のデバイス タイプ、地域、部門間の通信を制限できます。たとえば、管理者は、カメラとプリンターの通信を制限したり、組織全体で内部のリモート デスクトップ プロトコル(RDP)アクセスをブロックしたりして、攻撃対象領域を大幅に減らすことができます。
- 適用範囲のカスタマイズ:ポリシーは、グローバル、地域、ローカル レベルで適用でき、複雑な分散ネットワークを持つ組織でも柔軟な運用が可能です。
- 一元的な管理ポータル:Zscalerのプラットフォームには、ロールベースのアクセス制御を行える管理ポータルが含まれています。管理者は、このポータルを通じて、ポリシーの設定、ネットワーク アクティビティーの確認、リアルタイムでの調整を行えます。
3.東西の通信の完全な可視化
- このプラットフォームは、ネットワーク全体のすべてのトラフィック フローをキャプチャーし、ネットワーク アクティビティーの視覚的なマップを提供します。南北(外部)と東西(内部)の両方のトラフィック パターンを可視化するため、ネットワークの問題を迅速に診断できます。
- 色分けされたフローの指標:ネットワーク イベントは直感的に理解できるカラー コードで表されます(ブロックされているトラフィックは赤、許可されている接続は緑、デフォルト ポリシーは黒)。管理者は、デバイスのMACアドレス、ホスト名、IPを入力するだけで、そのデバイスの通信状況をリアルタイムで表示でき、トラブルシューティングを迅速に行えるようになります。
Zscalerの特長
Zscaler Zero Trust Device Segmentation独自のアーキテクチャーには、従来の手法に比べ、大きなメリットがあります。
1.複雑さとコストの削減
- Zscalerは、社内ファイアウォールや複雑なアクセス制御の必要性を排除することで、ネットワークの複雑さと更新コストを大幅に削減します。管理者は、セグメンテーションを維持するために、無秩序に肥大するACLを管理したり、ファイアウォール ルールを更新したりする必要がなくなります。
2.旧式のデバイスやIoTデバイスのエージェントレス セグメンテーション
- 旧式のデバイスやIoTデバイスの多くはエージェントに対応できないため、従来のソリューションでの保護は困難です。Zscalerのアプローチはエージェントを必要としないため、産業環境、スマート施設、多様なデバイス タイプを抱えるその他の環境に最適なソリューションとなります。
3.コンプライアンスと検出の強化
- Zscalerが提供するデバイスの自動検出と分類によって、すべてのデバイスを確実に把握、保護し、業界規制の順守を合理化できます。さらに、ネットワーク フローを一元的に確認して、潜在的なセキュリティ インシデントやポリシー違反を迅速に特定できるようになります。
4.迅速な展開と柔軟性
- Zscalerのソリューションは、迅速に(多くの場合1日以内で)展開できるため、価値実現までの時間を短縮できます。柔軟な構成オプションを通じて、運用ニーズに合わせたセグメンテーションの調整を行えます。ダウンタイムや長期間にわたるプロジェクト計画は必要ありません。
デバイス セグメンテーションの一般的なユース ケース
デバイスの自動検出と分類
- 医療や製造など、既知のデバイスと未知のデバイスが混在する環境に最適です。検出プロセスを自動化することで、管理者が管理対象デバイスと不正なデバイスの両方を追跡し、ネットワークの完全性を確保できるようにします。
旧式のデバイスとIoT/OTデバイスのエージェントレス セグメンテーション
- Zscalerのエージェントレス セグメンテーションは、生産プロセスの中断やIPエンドポイントの後付けなしで堅牢なセキュリティを提供し、エネルギーや製造など、OT資産を抱える業界で価値を発揮します。
社内ファイアウォールの廃止
- Zscalerは、従来の内部ファイアウォールの必要性を排除することで、攻撃対象領域を最小限に抑え、インフラ コストを削減します。ITをOTから分離する必要がある組織や、大規模な生産ラインの分離に広範なファイアウォール管理を必要とする組織では特に有用です。
拠点や工場の内部における脅威のラテラル ムーブメントの阻止
Zscaler Zero Trust Device Segmentationは、最新の効率的なアプローチによって、拠点内や工場内のデバイスのゼロトラスト セグメンテーションを実現します。各デバイスの分離、従来のファイアウォールの廃止、ポリシーの一元管理を通じて、セグメンテーションの複雑なタスクを簡素化することが可能です。本質的に分離された通信事業者のモデルに着想を得たこのソリューションは、すべてのデバイスでゼロトラストを実現し、セキュリティと事業継続性の両面で組織を支援します。
セグメンテーションの課題に取り組む組織は、Zscalerのソリューションを利用することで、真のデバイス レベルのセキュリティとレジリエンスを1日以内に実現することが可能です。Zscalerによって、セグメンテーションは多くの時間やリソースを要するプロジェクトではなく、現代のゼロトラストの原則に沿った合理的かつ管理しやすいプロセスになります。Zscaler Zero Trust for Branch and Cloudの機能の一部として、ゼロトラストの原則を組織内のあらゆる場所に拡張できます。拠点とクラウド向けゼロトラストのイノベーションの詳細はこちらをご覧ください:zscaler.jp/ztsegmentation