Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読する数字で見るゼロトラスト:ファイアウォールやVPNでは不十分な理由
ギリシャの哲学者ヘラクレイトスはかつて、「人生で唯一不変なものは変化だ」と語りました。そして、この言葉は現代のビジネスにも確実に当てはまります。企業のユーザー、データ、アプリケーションはかつて本社やデータ センターの内部に存在していましたが、現在すべての企業データの50%がクラウド上に保存されており、企業が使用するアプリケーションの70%はSaaSベースとなっています。また、現在の世界的なパンデミックがリモート ワークへの移行を急速に加速させているという点も無視できません。一夜にして、組織の全従業員に占めるリモート ワーカーの割合は300%もの増加を遂げたのです。
パンデミックが一段落した頃にこれらの数字がある程度変動する可能性はありますが、現実的には前進するこの勢いが後戻りすることはないでしょう。リモート ワークは、少なくともハイブリッド ワークの一形態として今後も定着していくとみられます。データは世界中のクラウド、アプリケーション、ユーザー デバイスにより分散されることとなり、企業がアプリケーションをデータ センターからパブリック クラウドやSaaSに移行するメリットを引き続き活用することが予想されます。
これらの変化は、表面的なレベルに留まらない変革を求めています。デジタル トランスフォーメーションを採用することで、境界を保護して内側にあるすべてを信頼するという旧来の方法は過去には有効だったものの、現在の環境においては不十分であることにすぐ気づくことになります。境界というものはもはや存在しないため、ファイアウォールと境界ベースの戦術でセキュリティを確保することはできません。92%の組織はこの点に気づいており、新しいハイブリッド ワークの保護を強化するためにセキュリティをアップグレードする必要性を認識しています。
では、この目標はどのように達成すれば良いのでしょうか。Cybersecurity Insidersによると、72%の組織がゼロトラスト モデルの採用を優先しています。ゼロトラストは最小特権アクセスの原則に加え、ユーザーを本質的に信頼すべきではないとの考え方に基づく戦略であり、セキュリティ エコシステムの基盤となります 。
また、ファイアウォールやVPNでゼロトラストは実践できない点に多くの組織が気づき始めています。事実、47%の組織は、既存のテクノロジーがゼロトラストの実現に役立つか確信していません。残念ながら、残りの53%は既存のテクノロジーを信頼したまま、ユーザーを企業ネットワークに配置しています。
ユーザーを企業ネットワークに接続することは、ゼロトラストの実現における大きな弊害です。VPNゲートウェイにはリモート ユーザーが接続するためのオープンな受信リスナーがありますが、残念ながら、攻撃者がネットワークを簡単に検出し、アクセスを行えるようにもなってしまいます。ネットワークに接続すると、ユーザーに元々与えられた信頼により、脅威や攻撃者がネットワーク上を水平移動して、貴重な資産やデータを見つけ出して悪用することが容易になります。
ユーザーをネットワークに接続させないために、代わりにインターネット上にアプリケーションを公開し、IPアドレスを公表して従業員がアプリケーションを見つけてアクセスしやすくすることがあります。しかし、これは攻撃対象領域を接続インフラからアプリケーション自体に移動しただけで改善にはなっておらず、さらに多くのリスクを伴う場合がほとんどです。
暗号化されたチャンネルを介した攻撃は昨年314%増加しており、暗号化トラフィックの検査の重要性はこれまで以上に高まっています。その一方で、パススルー ファイアウォールを利用するソリューションは、暗号化トラフィックをインラインで大規模に検査する機能が限られています。トラフィックを検査できたとしても、パススルー アプローチでは分析が完了する前にコンテンツが宛先に到達してしまいます。そのため、通知が発せられるのは問題が発生した後になり、問題がネットワーク全体に広がる可能性があります。
では、ファイアウォールとVPNがゼロトラストに適していないのであれば、どうすれば良いのでしょうか。ソクラテスの言葉を借りれば、「変化の秘訣は、古いものと戦うことではなく、新しいものを構築することにすべての気力を集中させること」が重要で、ゼロトラストの実現には根本的に異なるアプローチが必要です。ファイアウォール ベースのソリューションの特徴である盲目的な信頼や複雑なネットワーク セグメンテーションとは異なり、ゼロトラストはアイデンティティーとコンテキストを使用して接続を承認します。コンテキストはビジネス ポリシーに基づいており、状況の変化に応じて動的に再評価されます。
ゼロトラストには、3つの重要な機能を備えたインライン プラットフォームが求められます。まず、ユーザーを企業ネットワークに配置せず、業務に必要なアプリケーションにのみユーザーを直接接続することで、脅威のラテラル ムーブメントを排除できなくてはなりません。次に、不可視化されているものに対しては攻撃ができないため、ユーザーとアプリケーションをインターネットから隠すことで攻撃対象領域を最小限に抑える必要があります。最後に、脅威とデータ損失を阻止する必要がありますが、これはアプリケーションのパフォーマンスを低下させることなく、暗号化されたトラフィックを含むすべてのトラフィックを完全に検査することを意味します。
「変化とは人生の法則である。過去あるいは現在にのみ目を向ける者は、確実に未来を見失う」- John F. Kennedy
デジタル トランスフォーメーションを成功させるには、ネットワーキングとセキュリティの新しいアプローチを採用することで、真のゼロトラストを実現させる必要があります。Zscaler Zero Trust Exchangeは、ゼロトラスト導入による変革の過程でIT部門を日々サポートしています。Zscaler Zero Trust Exchangeは、1日あたり2,000億件を超えるトランザクションを保護しながら70億件以上のセキュリティ インシデントとポリシー違反を防止し、20万件を超える一意のセキュリティ アップデートを処理して組織のセキュリティを確保します。
Zscalerがゼロトラストを用いて安全な変革をどのようにサポートするかについては、無料のホワイトペーパー「境界防御型ファイアウォールの5大リスク + それらを克服する1つの方法」をダウンロードし、ウェビナー「ファイアウォールでゼロトラストを実現できない理由」(英語)に登録してください。