Zpedia 

/ ワークロード保護とは

ワークロード保護とは

ワークロード保護は、環境間のワークロード通信を保護するためのクラウド セキュリティ制御とプロトコルの集合体です。クラウド ワークロード セキュリティと相互に関連するワークロード保護は、設定ミスなどの固有のセキュリティ リスクによって発生する脆弱性を軽減します。また、クラウド セキュリティ ポスチャー管理(CSPM)における重要な要素でもあります。
ワークロードの保護

ワークロード保護が重要な理由

クラウド アプリケーションが企業運営の基盤となり、円滑な業務遂行にはこうしたアプリケーションへのアクセスが必須となっています。各部門の生産性を向上させるために、企業はAmazon Web Services (AWS)、Microsoft Azure、Google Cloud Platformなどのクラウド サービスを採用し、また、場合によっては異なるベンダーのSaaS、PaaS、IaaSサービスを組み合わせて、マルチクラウド環境を構築することもあります。

世界中の組織がオンプレミスからクラウドに移行するにつれ、クラウド ワークロード保護はセキュリティ部門の最優先事項になりつつあります。

重視されるセキュリティ

前述したクラウド サービス プロバイダー(特に大手)は強力なサイバーセキュリティを備えており、他社のインフラよりも安全であることを強調していますが、こういったクラウド プロバイダーは責任共有モデルを採用しています。つまり、クラウド インフラ自体のセキュリティ責任はクラウド プロバイダーが負うものの、クラウド内に存在するものやそこで通信されるもの(アプリケーション、ワークロード、データ)に関する責任は利用者側に委ねられるということです。

こうした状況が、クラウドを行き来するワークロードを保護するセキュリティ ソリューションの増加に拍車をかけています。また、従来のセキュリティ アーキテクチャーでは最新の脅威に対応できないため、その人気は高まり続けています。この理由を理解するために、ワークロードがこれまでどのように保護されていたのか、そしてその保護のニーズが時間の経過とともにどのように変化したかを解説します。

従来のワークロード保護

ファイアウォールや仮想マシンのような従来のネットワークベースの技術は、ビジネスがオンプレミスで行われ、IT部門が守るべきデータの量が今よりもはるかに少なかった時代には、ワークロード保護として適切に機能していました。当時のサイバー攻撃は現在ほど高度ではなく、システムの内部にまで侵入することはほとんどありませんでした。また、クラウド アプリケーションもそれほど普及していなかったため、こういった保護は比較的効果を発揮していたのです。

言うまでもありませんが、ここ10年で世界は大きく変化しました。従業員があらゆる場所で仕事をするようになっただけでなく、クラウドやクラウドネイティブなアプリケーションが日々の生産性を高めるために必要不可欠なものとなりました。

ITやセキュリティの専門家は、旧式の技術ではクラウド環境に十分対処できないことを認識しています。クラウド環境は弾力的で、インフラとの結合が緩く、セキュリティ制御を行うための静的な境界を備えていません。さらにほとんどの企業は、クラウド サービス プロバイダーとデータ センターを組み合わせてアプリケーションの格納とワークフローの通信を行っているため、これらを包括的に可視化するという作業がますます複雑になっています。

だからこそ、アプリケーションとサービスをセキュリティ対策の末端ではなく、中心に置く必要があるのです。

変化するダイナミクス

制御は、アプリケーションが通過するネットワーク パスではなく、通信を行うアプリケーションとサービスのアイデンティティーに直接紐づける必要があります。アドレスやトラフィックのルートでソフトウェアを定義するだけではもはや十分とはいえません。アドレスベースの制御はクラウド環境では特に変更の影響を受けやすく、セキュリティ部門はこれを補うためにより多くのルールを構築する必要があります。

クラウドの一時的な性質は、セキュリティ部門に多くの課題をもたらしています。従来のセキュリティ技術は信頼をベースにしていますが、これではサイバー脅威を取り巻く最新の状況には対応できません。境界がほとんどなくなり、トラフィックの暗号化によって検査も困難になり、さらには分散されたデータの分類に大量のリソースが消費されます。同時に、こういった課題はクラウドを攻撃者にとって特に魅力的なものにしています。

お客様の声

エンドユーザーのデバイス(デスクトップやノートパソコンなど)の保護だけに焦点を当てたエンドポイント保護プラットフォーム(EPP)をサーバー ワークロードの保護に使用している企業は、企業のデータとアプリケーションを危険にさらすことになります。

Gartner

ワークロード保護における一般的な脅威

クラウド移行が進むにつれて、クラウド上のデータを狙う脅威の数も増えています。検知が難しく、強力な攻撃を仕掛ける脅威が増え続ける中で、適切なワークロード保護がない組織は簡単に大混乱に陥る恐れがあります。代表的な脅威として、次の3つが挙げられます。

  • クラウド ランサムウェア:クラウド環境は、身代金を目当てに機密データを人質にしようと侵入してくるマルウェアやランサムウェア攻撃に耐性がありません。
  • サプライ チェーン攻撃:この手の攻撃は、標的の組織が使用する製品(通常はソフトウェア)にバックドアを埋め込むことでアクセスを得ようとします。そして、自動化されたパッチや「トロイの木馬化」されたソフトウェア アップデートを配信して、マルウェアなどの攻撃を実行します。
  • データ流出:定義上、「脅威」ではありませんが、クラウド コンピューティングの最大のリスクの一つです。データ流出は保護対策の死角が原因で発生する場合が多く、ユーザーのミスや悪意のある行為がデータを流出させる事態を招いています。

ワークロード保護は上述のようなクラウド リスク全般を防ぐだけでなく、別の大きなメリットも実現します。それについては、次のセクションで解説します。

ワークロード保護のセキュリティ上のメリット

ワークロード保護は、デバイスやユーザーに対してではなく、特定のアプリケーションに対して制御を加えることで、以下のような質問に対する答えを明確にできます。

  • どのアプリケーションが通信を行っているのか?
  • 通信を行うべきアプリケーションはどれか?
  • 悪意のあるトラフィックを持続させることなく、適切なシステム同士が通信をしているか?

これらの質問に対する答えを明確にし、検証済みのワークロードだけがパブリック、プライベート、またはハイブリッド クラウド環境で通信できるようにすれば、リスクの軽減とデータ侵害に対する最高レベルの保護の確保が可能になります。組織にセキュリティ上のメリットをもたらす、効果的なワークロード保護の例を以下に紹介します。

複雑さの軽減

資産やポリシーのインベントリーを追跡することは簡単ではありません。また、サービスの場所が変更され、監視や管理が必要なデータ ポイントが増えることで、クラウドにおけるデータ フローのマッピングが複雑になります。ワークロード保護はアプリケーションが通信する環境ではなく、アプリケーションそのものに焦点を当てることで、追跡と保護を簡素化して変更による影響を予測します。

場所に依存しない一貫した保護

IPアドレス、ポート、プロトコルをコントロール プレーンとして使用するこれまでのセキュリティ ツールは、クラウド環境には適していません。クラウドの動的な本質に対して、このような静的なセキュリティ制御は1日の中でいつでも何度でも変更される可能性があるため、信頼性が低くなります。こうした問題に対処するために、ワークロード保護プラットフォームは、ソフトウェア自体のプロパティーに基づいて保護を割り当てます。

継続的なリスク評価

セキュリティ担当者は自社のネットワークが侵害に対して脆弱であることを理解しているものの、ネットワークが組織に与えかねないリスクのレベル、特に外部に公開されたアプリケーションがどの程度のリスクをもたらすかについては定量化できていない場合がほとんどです。適切なワークロード保護ソリューションは、目に見えるネットワークの攻撃対象領域をリアルタイムで測定し、使用されている可能性のあるアプリケーション通信経路の数を可視化します。

お客様の声

どのような場合でも、ソリューションはアイデンティティーベースの「マイクロセグメンテーション(ゼロトラスト ネットワーク セグメンテーションとも呼ばれる、よりきめ細かなソフトウェア定義のセグメンテーション)」への高まるニーズに対応する必要があります。

Gartner

お客様の声

Zscaler Workload Segmentationのトポロジー マッピングによって、絶えず変化する環境を正確に把握し、顧客のデータを危険にさらす潜在的な攻撃経路を排除できます。

John Arsneault氏, CIO, Goulston & Storrs

ワークロード保護のためのベストプラクティス

ワークロード保護は、適切なプラットフォームを選択することから始まります。ここでは強力なワークロード保護ソフトウェアを選ぶためのヒントをいくつか紹介します。

  • DevSecOpsプラクティスを統合する:DevSecOps戦略は、ソフトウェア開発ライフサイクル(SDLC)全体にセキュリティを統合します。これにより、DevOps部門はアプリケーションを構築、展開するにあたって、潜在的な脆弱性について心配する必要がなくなります。
  • ゼロトラスト セグメンテーションを使用する:セグメンテーションはサイバー脅威の侵入と移動を抑制する戦略として、すでにその効果が実証されています。ゼロトラスト ポリシーを適用したセグメンテーションは最小特権の原則とコンテキストアウェア認証に基づいて、脅威の移動を排除します。
  • クラウド ワークロード保護プラットフォーム(CWPP)を採用する:効果的なCWPPは場所に左右されることなく、物理マシン、仮想マシン、Kubernetesなどのコンテナー、サーバーレス ワークロード向けに一貫した制御と可視性を提供します。

クラウド ワークロード保護プラットフォーム(CWPP)の役割

ワークロード セグメンテーションはフラットなネットワークで許可される過剰なアクセスを排除するため、ワークロード保護戦略の中核といえます。フラットなネットワークでは、攻撃者が水平移動してクラウドやデータ センターのワークロードを侵害することができます。アプリケーションをセグメント化または分離して不要な経路を排除することで、潜在的な侵害は影響を受けた資産に封じ込められるため、影響範囲を実質的に抑えることができます。

マイクロセグメンテーションとも呼ばれるアプリケーションとワークロードのセグメント化により、相互に通信するワークロードの特性に基づいたワークロードのグループ分けが可能になります。マイクロセグメンテーションは、動的に変化するネットワークやネットワークに課せられたビジネス要件または技術要件に依存しないため、より強力で信頼性の高いセキュリティを提供できます。

Zscalerのソリューション

Zscaler Workload Communicationsは、ワンクリックでアプリケーション ワークロードをセグメント化する簡単で新しい手段です。ZWSは、ネットワークを一切変更することなく、ワークロードに対してアイデンティティーベースの保護を適用します。Zscaler Workload Communicationsは以下を実現します。

  • ゼロトラスト セキュリティを駆使して、マルウェアやランサムウェアのラテラル ムーブメントをサーバー、クラウド ワークロード、デスクトップ全体で防止し、脅威を阻止する
  • 機械学習を活用した独自のシンプルなマイクロセグメンテーションにより、ポリシーの作成と継続的な管理を自動化する
  • オンプレミスとパブリック クラウドで通信を行うアプリケーションについて統一された可視性を得る

また、通信するソフトウェアの重要性に基づいてリスク エクスポージャーを定量化し、機械学習の活用により最小限のゼロトラスト セキュリティ ポリシーを推奨することで、シンプルな管理を維持したままデータ侵害の可能性を大幅に低減します。

Zscaler Workload Communicationsを活用して、ワークロードとインターネット間、マルチクラウド、マルチリージョンにおけるミッションクリティカルなクラウド ワークロードのトラフィックを保護します。

おすすめのリソース

Zscaler Workload Communications
ソリューションを見る
クラウド ワークロード保護プラットフォームとは | CWPP | Zscaler
記事を読む
Shift Left and Shift Down with CWPP
ブログを読む(英語)
CNAPP and Cloud Workload Protection

01 / 02