好きな所から読む
現代社会の企業は、リモートアクセスであるVPNの現代的な後継として、ゼロトラスト・リモートアクセス・ソリューション(ZTRA)を評価しています。
VPNの起源は1996年にさかのぼりますが、当時はデータセンターがもっとシンプルで静的で、インターネットへの露出が少なかった時代でした。
VPNは、信頼されたネットワーク上のリソースにアクセスする従業員のための「城と堀」のセキュリティ戦略のために設計されました。20年後には、この境界線ベースのセキュリティ・モデルは老朽化しています。ダイナミックなマルチクラウドやハイブリッド環境を運用する企業では、境界線はすべて蒸発しています。管理されていないBYODな端末を使用するモバイル従業員の増加と、企業の機密リソースにアクセスするサードパーティ(請負業者、B2B パートナー、開発者)の増加は、複雑さを増し、セキュリティとネットワークのリーダーがリモートアクセスの新しいアプローチを調査する原因となっています。
なぜ今がVPNを交換する時期なのか
老朽化したVPNは、今日のダイナミックなマルチクラウドやハイブリッド環境でモバイル端末をBYOD活用し、企業の機密リソースにアクセスするサードパーティのホストを含む近代的な労働力を保有するような企業の要求には、全く沿うことが出来ません。VPN は、上記のみの理由で運用上非効率的なだけではありません。ダイナミック・クラウドは、毎日のようにニュースで耳にする壊滅的なデータ侵害の主な原因となっている横移動や不正アクセスの課題により、セキュリティ上の負債となっています。2019年の平均的なデータ侵害のコストは392万ドルに達しております。VPNの使い勝手に限らず、セキュリティとネットワークのリーダー・責任者たちがリモートアクセス時のセキュアな方法について新しいアプローチを模索しているのは当然のことです。
VPNの落とし穴
VPNの落とし穴:セキュリティ
- 幅広いネットワークアクセス
- 一回限りの承認や認証
VPNの落とし穴:管理の難しさ
- ネットワークポリシーの管理が複雑
- 他のセキュリティツールとの接続に限界がある
VPNの落とし穴:性能とコスト
- 従業員のユーザーエクスペリエンス(DX)が悪い
- 高価なハードウェア
ゼロトラスト・ネットワークを実現するベンダーを正しく選定しましょう
ゼロトラスト・ネットワーク・アクセス(ZTNA)は、リモートアクセスVPNに代わる現代的なソリューションです。
ZTNAは、リアルタイム要因、エンドツーエンドの暗号化、および最新のハイブリッドおよび複数のクラウド環境での利用を検討する際には、以下のような基準を考慮する必要があります。VPN に代わるゼロトラスト・ネットワーク・アクセス・ソリューションを評価する際に考慮すべき重要な基準を以下に示します。
【チェックリスト】ゼロトラストを実装するベンダーの判断項目
| インストール | 迅速なROI – 15分で簡単にデプロイができる |
| 100%ソフトウェアプラットフォームになっている。ハードウェアまたは仮想アプライアンスは必要ありません。 | |
| お客様のデータセンターへのクラウドインストールとオンプレミスの両方に対応している | |
| AWS、GCP、Azure Marketplacesでクリックボタンのデプロイが可能。 | |
| 企業のネットワークインフラには最小限の変更要求に留める。 | |
| 統合の容易さ・可能性 | 既存のセキュリティツールと簡単に統合ができる。 |
| IDaaS(例:Azure AD、Okta、Ping)と認証部分は連携ができる。 | |
| 端末の信頼性を検証するMDM / EMMツール(例:Airwatch、Intune、Jamf)などとも統合が簡単にできる。 | |
| リアルタイムなデバイスのヘルススコア変更を検知するべく、EDR(例:CarbonBlack、Crowdstrike、Sophos)とも連携が可能。 | |
| SIEMとUEBAツール(Splunk Phantom、Demistoなど)とも連携出来る。 | |
| アクセス制御 | 最小限の特権アクセス制御のための使いやすい、GUIなど可読性の高いポリシーエンジンが含まれています。 |
| アクセスおよびエンフォースメントの意思決定の一部として、既存のツールからのシグナルを組み込んだ信頼スコアリングフレームワークを提供します。 | |
| リアルタイムのイベント監視とアラートも提供している。 | |
| 短期間の認証とトークンによる継続的な認証を提供する。 | |
| 非常に細かなレベルの操作も可能なAPIハンドラーを提供します。 | |
| ネットワーク上では横方向の動きが制限され、インシデント時もリスクが最小限になる。 | |
| ポリシーと設定の自動化のためにAPIを提供している。 | |
| アーキテクチャ | オープンなインターネットからアプリケーションを隠蔽し、公開部分を減らすまたは無くす。 |
| マルチクラウド環境向けに設計されたアイデンティティ対応のプロキシ・アーキテクチャを提供します。 | |
| デバイスにインストールして姿勢を確認し、デバイスの信頼性を確立するための軽量アプリを提供している。 | |
| 中間のCDNクラウドではなく、組織がデータプレーンを所有することを可能にします。 | |
| フューチャープルーフは、ユーザーサービスとサービスサービスのゼロトラストユーザーケースの両方をサポートしています。 | |
| 認証用のネイティブPKIを組み込み、既存のPKIと統合します。 | |
| ユースケース | クラウド(IaaS、SaaS)とオンプレミスのユースケースをサポート |
| ホスト型Webアプリケーション – HTTP | |
| SaaSアプリケーション – SAML/OIDC | |
| サーバ – SSH / RDP | |
| クラウドサービス – TCP | |
| 従業員のUX | エンドユーザーに透過性のあるゼロトラストアクセスを提供 |
| エンドユーザーの既存のワークフローに干渉しないフリクションレスなアクセス | |
| パスワードレスなゼロトラストアクセスをサポート | |
| エンドユーザーにトラストスコアのメトリクスを公開するオプションが含まれているため、サポートへの問い合わせを減らすことができます。 | |
| ネットワーク | 既存のネットワーキング・インフラストラクチャに変更を加える必要はありません。 |
| 1つのサービスまたはアプリケーションを1つずつロールアウトする | |
| レイヤー6とレイヤー7のネットワークアクセスで透過的に展開 | |
| 管理するIPアドレスやサブネットが重複しない | |
| ネットワークアクセスにIPアドレスの代わりに暗号化されたIDを使用します。 | |
| NGFW/VPNアプライアンスは不要 |
ゼロトラストの実装には、適切なベンダーの選定が必須
エンドユーザーの既存のワークフローに対して摩擦がなく、透明性のある適切なゼロトラスト・リモート・アクセス・ソリューションを見つけるということは、アプリケーションやネットワークに変更を加えることなく段階的に展開し、既存のセキュリティツールセットと統合することが求められます。ロールアウトを成功させ、ROIを確保するためにはこの評価ガイドが非常に重要です。この評価ガイドが企業のセキュリティ姿勢を強化するためのゼロトラストリモートアクセスソリューションを検討する際の参考になることを願っています。