fbpx

CryptoLockerについて知っておくべき5つのこと

クリプトロッカー:サイバー犯罪の歴史

ランサムウェア攻撃は10年以上にわたって発生していますが、大規模な攻撃が見られるのは過去数年のことです。コンピュータセキュリティの専門家は、この種の攻撃の増加は、より困難になった他のサイバー犯罪と比較して成功率が高いためであると理論づけています。さらに、最近では、ランサムウェア用のソフトウェアは安価ですぐに入手できます。攻撃者は、攻撃を実行するために悪意のみを必要とします。 コーディングは必要ありません!

ランサムウェアに感染すると、被害者には2つの選択肢があります。身代金を支払うか、ファイルへのアクセスを完全に失うかです。ファイルの暗号化に使用されるマルウェアは防御が困難な場合があり、ほとんどの場合、暗号化を解除することはできません。

ランサムウェアは犯罪者にとって魅力的なものになりました。なぜなら、多くの個人や企業が不完全なデータバックアップを持っていること、またはまったくバックアップがないことを知っているため、身代金を支払ってファイルを回復する可能性が高いためです。犯罪者は概して、次のような選択肢によって身代金要求を低く抑えました:a)支払われる可能性が高い; b)法執行機関によって調査される可能性は低い。

多くの人が身代金を支払いました。FBIでさえ、場合によっては「身代金を支払う」ように企業に助言しました。残念ながら、攻撃者に報いることは、そのような恐喝スキームの拡大を促す戦略です。さらに、身代金が支払われた後、ファイルが復号化される保証ありませ

2014年、CryptoLockerマルウェアは、ランサムウェアを駆り立てたコマンドアンドコントロールセンターとGameOver Zeusボットネットのシャットダウンに成功した、セキュリティ会社と法執行機関の国際的な協力であるオペレーショントバーによってほぼ中和されました。

しかし、ランサムウェアの惨劇はまだ終わりではありません。CryptoLockerは、その成功の結果として、多数の模倣者を生み出しました。Cyber​​ Threat Allianceによると、彼らは2016年に大混乱をもたらすと約束しています。

ランサムウェアの新世代

2014年のCryptoLockerの廃止は、CryptoWallの価値ある後継者に代わるものであり、その後、ランサムウェアの最も厄介で最も成功した株の1つに進化しました。

CryptoWall は、電子メールの添付ファイル、エクスプロイトキット、ドライブバイダウンロードを介して届くことが知られています。これは、ユーザーが意図せずにウイルスやマルウェアをダウンロードした場合に発生します(通常、古いブラウザーまたはOSが原因です)。最近、複数の署名済みCryptoWall 3.0サンプルを含む新しいキャンペーンが、人気のあるファイル共有およびホスティングサービスであるMediaFire からダウンロードされるファイルに登場しました。

CryptoWall はすでに痛みをもたらしています

CryptoWall3(CW3)脅威に関する2015年のレポートで、サイバー脅威アライアンスは次のような驚くべき発見をしました:

  • 4,046のマルウェアサンプル
  • 839コマンドおよびコントロールURL
  • コマンドと制御に使用される5つの第2層IPアドレス
  • 49のキャンペーンコード識別子
  • • 406,887件のCW3への感染の試み

2016年2月、ランサムウェアの新しいバージョンが登場しました。Lockyとして知られているこのモデルは、非対称(公開キー)暗号化を使用してユーザードキュメントをロックし、復号化キーの身代金を要求する同じモデルに従います。専門家は、Locky が最もアクティブで有利なマルウェア株の1つになる可能性が高いと示唆しています。以前の株と同様に、その配信方法は主に、Locky ペイロードのダウンロードを担当するスパムメールの添付ファイルでした。

Locky は2016年2月のハリウッド長老派医療センターでの違反の責任者で、約17,000ドルの身代金を支払いました。結局、病院が電子カルテへのアクセスを回復し、従業員の電子通信能力を回復するために病院に支払うのは少額の費用でした。

ランサムウェアはビジネスの後に登場し、高価になりつつあります

専門家によると、ランサムウェアはスイートスポットになりました。ユーザーは、貴重なデータの返還と引き換えに、不本意ながら高額な身代金を支払っています。

しかし、これらのキャンペーンの成功は、主に個人を対象としているため、加害者はビジネスに目を向けるようになりました。新たに発見されたランサムウェアの亜種は、特に厄介なLinuxに焦点を合わせています。企業のWebサイトやコードリポジトリに影響を与える可能性が高く、重要な知的財産を失うリスクよりも、支払いに積極的になる傾向があるためです。

ランサムウェアが集中し、より企業になると、それはだ、感染した企業は、消費者の料金を払って逃げるとは考えにくいです。ランサムウェアキャンペーンの背後にいる犯罪者は精通しており、適切にバックアップされていないソースコードと財務文書をロックしていることに気づくと、身代金が急増することを期待して支払われることができます。

AVとマルウェアの保護が十分ではない理由

CryptoWall は、企業と個人ユーザーの両方にとって依然として強力な脅威です。従来のアンチウイルス(AV)アプリケーションはこれや他の多くのランサムウェア株と闘っています。感染が成功すると、シグネチャを反応的に追加したとしても、AVベンダーができることはほとんどありません。

適切な保護を提供するために単一の製品に依存することはできないため、ランサムウェアの脅威に対抗するには、多層的なセキュリティアプローチが必要です。

侵入防止システム(IPS)、アンチウイルス、サンドボックス、Webフィルタリング、IP レピュテーションスコアリング、アンチスパムサービスなどのソリューションの組み合わせにより、CryptoWall やその他の高度な脅威に対するネットワークの脆弱性を大幅に減らすことができます。SSLの使用は劇的に増加し、間もなくすべてのWebトラフィックの大部分を占めるようになるため、SSL によるトラフィックの検査は重要です。さらに、攻撃者はSSL暗号化メッセージに悪意のあるコンテンツを隠しています。

「2016 年末までに、SSLはすべてのWebトラフィックの60 %を消費すると予想されています。」

多層化されたアプローチは、相互に連携して実行されるさまざまな個別の保護に依存しています。たとえば、WebフィルタリングソリューションはCryptoWall C2 サイトへのアクセスをブロックし、侵入防止システムはCyptoWall ペイロードの配信を中断することができ、ウイルス対策とサンドボックスはCryptoWall 感染を検出してブロックすることができます。これらの高度なセキュリティソリューションは「キルチェーン方法論」として知られており、連携してさまざまな感染経路を閉鎖します。

これらのソリューションのいくつかは、特にウイルス対策、あるかなりユビキタス。しかし、ランサムウェアは常に変化しており、亜種はAVおよびその他のレガシーセキュリティソリューションを通過しています。その結果、より高度なソリューション、特に多層ソリューションは、今日の世界では不可欠であると見なす必要があります。

新しい攻撃スタイル:今すぐ支払うか後で支払う

2016年3月、Maktub Lockerと呼ばれる新しいランサムウェアファミリーは検出されブロックしました。ラボでマルウェアを爆発させたところ、バックグラウンドでユーザーファイルを暗号化するときに、偽のリッチテキスト形式(RTF)ドキュメントを起動することがわかりました。ファイルの暗号化が完了すると、Maktubは時間に敏感な身代金メモを表示します。身代金の支払いは、復号化キーを取得するために1.4ビットコインから始まります。しかし、身代金が72時間以内に支払われない場合、身代金は最大3.9ビットコインになります。

「2016年にはランサムウェアがますます企業中心になることを期待してください。そうすることで、企業は消費者料金の支払いから逃れることができなくなります。」

データとユーザーを今すぐ保護する方法

ランサムウェア攻撃の脅威にさらされている場合、バックアップシステムと冗長システムを配置して、データを常に安全に利用できるようにすることが最も重要です。クラウドバックアップシステムは、安全なオフサイトストレージのためにますます推奨されています。

ランサムウェアは、犯罪に不本意な共犯者になることをユーザーに依存しているため、最善の防御策は、脅威を理解し、感染を回避する方法を知っている十分に訓練されたユーザーを用意することです。いくつかのベストプラクティスは次のとおりです。

  • ユーザーは、システム上のオペレーティングシステム、デバイスファームウェア、およびアプリケーション(特にウイルス対策およびWebブラウザー)が最新であることを確認する必要があります。
  • ユーザーは、フィッシング技術について訓練を受ける必要があります。たとえば、常に電子メールメッセージを送信する人の名前に注意を払います。特にリンクや添付ファイルが含まれている場合は、不明な送信者や迷惑メールを信頼しないように警告する必要があります。
  • ユーザーは、受信する添付ファイルのファイルタイプにも注意を払う必要があります。 「.zip」のファイルは、CryptoWallで使用されていた「.scr」のような他の一般的ではないファイルタイプとともに、赤いフラグを付ける必要があります。
  • 最も人気のあるすべてのWebブラウザーは、ユーザーが個別にアクティブ化することを選択するまで、Java、Flash、Silverlightなどのプラグインを自動的にブロックする機能を提供します。これらの保護がオンになっていること、およびユーザーが信頼できるソースからのプラグインのみをアクティブにすることを確認してください。

ランサムウェアに対するあなたの最高の保護はクラウドにあります

ランサムウェアを作成する人々は、本物に似た電子メールメッセージを作成するのが得意です。信頼できるソースからの正当な送信者であることがよくあります。サイバー犯罪者は、ユーザーに到達できれば、ミッションを達成できる可能性が高いことを知っています。現在、このようなスキームはビジネスを対象としているため、悪意のあるファイルやサンドボックスの疑わしいトラフィックをブロックできる多層保護を実装することが重要です。さらに、システムは、メッセージが他の保護を通過できる場合にマルウェアがダウンロードされるのを防ぎます。

ハッカーは、多くの場合、タンデムで方法を組み合わせて使用します。そのため、8つの異なるセキュリティエンジンによってトラフィックがリアルタイムで検査されるため、調整された攻撃をすばやく発見し、ネットワークに侵入する前にブロックすることができます。

SSLを含むすべてのトラフィックを検査します

多くの(ほとんど!)組織はSSLトラフィックを検査しません。SSLトラフィックは非常に計算集約的であるためです。彼らはしてより多くの機器を購入しなければならない多対と8倍に負荷アップを処理し、それはだだけでほとんどの時間を現実的ではありません。しかし、最新のセキュリティ対策では暗号化されたトラフィックをグローバルなクラウドスケールで処理するように構築されているため、SSLの問題は問題になりません。最新のセキュリティ対策では、暗号化されたトラフィックを含むトラフィックのすべてのバイトをリアルタイムで検査するため、脅威が隠れることはありません。

最新のセキュリティ対策は受信トラフィックを使用して、ウイルス、アドウェア、スパイウェア、悪意のあるJavascript 、不正なファイル、およびシステムとネットワークを混乱させる可能性のあるその他のものを探します。

アウトバウンドトラフィックでは、悪意のあるURLリクエスト、クロスサイトスクリプティング、およびコマンドアンドコントロールセンター(ランサムウェアがデータを制御する方法)に向かうボットネットトラフィックを監視します。ランサムウェアがC&Cサーバーに到達できない場合、データを見つけて暗号化することはできません。

疑わしいトラフィックがあるときにアラートを送信するだけではありません。識別されたゼロデイ攻撃、インバウンドマルウェア、感染したデバイスからのアウトバウンドボットネット通信、アウトバウンドデータの漏洩を自動的にブロックします。

場所やデバイスを問わず、すべてのユーザーを保護します

脅威インテリジェンス、ボットネット検出、クラウドサンドボックスなどの統合セキュリティ機能は、リアルタイムで連携して包括的な保護を提供します。また、ネットワーク上またはネットワーク外のすべてのユーザーに、個人および会社所有のさまざまなデバイスでその保護を提供します。

攻撃者はインフラストラクチャの最も脆弱な部分を標的とし、多くの組織がリモートオフィス、戦士、モバイルデバイス、インターネットに接続されたものの保護に重大なギャップを抱えていることを知っています。パブリックWi-Fi接続上のモバイルデバイスのユーザーは、本社ネットワークに配線されたユーザーとまったく同じ保護を受けます。

クラウドインテリジェンスはすべてのユーザーにメリットがあります

大規模なグローバルなクラウドセキュリティプラットフォームは、ピーク時に100B以上のトランザクションを処理します。疑わしいオブジェクトは、制御されたサンドボックスで自動的に実行および監視され、ゼロデイ脅威などの悪意のある動作はすべて記録、分析、ブロックされます。何よりも、1500万人以上のユーザーのいずれかで脅威が発見された場合、すべてのユーザーに対して脅威がブロックされます。

セキュリティプラットフォーム

世界中の何千もの企業や政府機関の1500万人以上の従業員を、企業や規制のポリシーに完全に準拠しながら、サイバー攻撃やデータ侵害から保護します。受賞歴のあるクラウドセキュリティプラットフォームは、あらゆるユーザー、あらゆるデバイス、あらゆる場所に安全で生産的なインターネットエクスペリエンスを提供します。

効果的にセキュリティをインターネットバックボーンに移動し、世界中の150を超えるデータセンターで運用し、組織が比類のない妥協のない保護とパフォーマンスを備えたクラウドとモバイルコンピューティングの約束を完全に活用できるようにします。

GDPRの視点:GDPRに向けたプライバシーリスクの自動化

EUのGDPRの規制指令の一つに、リスクベースのプライバシー保護が新たに強調されています。しかし、GDPRでは何がプライバシーリスクを構成するかについて明確な定義はありません。同規則では、最もリスクの高い処理、つまり営利を目的とした大規模な処理と、仮名化を含むデータ保護の強化によってリスクを下げる方法を特定しているに過ぎません。データ処理がリスクの範囲内にあるかどうかを判断するには、部門を超えたコラボレーションと対応可能なリスクモデルが必要なだけでなく、組織が責任を負うすべての個人データとプライベートデータ、およびそのデータへのアクセスを明確に把握する必要があります。

序章

欧州連合(EU)の一般データ保護規則(GDPR)では、データ主体の権利が強調されており、消費者は企業がデータを収集した後も法的な権利を持ち、データにアクセスできるようになっています。

リスクという概念は同規則の構造にとって非常に重要であり、現行版ではこの言葉が75回も登場している。この点をさらに強化するために、リスク評価は、管理者(個人データや個人情報を収集する理由や方法を決定する主体)の責任を説明する最初の一文に登場している。

処理の性質、範囲、状況、目的、および自然人の権利と自由に対する可能性と重大性が異なるリスクを考慮して、管理者は、処理が本規則に従って行われていることを確実にし、証明できるようにするために、適切な技術的・組織的措置を実施しなければならない。管理者は、処理の性質、範囲、状況、目的、および自然人の権利と自由に対する様々な可能性と重大性のリスクを考慮して、処理が本規則に従って行われていることを確実にし、証明できるようにするために、適切な技術的・組織的措置を実施しなければならない

リスクベースのプライバシーの枠組みが公布されたことは、従来のコンプライアンス要件から大きく逸脱しています。GDPRでは、管理の証拠や活動の記録だけを要求するのではなく、管理者に管理や保護措置に失敗した場合の可能性を考え、その失敗が個人のプライバシーにどのような害をもたらすかを評価することを要求しています。これらの義務は、データ・プライバシー影響評価の規定に要約されています。この規定は、対象となる組織に対して、新しいサービスやアプリケーションを開始する前であっても、収集や処理に関連する個人データへのリスクを積極的に評価し、適切な管理やデータセキュリティ保護が行われているかどうかを評価することを義務づけています。

EUのGDPRの対象となる組織がすぐに直面する問題は、どのようにして適切かつ体系的にプライバシーリスクを測定するかということです。 結局のところ、リスクは一見すると簡単に定量化したり、対策を講じたりできるものではありません。

企業が個人を特定できる情報がどこにあるのか、その個人データは誰のものか、誰がそのデータにアクセスしているのかを知るためのテクノロジーを採用することは、リスク分析の持続可能なアプローチのためには、一貫して答えを出さなければならない重要な問題です。

リスクアセスメントのリスクビジネス

GDPRでは、リスク評価が非常に重要視されているにもかかわらず、何がリスクを構成するのか、どのように分析するのかという定義が明示されていないのが現状です。同規則では、個人のプライバシーが侵害される可能性がある場合の「可能性と重大性」がリスク評価のフレームワークとなるとしていますが、個人データやプライベートデータの漏洩の可能性と重大性をどのようにして低減するのがベストなのかについての技術的なガイドラインは明示されていません。

GDPR は、リスクを定量化する方法を明示していませんが、いくつかのヒントを提供しています。GDPR は、対象となる組織が「一般的な義務」の一部としてリスクを考慮すべきであると述べているため、リスク分析は、データがどのように保護されているかだけでなく、データがどのように処理されているか、また、それらの処理が規定のポリシーやユーザーの同意契約に沿っているかどうかにまで及ぶべきであると考えるのが妥当でしょう。

その意味では、以下のような活動を行う場合には、リスクを考慮しなければなりません。 個人データの特性をプロファイリングの目的で大規模に処理したり評価したりすることは、被害のリスクを高める可能性があります。GDPRは、「差別、個人情報の窃盗や詐欺、金銭的損失、評判への損害、専門家の秘密によって保護されたデータの機密性の喪失、偽名の不正な取り消し、またはその他の顕著な経済的または社会的不利益」につながる可能性のある処理活動から生じる「物理的、物質的または道徳的損害」を非常に大まかに定義しています。

処理によってもたらされる危害のリスクは、第 30 条によれば、対象組織が「リスクに応じた適切なレベルのセキュリティ」を実施していることを保証しなければなりません。 例えば、GDPR は、仮名化されたデータが含まれ、パーソナライゼーションの結果が得られることを意図していない場合、処理は低リスクであると考えています。

したがって、リスクを定量化し、危害が発生する確率を評価することから始める必要があります。

  • 何が、誰のデータを収集しているのかを理解する。
  • データ属性の感度測定
  • データの居住地の割り当て
  • どのように処理され、アクセスされているかをマッピング
  • どこにどのように保存されているかをピンポイントで表示
  • 処理違反や不正アクセスなど、不正使用されている場所の特定
  • データが同意書に沿って収集されているかどうかの分析
  • 収集するデータが目的の制限に沿っているかどうかの分析
  • 晒しや盗難に遭いやすい時期を見極めることができます。

データドリブンリスクモデリング

リスクを管理し、データ対象者への危害の可能性を制限することは、プライバシーポリシー、データ収集プロセス、アプリケーション設計、ストレージセキュリティ、データ管理、アクセス制御、データ保護の各要素の総体であることは必然である。プライバシー担当者、IT部門、アプリケーションオーナー、情報セキュリティ担当者など、様々なステークホルダーが、様々な視点からリスクの問題に向き合うことになります。 それぞれの機能領域におけるプライバシーリスクを理解し、定量化し、管理するためのツールとして、テクノロジーが必要です。

データフロー、アクセスアクティビティ、データマッピングへの洞察とインテリジェンスは、機能横断的なリスク管理と緩和のフレームワークに向かうために必要な基礎的なインプットです。リスクの高い活動に対して実行可能な推奨事項を提供し、データ管理または情報セキュリティチームによる作業フローの自動化を推進するためには、リスクモデルは実際のデータに基づいたものでなければなりません。

リスクモデリングツールは、データの機密性、居住性、データセキュリティ、アプリケーションアクセスを含むGDPRの要件の中心となる要因に基づいてデータリスクを理解し、比較するのに役立ちますが、利害関係者に関連するビューで提示されます。

静的な入力、特にデータの居住性、データセキュリティ、アプリケーションアクセスの両方を考慮することで、データリスクを理解し、比較することができます。 嚢胞と相対的な感度、アクセスパターンの分析やアプリケーションアクセスのような動的なリスクインプットを、ステークホル ダーに関連した視点で提示している。

データの居住性や相対的な感度などの静的な入力と、アクセスパターン、アプリケーションの動作、認証情報、データの脆弱性の分析などの動的なリスク入力の両方を考慮に入れると、組織のサイロで行われる一連のバラバラで切り離された(多くの場合、手動で集中的に行われる)プロセスよりもはるかに包括的な画像が作成されます。

リスク評価と分析は、KPI測定ツールとして実用的ですぐに役立つように設計されています。データタイプ、データの居住性、消費アプリケーションなどのような拡張可能なリスク入力のパレットに基づいて重み付けを設定するためのシンプルなコンフィグレータをオペレータに提供します。管理者は、特定のリスクKPIを定義するために、特定の重み付けを設定することができます。さらに、管理者は任意の数の独立したKPIを生成できるので、株式が複数のインデックス・パフォーマンス・ベンチマーク(ダウ20S&P500、…)に対してベンチマークされる方法と同様に、任意の数のベンチマークに対してKPIを追跡することができます。

これに基づいてリスクモデルを構築することで、利害関係者は簡単なフィルタやクエリを使って特定のデータやデータアクティビティを掘り下げることができ、データやデータ利用のあらゆるスライスのリスクを簡単に評価することができるようになります。 また、リスク軽減の推奨は、全体のリスクに対する相対的な影響によって順序付けすることができます。

すべての利害関係者が時間の経過とともにリスクのパフォーマンスを理解するのを助ける一連の可視化ツールと役割別のビューを提供します。さらに、リスク指標のいずれもAPIを介してアクセスできるので、GRCツール、SIEM分析ツール、またはUBAセキュリティツールでリスクKPIを簡単に再利用することができます。

これらの自動化されたリスク評価は、調査の優先順位付けやGDPRの要件であるプライバシー影響評価を必要とするリスクの高いプロセスを評価するために、データ発見およびデータマッピングツールと組み合わせて使用することもできます。データと使用に関するリスクインテリジェンスに基づいて、プライバシー担当者はリスク軽減の努力に優先順位をつけることができます。

2つのリスクプロファイルは同じではありません

すべての組織にはそれぞれ異なる重点とリスク哲学があるので、リスクモデルは、組織がリスクの割合に関連する重み付けとしきい値を設定できるようにカスタマイズすることができます。例えば、組織は他のデータ対象者と比較してEU域内に居住する個人に高いリスクを与えることを選択し、他の組織はEU域外で行われるデータ処理に高いリスクを割り当てることができます。

例えば、オンライン小売業のような業種では、企業は匿名のウェブ閲覧データであるべきものに複数の識別属性を関連付けることに高いリスクを割り当てるでしょう。システムは、クッキーから取得したデータが個人識別可能な情報と結合されているかどうか、あるいは処理パートナーが両方のデータストアにアクセスしているかどうかを検出して、実行可能な推奨事項を含むアラートを生成するために、コンフィグすることができます。

医学研究の分野では、すべての個人データ属性に与えられた相対的なリスクの重み付けはさらに高くなり、リスクモデルは処理を通じた再識別の確率にもっと重み付けされます。

結論

GDPRのリスクベースのフレームワークにどのように対応するのがベストなのかが不確実な中でも、対象となる組織はリスクの定量化とリスクを軽減するための部門横断的なプロセスの両方に積極的に取り組まなければならないことは明らかです。また、何が高リスクの活動とみなされ、より効果的な保護によってリスクを下げることができるかは明らかですが、リスクは固定的なものではなく、組織全体にとっても、リスク管理の責任を負うことになった利害関係者にとっても、1つのサイズですべてをカバーするモデルは存在しません。

 

 

企業がVDIでITコストを削減している3つの方法

予算が圧縮され、モビリティやビジネス・アジリティなどの新たな戦略的要件が求められる中、IT 部門は、より少ない予算でより多くのことを行わなければならないというプレッシャーに直面しています。資本コストと運用コストを削減するためには、IT スタッフの数を減らしてユーザーや拠点をサポートし、購入品を減らし、既存の資産を再利用する必要があります。テレワーク、バーチャルオフィス、BYODなどの代替ワーク戦略を可能にすることは、不動産、エネルギー、ハードウェアのコストを節約するための最優先事項です。 銀行やヘルスケアを中心としたあらゆる業界でセキュリティへの関心が高まり続ける中、侵害を防止し、事実上無限に発生するコストを回避することも非常に重要です。

従来の分散コンピューティングアーキテクチャには高いコストがかかります。ハードウェアを各場所にローカルにインストールすることで、IT 部門は、各支店に人員を配置したり、問題に対処するために場所を移動したりしなければならないという、負担が大きく非効率的なサポートモデルを構築してしまいます。ユーザーは作業できる場所が限られており、最も生産性の高い場所やデバイスを選択する柔軟性に欠けています。また、よりコスト効率の高いテレワークやBYOD 戦略を導入するためのシンプルで安全な方法はありません。データが組織全体に広がっているため、データの損失や盗難、サイバー攻撃、規制違反のリスクにビジネスをさらすことになります。

デスクトップの仮想化により、IT 部門は、資本コストと運用コストを削減し、柔軟性を高め、セキュリティを向上させる集中型アーキテクチャに移行することができます。仮想デスクトップ・インフラストラクチャ(VDI)は、以下のことを可能にします。

  • 買収コストを削減し、分散した組織をサポートするために必要なインフラストラクチャを削減し、集中サポートを可能にすることで、コスト効率の高い成長をサポートします。
  • 老朽化したエンドポイントに最新のアプリやオペレーティング・システムを提供し、優れたユーザー・エクスペリエンスを提供することで、PCのリフレッシュ・サイクルを短縮します。
  • データセンター内でアプリやデータを安全に保つことで、コストのかかるセキュリティ侵害のリスクを低減します。
  • 従業員がリモートまたはバーチャルオフィスで仕事をしたり、BYODを可能にして不動産、エネルギー、およびハードウェアを節約したりすることで、オーバーヘッドを削減します。

デスクトップ仮想化ソリューションであるVDIを使用して、世界中の何千もの組織のITコスト削減を支援しています。VDIコンポーネントを使用すると、Windowsアプリケーションをデータセンターで仮想化、集中管理、管理することができ、どこにいても、どこにいても、どこにいても、どこのデバイスにいても、サービスとして即座にユーザーに提供することができます。Forrester Wave™でも紹介されています。

ライフスタイルヒアリングは、ITコストを増やさずに事業を拡大

概要

ライフスタイル・ヒアリング・ネットワークは、カナダを代表する独立した聴力検査クリニックの多くを統合し、北米全域の患者にサービスを提供しています。2008年に設立されたLifestyle Hearingは、買収により急成長を遂げ、設立から6ヶ月でわずか3名の従業員から100名以上の従業員を抱えるまでに成長しました。現在、Lifestyle Hearingはカナダとアメリカの間に150以上のクリニックを展開しています。この事業は、約420人のアクティブなユーザーに支えられています。

課題

組織が地理的に分散していることを考えると、Lifestyle Hearingは、現地の技術者や高額なコンサルタントに頼ることなく、無数の場所にあるクリニックやユーザーをサポートする必要があります。Lifestyle HearingのITディレクター、Franco Butera氏は次のように述べています。「当社のオフィスの多くは、本社から車で6時間、または飛行機で6時間の距離にあり、直接訪問して効果的にサポートすることは不可能です。

解決策

Lifestyle Hearingは、ビジネスアプリ、デスクトップ、データを集中的に安全に配信するためにVDIを選択しました。グローバルサーバーロードバランシング(GSLB)を提供し、あらゆる場所のユーザーに高品質な体験を提供します。このソリューションは、米国とカナダの両方のパブリッククラウドデータセンターでホストされており、各国のデータセキュリティとプライバシー規制へのコンプライアンスをサポートします。ユーザーは、iPad、PC、その他の個人所有のデバイスなど、選択したデバイスを使用してアプリやデスクトップにアクセスし、自宅でも診療所でも、どこからでも同じように作業することができます。

主なメリット

VDIは、新しいエンドポイントのプロビジョニングと設定をすぐに行う必要がないため、Lifestyle Hearing社は、新しく買収したクリニックの統合にかかるコストを削減することができました。その代わり、IT 部門は既存の PC を使用してアプリ、デスクトップ、データへのアクセスを可能にし、買収した企業のハードウェアを時間の経過とともに徐々に更新することができます。買収した企業は自社の PC の寿命を延ばすことができ、従来の 3~4 年のライフサイクルを超えてサービスを維持しながら、完全に最新のユーザー体験を提供することができます。

プロビジョニングと制御を一元的に行うことで、ライセンスとネットワークのコストを削減することができます。企業は、同時実行と再利用により、組織全体でソフトウェアライセンスが効率的に利用されていることを確認することができます。このソリューションにより、安価なコンシューマー・ブロードバンドでも優れたエクスペリエンスを提供できるようになり、高額なWANやファイバー・アップグレード(1 拠点あたり 3,000 ドルの潜在的なコスト)の必要性がなくなります。GSLBは、障害発生時に代替サイトへの自動フェイルオーバーなど、ユーザーのパフォーマンス・ニーズを満たすために最適な環境をユーザーに提供します。

最小限のオンプレミスのアーキテクチャで ライフスタイルヒアリングでは、各診療所でのサポートはもちろんのこと、少人数で集中的にサポートすることで、ユーザーのサポートも容易になりました。ITチーム全体は、カナダに2名の技術者、米国に1名の技術者、ヘルプデスクとインフラを担当するITマネージャー1名で構成されています。技術的な知識のないユーザーでも、直接訪問することなく、故障したルーターを新しいものに交換することができます。”すべてをリモートで行い、診療所に行く必要はほとんどありません。

ケリハー保険はPCのリフレッシュサイクルを節約します

概要

Kelliher Insurance Group(旧 Kerry London)は、英国を代表する独立系保険ブローカーグループで、様々な業界のお客様に総合的な専門保険ソリューションを提供しています。同グループは、Kerry London、Trade Direct、Self Build、Professional Directなどの事業とブランドで構成されています。

課題

Kelliher社は、アプリケーションとデスクトップの管理を簡素化し、優れたユーザーエクスペリエンスを確保しながら、拠点間のコストを削減する必要がありました。ユーザーに確実に導入してもらうためには、使いやすく、ネットワーク品質が限られているリモートオフィスにも対応できるソリューションでなければなりませんでした。エンドポイントの老朽化が進んでいるため、特にWindows 10の登場により、コストのかかる更新に直面していました。

解決策

Kelliher社は、仮想アプリ、デスクトップ、データの安全なソリューションとしてVDIを選択しました。Kelliher Groupでは、VDIを使用して、Microsoft Officeと保険の専門アプリケーションの両方を提供しています。そのVDIアーキテクチャにより、IT部門はレガシーサーバー環境を維持し、ユーザーがどのデバイスからでもアクセスできるようにすることができます。

主なメリット

VDIの導入により、Kelliher社は老朽化したエンドポイントの影響を軽減することができました。VDIのおかげで、一括して更新するコストが削減されたため、数年に渡って設備投資を分散させ、サポートサイクルを均等化することができました」と、Kelliher InsuranceのIT部門のグループヘッドであるSimon Davey氏は述べています。 IT部門は、Windows 10デバイス上で、そのOS上で動作しないビジネスアプリへのアクセスを提供することができ、アプリの寿命を延ばし、新しいデバイスが環境に入ってきても、一貫した秩序ある移行を確保することができます。

Kelliher社がセキュリティとコンプライアンスを維持するのにも役立っています。集中型VDIアーキテクチャは、データセンター内のデータを安全に保ち、支店や自宅のユーザーが簡単にアクセスできるようにし、モバイルデバイスやその他のエンドポイントからもデータにアクセスできます。企業以外のPCでデータをローカルにダウンロードすることはできず、リモート・ワイプ機能により、デバイスを紛失しても企業や顧客のデータが損なわれることはありません。このようにVDIは、Kelliher社がセキュリティとモビリティの両方を実現するのに役立っています。

アメリカンフォーク銀行は、コストのかかるセキュリティや規制違反のリスクを軽減します

概要

1913年に設立され、現在はピープルズ・インターマウンテン銀行の一部門となっているバンク・オブ・アメリカン・フォークは、資産規模と預金額に基づいて14のフルサービス支店を持つユタ州最大のコミュニティ・バンクです。Bank of American Forkは「大都市の銀行と小さな町のサービス」をお約束します。大規模な銀行に見られるテクノロジー、商品、サービスのすべてを備えながらも、小さな町にあるような卓越した顧客サービスと親しみやすさを備えています。

挑戦

急成長を遂げているコミュニティ・バンクとして、Bank of American Fork のマネージャーは、支店を迅速に開設し、買収を追求し、買収した銀行の顧客に自社システムへのシームレスな移行を可能にする必要があります。また、セキュリティ侵害を回避し、グラム・リーチ・ブライリー法を含む規制へのコンプライアンスを維持するために、顧客の個人情報(PII)を安全に管理しなければなりませんが、従業員がBYODや在宅勤務などの人気プログラムを利用している場合もあります。Bank of American Forkの従業員400人のうち、50人が定期的にリモートアクセスを利用しています。

ソリューション

Bank of American Forkでは、VDIデスクトップと公開アプリケーションを、従業員が仕事をしている場所であればどこでも、選択したデバイスで提供しています。ほとんどの従業員は、支店で従来のPCに代わってシンクライアントを使用していますが、iPadやMacBookで業務アプリにアクセスする従業員もいます。

主なメリット

VDIにより、バンク・オブ・アメリカン・フォークは、全体的かつ包括的なデータ保護とサイバーセキュリティを適用するために、1つの場所から簡単にセキュリティを管理することができるようになりました。PCからUSB制限のあるシンクライアントへの移行により、各支店のすべてのエンドポイントでディスク暗号化を実行する必要がなくなりました。”誰かのラップトップが盗まれたり、ウイルスに感染したりしても、アクセスしているものはすべてデータセンター内に集中管理されているため、個々のデバイスで動き回ることはありません。同行では、VDIイメージ管理技術を使用して、プールされたデスクトップを提供しています。ユーザーがログオフするたびに、仮想デスクトップは元の状態に復元されます。その結果、ウイルスや侵入、その他の脅威の疑いがある場合でも、OSの再インストールや、とらえどころのないマルウェアの駆除を行うことなく、再起動するだけで対処できるようになりました。銀行では、システムへのVPNアクセスを許可する代わりに、支店外で働く人々に仮想デスクトップを使用することを要求しています。ホーリー氏は、「銀行の審査官は、データがサイトから離れることがないことを気に入っています」と述べています。勿論VDIは、VPNをゼロトラストに置き換えた後にも端末を対象に有効活用できます。

バンク・オブ・アメリカンフォークの住宅ローン部門のメンバーのほとんどは、主に自宅で仕事をしており、オフィスに出社するのは週に1回程度です。彼らは、どの場所でも同じように仮想デスクトップをどのデバイスからでも起動することができ、場所を問わずシームレスな体験を提供すると同時に、テレワークとBYODの両方をサポートして満足度を向上させます。

結論

コストを削減し、ITを簡素化する必要性は、セキュリティを犠牲にしてまで実現するものではありません。VDIを実装することで、企業は資本コストと運用コストを削減しながら、高額な違反や規制当局からの罰金を回避することができます。VDIでは、作業場所や使用するデバイスに柔軟性を持たせることで、従業員の満足度を向上させ、テレワークやBYODなどのコスト削減戦略を活用することが可能になります。あらゆるデバイスを使用してデスクトップにアクセスできるため、エンドポイントの更新サイクルを延長し、導入コストを削減することができます。

IPアドレスベースのアクセス制御を変革する

多くの企業は、アプリケーションへのアクセスを制御するためにソースIPアドレス識別を採用しています。ただし、これらの組織がSaaSアプリケーションを採用し、内部アプリケーションをデータセンターから移行し、リモート作業をサポートする場合、企業リソースへのアクセスを保護する手段としての送信元IPアドレスの識別の効果は低くなります。所謂ゼロトラストネットワークアクセス(ZTNA)への移行の流れです。(ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。)

作業方法は、クラウドファースト、デバイスにとらわれず、リモートに進化しました。それを保護する手段も進化しなければなりません。エンタープライズクラウドの変革には、新しいIDベースの承認メカニズム(多要素認証、MFAなど)が必要です。

一部の組織では、IPアドレスのみからインラインプロキシセキュリティを使用するMFAへのパスに高いスイッチングコストがかかります。IPアドレスコントロールは、レガシーアプリケーションにハードコードされているか、地理的制限として内部Webサイトに埋め込まれているか、規制要件によって義務付けられているか、または単に企業のITセキュリティ文化に深く根付いている場合があります。

ユーザーの作業の大部分は現在、クラウドまたはインターネット上で行われ、多くの場合、「ホットスポット」から、および/または個人のデバイスからリモートで行われています。送信元IPアドレスの識別は、それ自体では、エンタープライズリソースへのアクセスを管理するための信頼できる、または強制可能なセキュリティ制御ではなくなりました。

IPアドレス制御の履歴・制限

IPアドレスに基づいてアプリケーションまたはリソースへのアクセスを制限することは、ユーザーとアプリケーションの両方が境界防御の範囲内にいた時代からのコントロールコンセプトです。IPアドレス番号は、企業ネットワーク経由でアプリケーションまたはリソースへのアクセスを求めるホストデバイスを識別します。セキュリティの「チャレンジ」は基本です。このデバイスのIPアドレスは、数値の許容可能な設定範囲内ですか?はいの場合、跳ね橋を下げます。いいえの場合、玄関の呼び鈴に答えないでください。

このようなエンタープライズ環境では、IPアドレスはいわゆる「セキュリティゾーン」に分類され、各ゾーンにはセキュリティ感度のレベルが割り当てられています。エンタープライズデバイスは、特定のゾーンに与えられた特権に基づいてリソースにアクセスできます。ゾーンの範囲は不連続である可能性があり、一部のホストデバイスはデフォルトのセキュリティゾーンに割り当てられている可能性があります(インターフェイスが既存のセキュリティゾーンにまだ明示的に関連付けられていない場合)。

IPアドレス制御は、ホワイトリストとブラックリストに依存しています。アクセスを許可するために、アプリケーションまたはサービスは、問い合わせデバイスのソースIPアドレス番号を、「ホワイトリスト」としても知られる承認済みの番号リスト(たとえば、許可されたセキュリティゾーン内)と比較し、比較の結果に基づいて、アクセス要求を拒否、またはチャレンジします。要求された場合、ホストデバイスは追加の認証詳細を提供する必要がある場合があります。(レガシーデータセンター環境では、このようなチャレンジ機能は典型的ではありません。アクセスは通常IPアドレスのみで決定されます。)ホストデバイスが拒否された場合、その数はブラックリストに記載されます。(ブラックリストは他の方法でも機能することに注意してください。ITセキュリティは、実際のまたは知覚されるセキュリティリスクのために、宛先として特定のURLまたはIPアドレス範囲へのアクセスを制限する場合があります。)

ソースIPアドレスベースのアクセス制御は、実装がかなり簡単です。それらだけで効果があったとすれば。新しいエンタープライズの作業方法を保護することに関しては、ソースIPアドレスベースのアクセス制御には制限があります。

  • 不十分な認証:識別メカニズムとして、IPアドレスコントロールはデバイスのユーザーではなくデバイスを認識します。これにより、ゼロトラストポリシーの主要コンポーネントである最小特権のアクセス許可が適用されなくなります。承認されたセキュリティゾーン内のデバイスが侵害された場合、そのデバイスにアクセスできるすべてのものが攻撃に対して脆弱になります。
  • 複雑さ:IPアドレス管理は非常に複雑です。不適切に設定されたIP範囲は、管理サイトへのアクセスを誤ってロックアウトする可能性があります。
  • リモートでの作業には効果がありません:地理的制限(たとえば、地理に基づいて割り当てられた特定の範囲)に使用すると、ユーザーが新しい「地理的外」の場所からリソースにアクセスすると、ソースIPアドレスの制御が失敗します。
  • パフォーマンスの低下:ソースIPの制限により、ユーザーはリモートの作業場所からVPNに強制的にアクセスするため、既知のIPを介してインターネットに下りることができます。このバックホールにより、レイテンシが増加します。そもそも本来、境界型の延長であるVPNはゼロトラストへの移行が必要です。
  • 侵害の脆弱性:IPアドレスは簡単に偽装される可能性があります。一般的な攻撃ベクトルシナリオの1つ:許可されたアドレススペース内のオープン(または弱いWEP暗号化ベース)Wi-Fiネットワークは、接続を乗っ取ってアクセスするために簡単に悪用される可能性があります。

ソースIPアドレスを「アンカー」してアプリケーションやリソースへのアクセスを制御する企業は、新しいクラウドファーストデバイスに依存しないテレワークの作業方法を保護するためのアプローチを再発明する必要があります。実際、彼らの従業員は既にそのように働いています。しかし、アクセスを保護する唯一の手段としてソースIPアドレス制御を超えることは簡単ではなく、そのような努力はスイッチングコストを招く可能性があります。

クラウドベースのセキュリティサービスは、ソースIPアドレスのセキュリティアンカーと組み合わせて、クラウドセキュリティサービススタックのレイヤーとして機能し、企業の脅威保護態勢を強固にすることができます。より強力なセキュリティアーキテクチャへの移行パスを提供します。

ソースIPコントロール:レイヤードセキュリティへの実用的なアプローチ

クラウドとモビリティが従来のネットワークとセキュリティアーキテクチャを混乱させるという考えに基づいて設立されました。この混乱は、企業がソースIPアドレスベースのセキュリティ制御からアイデンティティベースの認証に移行する必要があることから明らかです。

新しい作業方法を保護するには、企業のITリーダーは評価から始める必要があります。組織は、アクセス制御メカニズムとして送信元IPアドレスにどの程度依存していますか?何既存の理想的なセキュリティ状態の間のギャップは?また、このようなイニシアチブを社内で販売するのに役立つ評価基準(コスト、複雑さ、セキュリティポスチャメトリックの改善)はどれですか。

その評価は、エンタープライズセキュリティ戦略計画の最初の段階です。

    1. ソースIPアドレスの使用を監査して、内部および外部リソースへのアクセスを許可/制限します。
      1. ソースIPアドレス制御の使用を変更できますか?もしそうなら、何(ケースバイケースで)それらの変更の範囲は?
      2. 承認されたセキュリティゾーンのIPアドレスは、外部のサードパーティ(IPアドレスを使用して地域内のアクセスを決定する政府の規制機関など)によって義務付けられていますか?
      3. レガシーIPアドレスコーディングが埋め込まれた内部サイトを、MFAなどのより新しい(動的な)認証メカニズムに更新できますか?
    2. 評価結果に基づいて、セキュリティの移行に優先順位を付けます。
      1. ソースIPアドレスの制御:インラインプロキシクラウドベースのセキュリティでどのエンタープライズオペレーションを階層化する必要がありますか?

ユーザーのインターネット下りを保護し、企業を外部の脅威(フィッシングランサムウェア、またはその他のマルウェア攻撃)とデータの漏洩の両方から保護します。また別の製品でアプリケーションとリソースへの内部トラフィックを保護し、企業データへの不正アクセスから企業を保護することも可能です。2つのサービスは個別に販売および管理されます。

ソースIPアドレスベースの制御

企業は、従来のインターネット下り方式からローカルインターネットのブレイクアウトへと進みます。従来のモデル(城と堀の境界セキュリティを備えたハブアンドスポークの企業ネットワーク)では、ユーザーは(多くの場合VPNを介して)中央のWebゲートウェイに接続し、そこからインターネットに移動します。トラフィックがバックホールされ、ゲートウェイがボトルネックになり、接続パフォーマンスが低下します。

ユーザーが最寄りのインターネットオンランプでオンラインになり、Office 365などのSaaSアプリケーションを含むインターネットリソースへの直接、安全、高速、最適化されたアクセスを楽しむモデルとは対照的です。この新しいモデルでは、企業ネットワーク(およびインターネット)はなくなります。インラインプロキシとして機能します。お客様のデバイスまたはネットワークからの元の接続を終了し、ユーザーに代わって宛先コンテンツサーバーへの新しい直接接続を開始します。コンテンツサーバーに表示されるソースIPアドレスは、データセンターからのパブリック出力IPアドレスであり、エンタープライズユーザーのデバイスの元のIPアドレスではありません。

クライアントからサーバーに行き来するすべてのコンテンツを検査し、ユーザーが悪意のある(または侵害された)宛先にアクセスした場合にユーザーを保護できます。出力でIPを使用すると、ネットワークアドレス変換(NAT)保護の形式として機能し、デバイスのIPアドレスを宛先コンテンツサーバーから保護します。(デバイスのIPアドレスがXFFヘッダーに挿入されることに注意してください。)

送信元IPアドレスのホワイトリストに依拠している企業の場合、宛先アプリケーションはIPアドレスを許容可能な「セキュリティゾーン」の範囲内として認識しないため、NATアドレスマスキングはアプリケーションアクセスを妨害する可能性があります。

企業トラフィックを内部リソースに誘導します。接続は出力されませんが、代わりにアプリケーションコネクターにルーティングされます(そこから適切な内部リソースに接続されます)。アプリケーションコネクタはお客様自身のデータセンターまたはパブリッククラウド(たとえば、AWS、Azure、またはGCP)に存在するため、宛先リソース(内部アプリケーションやコンテンツサーバーなど)は、ユーザーに割り当てられた、またはホワイトリストに登録されたIPアドレスを表示できます。

非Webアプリケーションのエンドポイントコントロールをし、内部Webアプリケーションに対してブラウザベースのアクセスを可能にします。すべての送受信トラフィック(SSL / TLS暗号化データを含む)の包括的な検査を提供しますが、内部データトラフィックのゼロトラスト原則に準拠しているため、そうではありません。セキュリティをレイヤー化しようとしている企業は、固有のIPアドレスNATを使用する事を検討する必要があります。ソースやIPアドレス制御は、セキュリティ検査を必要としない信頼できるアプリケーションへのユーザーアクセスを保護するためのオプションですが、より広いインターネット下りリスクへの露出の測定を考慮した場合のみです。

安全な導入を確保するための一般的な使用例、主要な考慮事項、およびベストプラクティスの推奨事項を以下に示します。

送信元IPアドレスベースのアクセス制御:従来の使用例

アプリケーションアクセス制御メカニズムとしての送信元IPアドレスは、次の4つの主要なエンタープライズユースケースに分類できます。

  1. 外部SaaSアプリケーションへのアクセスの制御
  2. ステップアップ認証ポリシー属性としてソースIPアドレスを使用する
  3. 境界ファイアウォールでの着信接続の許可/制限
  4. 送信元IPアドレスに基づく地理位置情報

1.外部SaaSアプリケーションへのアクセスの制御

SaaSなどの多くのアプリケーションは、アプリケーションサーバーへのアクセスの承認基準としてIPアドレスを引き続き使用しています。インバウンド接続要求が検出されると、アプリは送信元IPアドレスをホワイトリスト(たとえば、承認された「セキュリティゾーン」の範囲の番号)と比較し、アクセスを許可または拒否します。

多くの場合-ほとんどのSaaSアプリケーションアクセス方法を含めて-この形式のアクセスは通常、アプリケーションレベルの認証に取って代わるものではありませんが、それでもまだ一般的に使用されています。保護されたデータセンターからクラウドまたはインターネットに移行されたアプリケーション(多くの場合、レガシーIP アドレスベースのアクセス制御コードを実行するアプリケーション)の補足アクセスメカニズムとしてエンタープライズ環境で使用できます。

アプリケーションが権限のないユーザーにアクセスを許可しないようにするには、MFAのようなより最新のセキュリティアプローチが必要です。また、ほとんどのSaaSアプリケーションは、シングルサインオン(SSO)とセキュリティアサーションマークアップ言語(SAML)をサポートするようになりました。一部のSaaSアプリケーションでは、ソースIPアドレスはテナントと認証スキームの識別に使用され、サービスが着信接続に使用するテナントとIDプロバイダー(IdP)を選択できるようにするため必須です。

レガシーネットワーク設計では、ロケーションのファイアウォールのNAT境界を通過した後、出力IPアドレスはすべてのカスタマーロケーションのパブリックIPまたはIP範囲になります。 レガシーネットワークでは、比較的少数の下りロケーションとIPがあり、クラウドとパートナーアプリケーションのホワイトリストの管理が管理しやすくなります。 ローミングユーザーがこれらのアプリケーションにアクセスする場合は、VPNでロケーションにアクセスする必要があります。これにより、ユーザーはそのロケーションのIPを介して下り、アクセスが許可されます。

SaaSベンダーは、IDプロバイダー(IdP )がユーザー資格情報をサービスプロバイダー(SaaS)に渡すことを可能にするセキュリティアサーションマークアップ言語(SAML)を広く採用しています。歴史的に、MFAは扱いにくいエンタープライズクラスのソリューションと見なされていました。実装が難しく、展開が困難です。管理は難しく、エンドユーザーは各サービスでトークンを持ち歩く必要がありませんでした。しかし、モバイルスマートフォンの登場により、otpまたはトークンの生成を容易にするアプリケーションが登場しました。さらに、多くのWebアプリケーションでアドオン機能としてMFAが有効になり、管理オーバーヘッドが削減されています。この使いやすさとセットアップの容易さは、このセキュリティ機能の人気の高まりの大きな原動力です。

多くのセキュリティソリューションで、ユーザーのプロビジョニングと認証にSAMLを使用してID管理をデプロイすることを推奨しています。

一部のアプリケーションはオプションのセキュリティレイヤーとしてIPアドレスホワイトリストを提供しますが、一部のサービス(B2Bの状況で一般的)は必須としてソースIPホワイトリストを必要とし、ソースIPアドレスの明示的なリストなしにパートナーをオンボーディングしません。たとえば、A社にはB 社のシステムで作業している請負業者がいて、B 社のシステムにアクセスするために、事前に指定されたIP範囲から接続を開始する必要があります。その他の一般的な例としては、VAT申告アプリケーションなど、政府機関がホストするアプリケーション、ブルームバーグまたはトムソンロイターがホストする研究端末、銀行アプリケーションなどがあります。

2.ステップアップ認証ポリシー属性としてソースIPアドレスを使用する

送信元IPアドレスは、認証の課題をエスカレーションするための決定基準として使用できます。 たとえば、ホワイトリストに送信元IPアドレスを使用するエンタープライズ環境(上記の使用例1を参照)では、送信元IPアドレスが次の場合、単一の認証要素(IPアドレス番号自体)に基づいて許容範囲内で着信デバイス接続が許可されます。しかし、範囲外のIPアドレスのデバイスがアクセスを必要とする状況がある場合、IPアドレスの確認は困難になります。 ソースデバイスのIPアドレスが許容範囲内にない場合、認証の2番目の要素(またはそれ以上)(ワンタイムパスワードまたはRSAキーエントリ)が必要です。

このユースケースは、ホワイトリスト(ユースケース#1)に加えて、認識されないIPアドレスアクセスを許可する追加の認証チャレンジです。その方法では、理論的にはユーザーが新しいデバイスから(もちろん、第2要素認証の検証を使用して)ログオンできるため、リモート作業のサポートがわずかに向上します。ただし、それでも(ユーザーではなくデバイスに関連付けられた)かなり選択的な認証形式です。

3.境界ファイアウォールでの着信接続の許可/制限

一部の企業(アプリケーションまたはデータを内部ネットワークまたはデータセンターからパブリックIaaSクラウドに移行する場合)は、再配置されたアプリケーションをホストする仮想ネットワークへのアクセスを制限しようとします。このモデルでは、ITは基本的に、仮想ネットワークの周囲に境界ファイアウォールを拡張し、城内およびセキュリティで保護されたネットワーク(既知のすべてのセキュリティ制限付き)をクラウドで仮想化します。:インバウンドアクセスは、VPNを介して許可される(VPNへのアクセスは、 もちろん、送信元IPアドレスに基づく)か、または選択した範囲内のホワイトリストに登録されたIPアドレスに基づきます(仮想化ファイアウォールルールセットで構成)。

クラウドで移行され、カスタム開発された内部アプリケーションが「ハード化」されたり、インターネットに公開できる程度にテストされたりすることはめったにありません。リファクタリングは高価であり(常に実用的であるとは限りません)、この使用例では、送信元IPアドレスベースのアクセス制御が(その制限にもかかわらず)重要なセキュリティ機能として(文字通りおよび比喩的に)定着しています。

4.送信元IPアドレスに基づく地理位置情報

一部のWebサイトは、IPアドレスの地理位置情報に基づいて動的コンテンツを表示します。その他-多くのメディアサービスや政府のサイトなど-は、ソースIPアドレスの識別を使用してコンテンツへのアクセスを制限しています。認識される地理位置情報を変更できます。たとえば、カナダのユーザーが国境を越えて近くのサーバーを介してログオンする場合があります。宛先サイトは、再割り当てされたIPアドレスを認識し、米国に所在するデバイスであると考えるものにコンテンツを提示します。

残念ながら、それに依存しているサイトでは、IPアドレスベースの地理位置情報は、特に正確ではなくなっています。

  • 「エニーキャスト」はデバイスの特定を難読化する可能性があります。:IPアドレスプレフィックスが複数の場所から同時にアナウンスされる場合、それは「エニーキャスト」と呼ばれます。これは、CDN、DDoS軽減サービス、およびDNSプロバイダーがトラフィックを宛先にルーティングするためにネットワークホップを最も少なくするために一般的に使用する接続最適化手法です。 しかし、そのプレフィックスは一度に複数の場所にあるように見える可能性があり(見晴らしの点によって異なります)、ソースデバイスを正確に地理的に特定することがほぼ不可能になります。
  • モバイルデバイスはモバイルです。:リモートで作業しているユーザーは移動して接続を維持できます。デバイスの場所が比較的短期間で移動する場合(たとえば、ある都市から別の都市へ電車に乗る場合)、宛先サイト/コンテンツサーバーがIPアドレスを特定の場所に明確に関連付けることは困難です。
  • サブスクリプションデータサービスは、独自のゲートウェイを介してトラフィックをルーティングします。:多くのサービスキャリア(モバイルデバイスプロバイダーなど)は、集中型ゲートウェイをパブリックインターネットへのオンランプとして使用しています。その誤った方向付けにより、宛先サイトが混乱し、ゲートウェイが存在する場所からソースデバイスへのアクセスが行われていると思い込む可能性があります。

GPSのピンポイント設定、セルタワーの三角測量、さらには物理的な請求先住所の相関など、より近代的な手法は、ユーザーの地理位置情報の精度を向上させるのに役立ちます。ただし、これらのオプションは、企業のIT管理者が常に利用できるわけではありません。

ソースIPアドレスアクセスコントロールを備えたセキュリティ対策の採用:ソリューションと導入に関する考慮事項

ソースIPアドレスのアプリケーションアクセス制御を保持する必要がある組織のために、大規模に分散されたインラインプロキシのクラウドベースのエッジサービスは、セキュリティスタックに必要な追加レイヤーを提供します。

独自のIPアドレスを使用することを検討している企業は、複数の潜在的なソリューションアプローチを検討する必要がある

  1. IPアドレスを選択的にホワイトリストに登録する
  2.  XFFヘッダーを活用する
  3. プライベートクラウドインフラストラクチャを使用する
  4. 内部/信頼されたリソースへのアクセスに新たなセキュリティを使用する

1. IPアドレスを選択的にホワイトリストに登録する

クラウドアプリケーションにアクセスするために選択したIP(またはいくつかのデータセンター)をホワイトリストに登録すると、既存のプロセス(またはビジネスロジック、サイトコード)を保持できます。ただし、MFAなどの追加の認証メカニズムを組み込んで、攻撃対象領域をさらに削減します

2. XFFヘッダーを活用する

「XFF」は「x-forwarded-for」Webプロキシ機能です。内部のエンタープライズコンテンツサーバーは、これを使用して、デバイスの元のソースIPアドレスを示します(データが転送されるか、プロキシ経由でルーティングされる前)。すべてのHTTPトラフィックには、デフォルトでXFFが挿入されます。宛先アプリケーションまたはコンテンツサーバーが着信XFFヘッダーを読み取って解釈できる場合、送信元IPアドレスベースのアプリケーションアクセスルールを適用できます。これは上記のユースケース1、2、3を満たし、企業は追加のセキュリティを享受します。

残念ながら、多くのアプリケーションはXFF情報を読み取ったり、それに基づいて動作したりすることができません。さらに、企業がユーザーにローカルインターネットブレークアウトを確立し、アプリケーションへのリモートアクセスを許可すると、IPアドレスが増加し、XFFヘッダーに表示されるIPの数がすぐに管理できなくなる可能性があります。

3.内部/信頼されたリソースへのアクセスに新たなソリューションを使用する

アプリケーションコネクタ(アプリケーションの隣にあるVM)間のポリシー定義のトンネルを介して、ユーザーを内部のプライベート宛先に接続します。

NATを介してエンタープライズデータトラフィックに新しいIPアドレスを割り当てません。トラフィックはクラウドベースのインラインプロキシを経由して移動しますが、そのトラフィックはプライベートのままで、1つの内部ユーザーと内部の宛先(パブリッククラウド内であっても)の間を接続します。技術的には、アプリケーションコネクタはプライベート仮想インフラストラクチャであり、ソースデバイスの出力IPアドレスを使用します。宛先サイトまたはアプリケーションはIPアドレスを認識します(上記の使用例1、2、および3のように許可/制限ビジネスロジックを適用できます)。

4.トラフィックをノースバウンドWebプロキシに転送する

プロキシチェーンを有効にします。これは、企業が既知のソースIPを必要とする特定のトラフィックを選択的に転送しながら、トラフィックをスキャンする機能を維持しながら、別の認証済みWebプロキシ(Squid転送/キャッシュプロキシなど)に転送する機能です。追加の「ノースバウンド」プロキシは、オンプレミスまたはパブリッククラウドにあります。着信HTTP トラフィックを受信し、宛先サイトまたはアプリケーションに送信する前に、受け入れ可能なIPアドレスをデータに割り当てることができます。

データ移動距離が長くなることによる潜在的なパフォーマンスへの影響に加えて、このソリューションは追加のリスクをもたらします:追加されたプロキシは、内部を超えて潜在的な攻撃面の露出を拡大します。これを緩和するために、ノースバウンド出力でのみ追加のプロキシをサポートします。

次のステップ:SAML、MFA、および(最終的には)リファクタリング

アプリケーションへのアクセスを管理するメカニズムとしてソースIPアドレスを使用する必要がある企業は、セキュリティスタックのレイヤーを追加する必要があります。ソースIPアドレスベースのアプリケーションアクセスコントロールを使用してデプロイするための4つのベストプラクティスを推奨しています。

  • SaaSアクセス用のエンタープライズSAML機能を展開します。これは、デバイス認証からユーザー検証への移行に向けた貴重なステップです。
  • すべてのアプリケーションアクセスにMFAを追加します。MAMLはSAMLと相まって、新しい作業方法に不可欠なセキュリティレイヤーを提供し、いつでもどこでもユーザーがSaaSアプリケーションにアクセスできるようにします。
  • ソースIPアドレスの検証が依然として必要なアプリケーションの移行計画を確立します。

レガシー要件またはコンプライアンス要件のため、企業はアプリケーションアクセスに近い将来、ソースIPベースのアクセスを引き続き使用します。

ソースIPからクラウドへのパス

送信元IPアドレスの識別は、企業のデータトラフィックを保護するための信頼できる手段ではなくなりました。このアプローチは拡張できず、簡単に危険にさらされ、リスクを高め、脆弱な脅威の展望を拡大し、企業の新しい作業方法(クラウドファースト、リモート、デバイスに依存しない)を保護しません。

しかし、ソースIPアドレスの制御は、多くの組織でしっかりと定着しています。ある程度のソースIPアドレス制御を維持する必要がある企業向けに、より優れたセキュリティモデルへの説得力のある方法を提供する必要があります。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらのホワイトペーパーもご覧ください。

【ガイドライン】サイバーセキュリティ危機計画チェックリスト

ビジネス継続性を計画および保証するためのヒント

不確かな時代において、CxOの最優先事項は、従業員とコミュニティの健康と福祉を保護することです。 企業は俊敏でなければならず、
企業は、開発だけでなく運用においても、災害が発生したときほど俊敏でなければなりません。 危機は運用を混乱させる可能性がありますが、危機によって引き起こされた「新しい正常」に適応することは、サイバーセキュリティへの妥協につながりません。

緊急事態では、CISOは迅速かつ決定的に行動する必要があります。危機時にCISOの8つの主要な戦略的目標を特定します。

  1. 従業員のテレワークを可能にし、サポートします。
  2. セキュリティ運用と監視チームのテレワークを有効にしてサポートします。
  3. サイバー脅威のリスク、特に状況攻撃の増加を計画します。
  4. サードパーティベンダーがシステムをサポートできることを確認します。
  5. ビジネスセキュリティの優先順位を調整します。
  6. 予算調整と精査を計画します。
  7. 遵守がより困難になったとしても、規制へのコンプライアンスを確実にします。
  8. 変化の時代をリードします。

すべての危機イベントは異なります。 次のチェックリストは、CISO危機管理のガイドラインです。

1.従業員のテレワークを可能にし、サポートします。

危機的状況、特にバイラルアウトブレイクでは、従業員はテレワークで作業できなければなりません。
CISOは次の考慮事項に対処する必要があります。

従業員の遠隔作業はデータセンターの運用にどのように影響しますか?

  • セキュリティパッチと更新のワークフローは、実際の作業なしでは中断される可能性があります。
    • テレワークでシステムにパッチを適用して管理するプロセスを確認および確立します。
  • サイバー侵害および侵害されたデバイスの調査は、テレワークで行う必要があります。
    • テレワークで作業するサイバー修復担当者のための新しいプロセスを作成します。
    • テレワークの従業員と資産の新しい調査とフォレンジックプロセスを作成します。
    • トリアージ:最初に調査に優先順位を付け、重要なイニシアチブに焦点を当てます。
  • オンプレミスがいないため、オフィスのワイヤレスネットワークはハッカーにとって魅力的な侵害ポイントになります。
    • オンプレミスのワイヤレスネットワークをテレワークで保護できることを確認します。不要な場合はシャットダウンできます。

サービスおよび製品のライセンスサポートはテレワークに移行しますか?

  • エンドポイントライセンス数がテレワークの増加に伴って変化するかどうかを判断します。
  • サイバーセキュリティソリューション(アンチウイルス、EDR、IDaaSを含む)のライセンス数が、テレワークの増加に伴って変化するかどうかを判断します。
  • BYODアクセスへのテレワークシフトがライセンス数に影響するかどうかを判断します。

企業がテレワークに移行すると、デバイスのセキュリティ管理にどのような影響がありますか?

  • テレワークがセキュリティ管理にどのように影響するかを判断します。
  • コントロールがリモートで機能することを確認します。
    • データセンターベースの制御は、VPNを使用しないと効果がなくなる可能性があります(リモートアクセスのスパイクによって過負荷になる可能性があります)。
    • 必要に応じて、代替の管理策(管理/技術)を特定します。
    • リスクを特定し、データ損失防止(DLP)メカニズムに影響を与えます。
  • 可視性が失われた場合の対応計画を確立します。
    • エンドポイントと通信できなくなる可能性があるため、テレメトリを受信する別の方法を決定します。
    • デフォルトの更新メカニズムが有効になっていることを確認します。

マルウェアのクリーンアップをどのように処理しますか?

リモートエンドポイントをクリーンアップする方法を確立します。 これが不可能な場合は、従業員がデバイスを処理するためのワークフローを確立します。

対面でのコミュニケーションやイベントのないセキュリティ文化をどのように強化しますか?

  • 教育、サイバーセキュリティのベストプラクティスを宣伝するプロセスを確立します。
  • スケジュールされた上級管理職向けのコミュニケーションに「セキュリティ概要」を追加します。

2.セキュリティ運用と監視チームのテレワークを有効にしてサポートします。

データセンターとセキュリティチームは、従業員が調整できるように支援しながら、自宅で作業しています。 これは、セキュリティとITワークフローに影響を与える可能性があります。

どのようにしてリモートITチームに情報を伝達し、伝達しますか?

  • メーリングリスト、グループチャット、定期的な(仮想)会議を確立します。
  • ZoomやWebExなどの会議ツールを使用します。
  • Slack、Microsoft Teams、Google Chatなどのコラボレーションツールに投資します。

ITチームはどのように自宅からツールと監視にアクセスしますか?

インシデント対応はどのように変化しますか?

  • リモートセキュリティインシデントに対応するための計画を確立します。
  • リモートインシデントを修正するための修復計画を設定します。

IDをプロビジョニング/プロビジョニング解除するにはどうすればよいですか?

  • 従業員のアクセスをリモートで許可/取り消しできるようにします。
  • 必要に応じて、リスク軽減戦略として特権を減らします。
  • 従業員またはオンボーディングスタッフが実際に立ち会う必要がある場合は、次のような計画を定義します。
    • 資産の分配または再生
    • 資産のクリーニング(物理的および論理的)
    • 文書署名

在宅勤務はサードパーティのセキュリティサービスにどのように影響しますか?

  • サードパーティのアクセス要件を決定して文書化します。
  • 緊急性、緊急性に応じてサードパーティのアクセスを優先します。
  • サードパーティのアクセスを許可および取り消すためのワークフローを確立します。

3.サイバー脅威のリスク、特に状況攻撃の増加を計画します。

2020年のCOVID-19発生のような危機は、通常、いわゆる「状況的な」マルウェア攻撃の増加につながります。

リモートアクセスにVPNを採用している企業がテレワークを増やすと、MPLSバックホール距離と脅威面の両方が拡大します。 VPNベースの境界セキュリティモデルは、リモートアクセスの増加をサポートするように簡単に拡張することができず、一部の従業員はファイアウォールをバイパスしてインターネットに出力するように誘惑される場合があります。 ハッカーはそのような脆弱性を認識し、利用します。 さらに悪いことに、危機情報はメディアを飽和させ、セキュリティ意識を低下させる可能性があります。シニカルな詐欺師は、重要な危機コミュニケーションとしてマスクされたマルウェアを展開しようとします。

サイバーセキュリティの専門家は、危機をデータ侵害の増加と関連付けます。 CISOは、危機時に発生する新しい脅威リスクに対処する必要があります。

ゲージのリスク:リモートユーザーはフィッシングやその他の策略に対して脆弱ですか?

  • 従業員にセキュリティポリシーを繰り返し説明し、危機関連の詐欺について従業員に知らせます。
  • 緊急時のセキュリティの注意の重要性を伝えます。

4.サードパーティベンダーがシステムをサポートできることを確認します。

サードパーティのセキュリティベンダーは、危機の要求にも対応するように運用を調整します。
サードパーティベンダーと通信し、サードパーティベンダーのサポートを確認します。
システムは、環境に影響を与えるような方法で変化していません。

セキュリティベンダーは、危機に対応した運用をサポートしますか?

  • サードパーティベンダーサポートの監査:
    • テレワークであっても、サードパーティのシステムアクセスが保持されるようにします。
    • 各ベンダーのビジネス継続性計画(BCP)の準備と危機サービス計画を確認します。
    • 特にマネージドセキュリティサービスプロバイダー(MSSP)には、在宅勤務機能がない場合があります。 そのリスクをどのように計画できますか?

5.ビジネスセキュリティの優先順位を調整します。

危機的状況では、企業は緊急対応に焦点を合わせる必要があり、サイバーセキュリティの優先順位はあまり注目されません。

変更時にセキュリティをどのように維持しますか?

  • 必要に応じて、会社の資産の許容可能なリスクレベルを調整します
    • 物理的資産と論理的資産のインベントリを作成します。
    • アセットリスクの貢献者をできるだけ可視化します。
    • パフォーマンスとセキュリティを評価し、必要に応じてセキュリティ体制を調整します。
  • テレワークへの移行を想定して、リスク許容度を評価します。
  • 必要な変更やアクションをブロックせずに、セキュリティの擁護者であり続けます。

新しいプロセス、展開、デバイスを確認できますか?

  • リモートでレポート(フィード、ログ、テレメトリ)を取得、使用、および評価するメカニズムを確立します。
  • 企業外のシステムからその情報に基づいて行動するプロセスを確立します。

6.予算調整と精査を計画します。

危機的状況では、緊急対応への支出がセキュリティよりも優先される可能性があります。
プロジェクトの資金がなくなるか、少なくとも入手が難しくなる可能性があります。 緊急の運用上のニーズに対応するために、セキュリティの優先順位を下げることもできます。

運用予算または計画予算に影響はありますか?

  • 重要な計画、デバイス、およびサービスのインベントリを作成し、優先順位を付け、必要に応じて切り分けます。
  • 本質的でないものをカットする準備をしてください(そして「本質的」を構成するものの新しい定義を受け入れます)。
  • セキュリティの優先順位を補足するために、旅行、イベント、および将来の取り組みの予算を再利用します。

7.遵守がより困難になったとしても、規制へのコンプライアンスを確実にします。

危機的状況にあっても、企業の規制へのコンプライアンスは引き続き義務付けられています。新しいデバイスとプロセスの展開がデータフローとセキュリティ要件にどのように影響するかを決定し、文書化します。

データ常駐の要件に準拠する組織の能力は、危機対応オペレーションの影響を受けますか?

  • 保存中のデータが存在する場所と、転送中のデータパスがどのように変化するかを決定します。
  • 新しいデータフローパス全体でコンプライアンスが維持されていることを確認します。 これには、クラウドとデータセンターの管理の変更が必要になる場合があり、異なる地域に新しいデータの冗長性を追加することさえ必要になる場合があります。
  • SSLやその他のセキュリティ対策が必要に応じて採用されていることを確認し、該当するデータプライバシー法に準拠します。

規制機関または政府は、危機時にコンプライアンスルールを調整しますか?

  • コンプライアンス要件に影響する規制上のコミュニケーションを監視します。
  • 危機に基づくコンプライアンス要件の調整の場合の対応ワークフローを構築(または少なくとも構築を計画)します。

8.変化の時代をリードします。

危機的状況では、誰もが十分な情報なしで作業し、発生したイベントに対応する必要があります。 セキュリティを維持することが不可欠であることを考えると、CISOはパニックから脱出することはできません。 効果的な危機的コミュニケーションには、見通し、謙虚さ、率直さ、強い発言力が必要です。特定の目的を持たない過剰なコミュニケーションはノイズになり、不十分なコミュニケーションは情報の空白を生み出します。 明確な行動計画を確立し、伝達します。

誰とコミュニケーションを取る必要がありますか?

  • 内部のセキュリティ関係者が役割、責任、行動、プロセスについて明確であることを確認します。
  • 外部の利害関係者と顧客に、運用に影響を与える変更が通知されるようにします。

どのくらいの頻度で通信する必要がありますか?

  • 重要な変更が発生した場合は、即座に通知します。
  • 明確なメトリックと進捗ゲートを使用して、測定可能で追跡可能なフェーズで計画を伝達します。
  • コミュニケーションが配信されるだけでなく、受信、理解、実行されるようにします。コミュニケーションの有効性を測定するためのワークフローを確立します。

誰とコミュニケーションを調整しますか?

  • 内部危機コミュニケーションチームを設立します。
  • 業界のグループに相談して、コミュニケーションのベストプラクティスのベンチマークを行います。
  • 関連する政府リソース(地方、州、または連邦)を調査します。

CISOはどのようにして危機コミュニケーションのリーダーシップを最も発揮できるのでしょうか?

  • セキュリティの専門家として、あなたは危機管理の経験があります。
    • 組織の準備と対応を導きます。
    • 組織の利害関係者が緊急の決定の結果を評価するのに役立ちます。
  • 穏やかなリーダーシップを発揮します。
    • 不安、不確実性、パニックと知識、理解、準備を組み合わせて対処します。

データ保護とプライバシー

目的

データ保護は、50年代末にプライバシーの基本的な権利を採択した欧州人権条約から始まった長いヨーロッパの物語です。最初のコンピュータの誕生とインターネットの覚醒に伴い、欧州当局は1995年に世界初の主要なプライバシー法の一つであるEUデータ保護指令を採用することを決定しました。この指令では、企業は個人データの処理について透明性を持ち、そのデータを使用するための正当な目的を持ち、データの取り扱いに注意を払うことが求められました。

世界中で利用されている「クラウドコンピューティング」などの技術の急速な変化や、膨大な量の個人データを処理する大企業の発展に伴い、更新が必要となりました。これが、2016年にEUの立法者が「一般データ保護規則」(GDPR)を採択した理由の一つです。この新しい欧州のプライバシー法は、これまでよりもはるかに多くのデータが収集される世界において、プライバシーの関連性を維持するものです。

2018年5月25日、GDPRは発効し、1995年のEUデータ保護指令に取って代わりました。この新しい欧州のプライバシー法は、(i)世界レベルでの欧州のデータ保護のための新たな景観を創出すること、(ii)個人が自分に関連する個人データに関して持つ権利を強化すること、(iii)データがどこで処理されるかに関わらず、欧州全体でデータ保護法を統一しようとしています。

この文書の目的は、この新しい規則をどのように実施しているかを説明することにあります。

GDPRは何をカバーしていますか?

個人データ

GDPRは個人データの概念を拡大・明確化していますが、基本的には変わりません。

個人データとは、識別可能な自然人(「データ対象者」)に関する情報を意味します。識別可能な自然人とは、特に名前、識別番号、位置情報、オンライン識別子、または自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに特有の1つ以上の要素を参照することで、直接または間接的に識別可能な自然人を指します。

個人的な日付

GDPRは、個人データを処理する組織にのみ適用されます。一般的には、個人データに関わる自動または手動の処理を指します。

処理とは、収集、記録、組織化、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または組み合わせ、制限、消去または破壊など、自動化された手段であるか否かにかかわらず、個人データまたは個人データの集合に対して実行される操作または操作のセットを意味します(GDPR第4条)。

領土の範囲

GDPRは2つの状況をカバーしています。

  1. EUに拠点を置く企業による個人データの処理は、処理がEU内で行われるかどうかに関わらず、すべて対象となります。
  2. EUに拠点を置いていない企業がEU内に所在する個人の個人データを処理する場合、処理活動がEU内のデータ対象者へのサービスの提供に関連している場合(域外法権主義の適用)も対象となります。

「領土の範囲」-本規則は以下に適用される。

  • 処理が組合内で行われるかどうかにかかわらず、組合内の組織の設立の活動に関連して個人データを処理すること。
  • データ対象者の個人データの処理活動が以下に関連している場合には、連邦内に設立されていない組織が連邦内にいるデータ対象者の個人データを処理すること。(a) データ対象者への支払いが必要かどうかに関わらず、商品やサービスの提供、または(b) 同盟内での行動の監視
  • 連邦内に設置されていないが、国際公法(GDPR第3条)に基づき加盟国法が適用される場所での管理者による個人データの処理。

GDPRには何が必要なのか?

EUに所在する個人の個人データを処理する組織(EUの内外を問わず)は、以下のGDPRの原則を遵守しなければなりません。

透明性のあるフェアでローフルな加工

  • 公正性と透明性は、個人データを公正に処理し、個人データがどのように処理されるのか、なぜ処理されるのかについての情報を提供します。
  • 適法性は、正当な法的根拠がある場合にのみ、合法的に個人データを処理します。データ処理は、以下の条件(GDPR第6条)のうち少なくとも1つを遵守しなければなりません。
  • データ主体がデータ処理に同意していること GDPRでは、同意を「自由に与えられた、具体的で、十分な情報を得た上で、声明または明確な肯定的行動を通じてデータ対象者の希望を明確に示したもの」と定義しています(GDPR第4条)
  • データ処理は、データ対象者が当事者である契約の履行のため、または契約締結前にデータ対象者の要求に応じた措置を講じるために必要です。
  • データ処理がデータ管理者の法的義務の一部である場合。
  • データ処理がデータ対象者の重要な利益を保護する場合。
  • データ処理が公共の利益のため、またはデータ管理者に与えられた公的権限の行使のために必要である場合。
  • データ処理は、データ管理者または第三者が追求する正当な利益の目的のために必要であり、そのような利益が、個人データの保護を必要とするデータ対象者の利益または基本的権利と自由によって上書きされる場合を除きます。

目的の制限

個人情報を収集するのは、特定の明確で正当な目的(GDPR第5条第1項)のためにのみ行います。個人の同意を得ている場合や、法律で認められている場合を除き、その後の処理はその目的に沿ったものとします。

データの最小化

収集された個人データは、「適切で、関連性があり、個人データが処理される目的に関連して必要なものに限定されている」ものでなければなりません(GDPR第5条第1項)。この原則について、組織は、目的に必要な最小限の個人データしか保存していないことを確認しなければなりません。

データの精度

データは「正確で、完全で、必要に応じて最新の状態に保たれている」ものでなければなりません(GDPR第5条第1項)。組織は、情報が正確で、有効で、目的に合ったものであることを確認することが求められています。この原則には、組織が処理および保存しているデータをどのように維持するかに対処するためのプロセスとポリシーを持たなければならないということが含まれています。

ストレージの制限

組織は、個人データを収集した目的のために必要な期間、またはさらに許可された目的のために必要な期間のみ、個人データを保管するものとします(GDPR第5条第1項)

誠実さと機密性

個人データは、「不法な処理、偶発的な損失、破壊、損傷からの保護を含む適切な安全性を確保する方法で」取り扱われなければならない(GDPR第5条第1項)。個人データを収集・処理する組織は、データ主体のセキュリティリスクと権利に応じた適切なセキュリティ対策を実施する責任があります。

デザインによるプライバシーとデフォルトによるプライバシー

デザインによるプライバシー(GDPR第25条) – この原則は、組織が新たな処理活動をデザインしたり、新たなサービスを開発したりする際に、プライバシー保護のための最小化、匿名化、適切な保護措置の実施など、GDPRの原則に従わなければならないことを意味しています。

デフォルトでのプライバシー – 組織は、デフォルトでは、処理の特定の目的に必要な個人データのみが処理されることを保証するために、適切な技術的および組織的措置を実施しなければならない。この義務は、収集された個人データの量、処理の範囲、保存期間、アクセス可能性に適用されます。

説明責任

EU居住者の個人データを処理する組織は、前述のすべての原則を遵守していることに責任を持ち、それを証明できるようにしなければなりません。これは、以下のことを意味します。

  • GDPR の遵守を確実にし、実証するための技術的および組織的な対策を講じること。これらの対策には、データ保護責任者(DPO)の任命、セキュリティとデータ保護方針の見直し、スタッフのトレーニング、データ処理の定期的な監査などが含まれます。
  • どのようなデータが、どのように、どのような目的で、どのくらいの期間、どのように処理されるかについての適切な文書を維持すること。
  • デザインによるプライバシーとデフォルトによるプライバシーを設定する。これには、最小化、偽名化、透明性などの原則の適用が含まれます。

データ処理をしているプレイヤーは?

GDPRでは、個人データの権利または個人データの義務のいずれかを持つことになるデータ処理活動の異なるプレーヤーを特定しています。

データ対象者

データ対象者とは、個人データが関係する自然人のことです。このデータ対象者は、GDPRによって保護されるためには、欧州連合内に所在していなければなりません。新しい欧州規則の主な目的は、個人データを組織に提供するこれらの個人の権利を強化することです。

データ管理者

データ管理者とは、個人データがどのような目的で、どのような方法で処理されるかを決定する自然人または法人のことです。

データプロセッサ

データ処理者とは、データ管理者に代わってデータを処理する自然人または法人のことです。

サブプロセッサの日付

副処理者とは、データ処理者の指示に従って個人データを処理することに同意するデータ処理者が選択した自然人または法人を指します。

輸入者の日付

データ輸入者は、十分な保護が確保されていないEU域外に位置する自然人または法人です。

日付 エクスポーター

データ輸出者は、適切なレベルのデータ保護が確保されていない第三国に設立された処理業者またはサブ処理業者に個人データを転送するデータ管理者を指定します。

GDPRプレイヤーの義務とは?

GDPRは、EUの個人情報を処理するすべての組織に対して、その所在地に関わらず、データプライバシー規制の範囲を広く拡大しました。

GPDRは、データ管理者とデータ処理者の間の義務と責任のバランスを根本的に変えます。指令95/46/CEの下での義務とは異なり、GDPRは個人データの処理において遵守すべき新たな義務をデータ処理者に課しています。

データ管理者

データ管理者の概念はGDPRの下では基本的に変更されておらず、その義務も同様です。GDPRに従って、データ管理者は以下のことをしなければなりません。

  • データ保護の原則を実施し、デザインによるデータ保護とデフォルトによるデータ保護の原則を尊重する適切な技術的な組織的措置を採用することにより、GDPR を遵守する(GDPR第 24 条第 1 項および第 25 条)
  • 採用した措置とその有効性を証明する文書でコンプライアンスを実証する(GDPR第30条)
  • 技術的・組織的な対策に関して十分な保証を提供するデータ処理者との契約を締結する(GDPR第28条第1項)
  • 個人データがどのように、なぜ処理されているのかを示すために処理活動を記録する(GDPR第30条第5項)
  • 監督当局に協力する(GDPR第57条)
  • 個人データの漏洩を知ってから72時間以内に監督当局に通知する(GDPR第33条)
  • 個人情報の漏洩が自然人の権利と自由に対する高いリスクをもたらす可能性がある場合には、個人情報の漏洩をデータ対象者に不当な遅延なく伝える(GDPR第34条)
  • 処理がデータ対象者の権利と自由に大きなリスクをもたらす可能性がある場合には、データ保護の影響評価を実施する(GDPR 第 35 条)

データプロセッサ

GDPRは、データ処理者に重要な新たな義務と責任を課しています。GDPRに従って、データ処理者は以下のことをしなければなりません。

  • データ管理者の指示に基づいてのみ個人データを処理する。
  • データ管理者は、データ管理者の指示に基づいてのみ個人データを処理し、サブプロセサーを利用する前に、データ管理者から書面による承認を得る(GDPR第28条第2項)
  • データ管理者は、そのサブプロセサー(第三者または子会社を含む)の身元について情報を提供し、サブプロセサーの追加または交代に関する変更の予定について情報を提供します。
  • 個人情報の機密性を確保する。
  • データ処理活動の記録を維持すること。
  • 契約終了時に、要求に応じてすべての個人データを削除したり、データ管理者に返却したりする(GDPR 第 28 条第 3 項)
  • データ管理者が実施するコンプライアンス監査に貢献する(GDPR 第 28 条第 3 項)
  • GDPR の規則と要件に準拠した契約書のテンプレートを使用する。
  • 定期的に内部コンプライアンス監査を実施する。
  • データ違反が判明した場合は、遅滞なくデータ管理者に通知する(GDPR 第 33 条第 2 項)
  • 個人データが第三国に転送される場合には、適切な保護措置を講じる(GDPR 第 46 条)
  • トレーニングセッションを通じた社内のプライバシー意識向上キャンペーンを推進する。

サブプロセッサの日付

GDPRでは、データ処理者は、データ管理者の事前の書面による同意なしにデータサブプロセッサを任命してはならないとされています。データ処理者とサプライヤー(データサブプロセッサー)との間の契約には、データ処理者とデータ管理者(依頼者)との間の契約と同じデータ保護義務が含まれています。

データ対象者の権利

GDPRでは、データ収集と処理活動に関連したGDPRの下で適用される通知、同意、その他の要件を考慮することに加えて、データ主体の権利が非常に重要視されています。GDPRは、消去権データポータビリティなど、既存の権利に新たな視点をもたらすデータ主体の新しい権利や保護を組み込むことで、個人の既存の権利を統合し、強化しています。

情報提供を受ける権利

この権利により、組織はプライバシー通知のような「公正な処理情報」を提供することが義務付けられています。GDPRでは、個人データの処理の「方法と理由」とデータ対象者の権利について、より詳細な情報を提供することが求められています。また、データ対象者が適切な措置をとることができるように、データ違反が発生した場合にデータ対象者に情報を提供する権利も含まれています。

アクセス権

個人は、自分のデータが処理されていることを確認し、それにアクセスする権利を有しています。アクセス権は、データ対象者に、人間が読める形でデータのコピーを要求する権利を与えます。

整流権

個人は、不正確なデータを修正してもらう権利、および/または補足データで不完全なデータを記入してもらう権利がある。

消去権

「忘れられる権利」として知られることもありますが、企業がデータの処理を継続するための合法的な根拠がない場合、個人は個人データを消去する権利があります。場合によっては、または個人データの種類によっては、会社がデータを消去しない代わりにその使用を制限することもあります(例えば、法的な請求があった場合にのみ使用できるようにするなど)。

処理制限権

先行指令の下では、個人は個人データの処理を「ブロック」したり、抑制したりする権利を持っていました。GDPRの下での処理の制限も同様である。処理が制限されている場合、個人データを保存することは認められていますが、それ以上の処理は認められていません。将来的に制限が尊重されることを確実にするために、個人に関する十分な情報だけを保持することが認められています。

データのポータビリティの権利

個人は、組織に提供した個人データを、一般的に使用されている機械読み取り可能な形式で受け取る権利があり、別の組織と共有することができます。

オブジェクトへの権利

状況によっては、個人は特定の目的のために個人データが使用されることに異議を唱える権利を有しています。例えば、ダイレクトマーケティングの受信や自動化された処理のみに基づく決定を受けることに異議を唱えることができます。

自動化された個別判断の対象とならない権利

GDPRは、人の手を介さずにダメージを与える可能性のある決定が行われるリスクに対する保護措置を提供しています。

VLANのベストプラクティス

なぜVLANを使うのか?

ネットワーク管理者が1つまたは複数のデバイスの論理的なグループを作成したいと思う理由はいくつかあります。ほとんどの場合、これらの理由はブロードキャスト制御、セキュリティ、レイヤ3アドレス管理、ネットワーキングリソースの統合です。

放送制御

ブロードキャストドメイン内のデバイス数が増加すると、そのブロードキャストドメイン内のブロードキャストレートも増加します。各デバイスは各ブロードキャストを処理して、ブロードキャストの内容をプロトコルスタックにプッシュすべきかどうかを判断しなければならないため、ブロードキャストレートは重要な意味を持ちます。

受信した各ブロードキャストについて、受信デバイスは、ブロードキャストフレームの内容を評価するためにCPUに割り込みを入れなければなりません。これらの割り込みは、CPU上で実行されている他のタスクから処理時間を奪い、それらのタスクが完了するまでにかかる時間を増加させる可能性があります。

VLANの重要な点は、あるVLANで送信されたブロードキャストが他のVLANに伝搬しないことです。各VLAN内のデバイス数を制限することで、そのVLAN内のブロードキャストレートも制限することができます。平均的なブロードキャスト数は、1 秒間に 30 ブロードキャスト以下とします。標準化されたドキュメントでは公式に規定されていませんが、フィールドパフォーマンスのモニタリングでは、1 秒間に 30 回程度のブロードキャストを超えないようにすることが推奨されています。

セキュリティ

組織では、ローカルエリアネットワーク上の特定のデバイスまたはデバイスへのアクセスを制限する必要がある場合があります。その組織内のすべてのデバイスが同じブロードキャストドメイン内にある場合、このアクセスを制限することは非常に困難になります。異なるブロードキャストドメインにデバイスを配置することで、アドレスフィルタやアクセスリストを使用してアクセスを制限することができます。

トラフィックがある VLAN から別のVLANに移動するには、トラフィックがレイヤ3ルーティングデバイスを通過する必要があります。これらのルーティングデバイスでは、どのデバイスが他のデバイスにアクセスできるかを指定することができます。このアクセス制御機能を使用することで、機密性の高いデバイスへのアクセスを制御および監視することができます。

レイヤ3アドレス管理

デバイスタイプに基づいてIPサブネットを作成することは、ローカルエリアネットワークでは一般的な設計です。プリンタは1つのIPサブネットに割り当てられ、会計グループに属するワークステーションやサーバは別のサブネットに割り当てられます。論理的には理にかなっていますが、このアーキテクチャを大規模なローカルエリアネットワークに展開するには、VLANを使用しないと現実的ではないことがわかります。

資源の集約

例えば、ある場所にあるすべてのプリンタに単一のサブネットを使用する場合を考えてみましょう。各プリンタは、他のすべてのプリンタと同じブロードキャストドメイン内になければなりません。そのためには、各階にプリンタだけのための個別のスイッチが必要になります。これらのスイッチは、銅線またはファイバーの別のペアを使用して相互接続する必要があり、このプリンタネットワークは、独自のルータインターフェイスに接続する必要があります。

VLANを使用することで、ネットワーク上の他のデバイスと同じスイッチにプリンタを接続し、同じ相互接続の銅線またはファイバーを共有し、同じルーターインターフェースを共有することができます。

VLANの課題

ローカルエリアネットワーク内でVLANを使用する際の最大の課題の1つは、ドキュメントの作成です。デバイスをスイッチに接続する際に、ポートにどのVLANが割り当てられているか、ポートがVLANトランクに設定されているかどうかを簡単に知る方法はありません。ほとんどの場合、スイッチポートのVLAN設定を確認する唯一の方法は、スイッチにTelnetして、問題のスイッチポートの設定を表示することです。このプロセスには、適切なログインパスワードと、特定のスイッチとメーカーのコンフィギュレーションコマンドの知識が必要です。

ネットワーク内で追加、移動、変更が発生すると、この課題はさらに大きくなります。スイッチが最初に導入されたときは、各スロットの最初の12ポートをVLAN23に割り当てるというポリシーだったかもしれません。しかし、時間が経つにつれて、ネットワーク管理者は、利用可能なポートが不足していたり、会社の標準を理解していなかったりしたために、これらの割り当てを変更した可能性があります。いずれにしても、新しいデバイスをスイッチに接続する際に、最初の12ポートがVLAN23に属することを保証するものではありません。

VLANのメリットの一つに、ポートをVLANから別のVLANに簡単に移動できることがあります。同時に、これはVLAN環境でネットワークのドキュメントを維持する上での最大の問題の1つです。ポートの再設定があまりにも簡単なため、変更が追跡されることはほとんどなく、結果的に接続性の問題が発生してしまいます。そのままのVLAN構成を文書化するシンプルで使いやすい方法が必要とされています。

VLANのベストプラクティス

健全なVLANは、単に発生するものではありません。最適なパフォーマンスを目指して慎重に設計され、維持されています。VLAN の設計に注意を払わなければ、結果として生じるネットワークは過度に複雑になり、保守やトラブルシューティングが困難になります。

VLANを使用する理由を見極める

本書の冒頭では、VLAN を使用する理由として、ブロードキャスト制御、セキュリティ、レイヤ 3 アドレス管理、ネットワークリソースの統合の 4 つを挙げました。VLAN ネットワークを設計する際には、これらの理由を慎重に検討する必要があります。例えば、環境内のすべてのユーザーがすべてのサーバーやネットワーク機器にアクセスする必要がある場合、セキュリティはVLANを導入する理由にはなりません。

しかし、Voice Over Internet Protocol (VoIP)ソリューションを実装している場合は、音声トラフィックをある VLAN に、データフレームを別の VLAN に配置することが VLAN を実装する理由になるかもしれません。この2種類のトラフィックを分離することで、音声トラフィックにサービス品質を適用してジッターやパケットロスを低減することができます。

VLANを使用してルータのホップ数を減らす

あるVLANから別のVLANにフレームを転送するためには、レイヤ3デバイスがフレームをルーティングする必要があります。このデバイスには、従来のルータやレイヤ3スイッチなどがあります。各ルータホップは、送信者から受信者へのフレーム取得にかかる時間に追加のレイテンシを追加し、ボトルネックとして機能することができます。

VLANネットワークを設計する際の目標は、デバイスが必要とするリソースの多くをデバイスと同じVLAN上に置くことです。VLANを使用することでハードウェアを物理的に集中させることができ、同時にVLANを使用することでサーバをクライアントに論理的に近づけることができます。これにより、クライアントデバイスはルータを経由することなく、スイッチドネットワークを介して直接リソースにアクセスすることができます。1つのVLANがキャンパス内の複数のスイッチに表示されるため、データセンター内のサーバが数棟離れたクライアントと同じVLAN上にある場合もあります。多くのネットワークで一般的な設計は、同じVLAN上のすべてのサーバーを置くことです。残念ながら、これではすべてのクライアントがサーバーにアクセスするために、少なくとも1つのルーターを経由しなければなりません。IP アドレスの管理が容易になる一方で、追加のレイテンシや潜在的なボトルネックが発生します。

VLANの数を最小限に抑える

必要以上に多くのVLANを作成する傾向があります。スイッチ自体は数千のVLANをサポートすることができますが、各VLANを追加することで、ルータや他のネットワーク機器のオーバーヘッドが追加されてしまうことがあります。

その例として、42階建てのビルのネットワークがありました。各階ごとにVLANを作成し、スイッチ管理用のVLANとサーバーバックボーン用のVLANを追加しました。このネットワークでは、IPとIPXの両方のプロトコルが実行されていました。プリンタ、ディスク、タイムサービスを含むローカルエリアネットワーク全体で、合計で2,000以上のIPXサービスが存在していました。

ルータは60秒ごとに、VLANのそれぞれにSAP(Service Advertising Protocol)パケットを送信していました。これらのパケットにはそれぞれ7つのサービスが含まれていました。これにより、各ブロードキャストドメインで60秒ごとに286個のSAPパケットが送信されました。合計46のVLANがあるので、ルーターは毎分13,000以上のSAPパケットを送信しなければなりませんでした。ルータが2,000フレーム以上のフレームを送信しなければならない場合、CPUの問題が発生することがわかりました。スイッチは46のVLANに対応していますが、ルータはそれだけの数には対応できないことがわかりました。

VLANの種類

デバイスをVLANに割り当てるには、3つの一般的な方法があります。

  1. ポートベースのVLAN
  2. プロトコルベースのVLAN
  3. MACベースVLAN

ポートベースのVLAN

ポートベースのVLANの場合、スイッチポートは特定のVLANのメンバーになるように手動で設定されます。このポートに接続されたデバイスは、同じVLAN番号で構成された他のすべてのポートと同じブロードキャストドメインに属します。

ポートベースのVLANの課題は、どのポートが各VLANに属しているかを文書化することになります。VLANメンバーシップ情報は、スイッチの前面には表示されません。そのため、スイッチの物理的なポートを見ただけでは、VLANの所属を判断することができません。コンフィグレーション情報を見て初めてメンバーシップを判断することができます。

プロトコルベースのVLAN

プロトコルベースのVLANでは、フレームが伝送するレイヤ3プロトコルを使用してVLANのメンバーシップを決定します。これはマルチプロトコル環境では機能するかもしれませんが、IPベースのネットワークではこの方法は実用的ではありません。

MACベースVLAN

ポートベースのVLANの問題点としては、元のデバイスがポートから取り外されて別のデバイスが接続された場合、新しいデバイスは元のデバイスと同じVLANになってしまうことです。先ほどのプリンタVLANの例では、スイッチポートからプリンタが取り外され、空いているポートにアカウンティングデバイスが接続されたとします。すると、アカウンティングデバイスはプリンタVLANになってしまいます。これにより、アカウンティングデバイスがネットワーク上のリソースへのアクセスが制限される可能性があります。

MACベースのVLANはこの問題を解決することを目的としています。MACベースのVLANでは、VLANメンバーシップは物理的なスイッチポートではなく、デバイスのMACアドレスに基づいています。デバイスがあるスイッチポートから別のスイッチポートに移動した場合、VLANメンバーシップはデバイスに追従します。

残念ながら、MACアドレスとVLANの相関関係は非常に時間のかかるプロセスであり、このタイプのVLANはほとんど使用されていません。

VLANタギング

VLAN タグは、ネットワークを通過するフレーム内の VLAN メンバーシップを示すために使用されます。これらのタグは、フレームがVLANに属するスイッチポートに入るとフレームに取り付けられ、フレームがVLANに属するポートから出るとタグは取り除かれます。VLAN内のポートの種類によって、VLANタグがフレームから取り除かれるか、フレームに取り付けられたままになるかが決まります。VLAN環境内の2つのポートタイプは、アクセスポートとトランクポートとして知られています。

アクセスポート

アクセスポートは、フレームが VLAN に入出庫する場所として使用します。アクセスポートでフレームを受信した場合、フレームにはVLANタグは含まれていません。アクセスポートに入ったフレームには VLAN タグが取り付けられています。

フレームがスイッチ内にある間は、アクセスポートから入ったときに付けられていた VLAN タグを保持します。宛先のアクセスポートを経由してフレームがスイッチから出ると VLAN タグは取り除かれます。送信側装置と受信側装置はVLANタグが付いていることを意識しません。

トランクポート

複数のスイッチを含むネットワークでは、あるスイッチから別のスイッチにVLANタグ付きのフレームを送信できるようにする必要があります。トランクポートとアクセスポートの違いは、トランクポートはフレームを送信する前にVLANタグを剥がさないことです。VLANタグが保持されていると、受信側のスイッチは送信されたフレームのメンバーシップを知ることができます。このフレームは、受信スイッチの適切なポートに送信することができます。

VLANタグ付け技術

各 VLAN タグ付きフレームには、その VLAN メンバーシップを示すフィールドが含まれています。VLAN タグには、Inter-Switch Link (ISL) フォーマットと標準化された 802.1Q フォーマットの 2 つの主要なフォーマットがあります。

シスコアイエスエル

Inter-Switch Link 形式は、Cisco独自のVLANタグ形式です。このVLANタグを使用すると、各フレームのフロントに26バイトの情報を追加し、フレームの最後に4バイトのCRCを追加します。このタグのフォーマットは次のとおりです。

802.1Q規格に基づくタグ

ISLがシスコ独自のフォーマットであるのに対し、802.1QはIEEE標準化されたフォーマットです。802.1Q フォーマットは、複数のベンダのスイッチ間で VLAN タグ付きフレームが通過できるように設計されています。802.1Q タグは、ISL タグよりも少ないフィールドを含み、フレームの先頭に置かれるのではなく、フレームの中に挿入されます。

VLANの管理

VLANを採用したネットワークにおける最大の課題の1つは、複数のスイッチにまたがるVLAN設定のメンテナンスです。VLAN情報の設定と管理を一元化する手段がないため、ネットワーク管理者は各スイッチで個別にVLANを設定しなければなりません。

VTP – VLAN トランクプロトコル

VLAN Trunk Protocol (VTP) を使用すると、単一のデバイスである VTP サーバで VLAN を構成し、この構成情報をスイッチドネットワークを介して伝搬させることができます。これにより、VLANの管理に必要な時間が短縮されます。

VTP環境では、スイッチは3つの異なる役割のいずれかを果たすことができます。スイッチはVTPサーバー、VTPクライアント、またはトランスペアレントモードで動作します。この役割によって、スイッチでのVLANの設定方法が決まります。

VLANトランクプロトコルは、複数のVTPドメインをサポートする機能を持っています。各 VTP ドメインのクライアント スイッチは、そのドメインの VTP サーバーから構成情報を受信します。同じローカルエリアネットワーク内に複数のVTPドメインを持つことができます。

VTPサーバー

VTP サーバーは各 VTPドメインのルートです。サーバーは、VTPドメイン内で VLAN の追加、削除、名前の変更を行うことができるドメイン内の唯一のスイッチです。

VTP サーバーは定期的に VTP ドメイン名、VLAN 構成をアドバタイズし、最新の構成リビジョン番号を提供します。このリビジョン番号は、VTP ドメインの一部であるすべてのスイッチが最新の正確な VLAN 構成情報を持っていることを確認するために使用されます。

VTP サーバーで VLANが作成されると、他のすべての VLAN構成情報とともにサーバーの NVRAM に保存されます。スイッチがリセットされると、この構成情報は保持されます。

VTPクライアント

VTP クライアントスイッチは、VTP サーバースイッチからすべての VLAN 設定情報を受け取ります。クライアントスイッチはVLANの追加、削除、名前の変更はできません。クライアント スイッチに新しい VLAN を追加するには、VTP サーバーに VLAN を追加する必要があります。この新しいVLANは、すべてのクライアントスイッチに伝搬されます。新しいVLANが追加されると、クライアントスイッチ上のポートは新しいVLANに関連付けられます。

クライアントスイッチはVTPサーバと同様に、VLAN設定をNVRAMに保存します。ただし、VTP サーバーとは異なり、クライアントスイッチがリセットされると、この構成情報はすべて失われます。スイッチがリセットされると、スイッチはVTPサーバにVTP情報リクエストを送信して現在のVLANコンフィギュレーションを取得します。

VTPトランスペアレント

VTP トランスペアレント スイッチは、VTP クライアント スイッチとは異なり、VLAN を手動で設定できる点で異なります。VTP ドメインの一部として設定されている場合、VTP サーバーから VLAN 設定情報を受信することができます。ただし、ローカルに構成されたVLANをVTPドメインに通知することはありません。

VTP トランスペアレントモードで動作するように構成されたスイッチは、VTP 設定フレームを受信し、これらのフレームをすべてのトランク付きポートに渡します。これにより、VTPクライアントスイッチをVTPトランスペアレントスイッチに接続することができます。クライアントスイッチは、トランスペアレントスイッチを介してVTPサーバーとVLAN構成情報を交換することができます。

VTPデータフレーム

VTP ドメインを構成し、維持するために使用されるデータフレームは、802.1q または ISL フレームフォーマットのいずれかでカプセル化することができます。VTP は、すべてのデータフレームの宛先として予約されたマルチキャストアドレスを使用します。このマルチキャストアドレスは、0x01-00-00-0C-CC-CC-CC であり、SNAP(Sub Network Access Protocol)の論理リンク制御コードとSNAP ヘッダーのタイプコードは 2003 です。各データフレームには、VTPヘッダとVTPメッセージタイプが含まれています。(以下の説明では、フレーム・フォーマットは VTP メッセージのみを示し、イーサネット・フレーム全体ではないことに注意してください)。

VTPメッセージには3種類あります。

  1. 概要
  2. サブセット
  3. リクエスト

サマリーフレーム

サマリーフレームは、VTPサーバーとVTP クライアントの両方から 5 分ごとに、そしてVTP ドメインへの変更のたびに直後に送信されます。このサマリー広告には、VTPドメインと構成リビジョンに関する基本情報が含まれています。サマリーフレームの後には、サブセットと呼ばれる多数の詳細フレームが続くことがあります。

サブセットフレーム

サブセットフレームは、VTP ドメイン内の各 VLAN の詳細情報を提供するために使用されます。これらのフレームは、構成変更の一部として、または VTP 要求フレームに応答して送信されます。

リクエストフレーム

VTP クライアントは、要求フレームを VTP サーバーに送信します。これらのフレームは、次のいずれかの条件が発生したときに送信されます。

  • VTPドメイン名を変更します。
  • VTP クライアントは、自分の構成リビジョン番号よりも高い構成リビジョン番号を持つサマリー広告を受信します。
  • サブセットフレームが欠落している
  • スイッチがリセットされる

VTP サーバは、リクエストフレームに対して、サマリーフレームと、リクエストを満たすのに必要な数だけのサブセットフレームで応答します。

結論

仮想LAN技術の使用が一般的になるにつれ、ネットワークの設計と保守はVLANの存在を考慮しなければなりません。そこで、VLANを設定し、健全な状態を維持するためのベストプラクティスとツールの出番です。ネットワーク エンジニアやマネージャーは、まず VLAN がネットワーク内でどのように機能するのかを理解し、問題を効果的にトラブルシューティングして VLANのパフォーマンスを最適化するために、優れたドキュメントを作成する必要があります。VLAN固有の情報を収集して表示するように設計されたツールを活用することで、機器コストとトラブルシューティングの時間を大幅に削減することができます。

 

ネットワークセキュリティへのゼロトラストアプローチを始める

今日の企業に対するサイバー攻撃が高頻度で成功し続けていることから、従来の境界線を中心としたセキュリティ戦略はもはや有効ではないことが十分に明らかになっています。結果として生じるアーキテクチャの失敗は、組織のネットワーク内部のすべてのものが信頼できるという時代遅れの仮定だけでなく、従来の対策では、関連するネットワーク境界を通過するアプリケーション・トラフィックの適切な可視性、制御、保護を提供することができなかったことに起因しています。

Forrester Researchが最初に発表したゼロトラストは、信頼の前提を方程式から取り除くことで、失敗した境界線中心の戦略の欠点に対処する代替的なセキュリティモデルです。ゼロトラストでは、基本的なセキュリティ機能は、場所に関係なく、すべてのユーザー、デバイス、アプリケーション、データリソース、およびそれらの間の通信トラフィックに対して、ポリシーの実施と保護を提供する方法で展開されます。

続きを読む

政府機関のためのゼロトラスト対応手引き

序章

政府機関に対するサイバーセキュリティ攻撃の頻発と絶え間なく高度化していることから、1つのシンプルな真実が導き出されました。これが、政府の最高情報責任者(CIO)と最高情報セキュリティ責任者(CISO)のデフォルトの地位に急速になりつつあるゼロトラストへの動きの背後にあるコンセプトです。

ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されているようです。

バックグラウンドリーディング

背景については、ゼロトラストに関する最近の2つのレポートをお読みください。

ゼロトラスト・モデルは、これらの指針に基づいて構築されています。

  • ネットワークは常に敵対的であると仮定しなければならない
  • ネットワーク上には、外部脅威と内部脅威が常に存在します。
  • ネットワークの信頼性を決定するためには、局所性が十分ではない
  • すべてのデバイス、ユーザー、ネットワークフローは認証され、承認されなければなりません。
  • セキュリティポリシーは、可能な限り多くのデータソースから動的に決定される必要があります。

政府機関やネットワークには、特定のニーズがあることが多い。

  • 複数のハードウェアとソフトウェアの世代にまたがるレガシーアプリケーションとプラットフォームに依存しています。
  • 極めて機密性の高いデータを安全な施設に保管していることが多い
  • 敵対的な国民国家を含む複数のアクターから継続的な攻撃を受けていることが多い。

米連邦政府人事管理局(OPM)におけるセキュリティ侵害

米国史上最悪の政府情報漏洩事件

米連邦政府人事管理局とは、米国連邦政府全体の中央人事部門としての役割を果たしている政府機関です。2015年、当局が不正アクセスによる情報流出を発表しました。事件内容としては、2014年に米連邦政府人事管理局(OPM)(以下OPM)のシステムへの不正アクセスを検知したことを受け、OPMを含む連邦当局のネットワークセキュリティの強化を図る。しかし翌年の2015年の4月にOPMのシステムへの不正侵入を検知。5月になって情報流出を確認する事態となった。6月に、情報流出の影響を受けたと思われる対象者への通知を開始したとされる。2012年に始まり、2015年までに及ぶ情報漏洩であったとされるが、約2150万人の連邦政府の職員及び契約職員、その候補者と広範囲に渡った。盗まれたデータは、現職員及び元職員の氏名、社会保険番号、生年月日、出生地、職務内容、研修歴、人事評価、現在及び過去の住所などが含まれるとされる。

なぜOPMが標的となったのか。OPMは米国連邦政府全体の中央人事部門として主要な役割を果たしているため、攻撃者にとって価値が高いターゲットであったからとの見解が有力である。前例にない事件であり、ネットワーク社会の普及と発展が著しい速度で増加していた時代に、かなりの衝撃を与えた事件でもあった。

その後のOPMの対応としては、当局が長期的な視点からサイバー攻撃や不正アクセスといった脅威に対処し、防御するシステムを検討。OPMが導入した方法として、CylancePROTECT、つまり人工知能 (AI) と機械学習技術を利用して、システム内に深く埋め込まれた脅威を除去すること。Cylance Consultingサービスの協力を得て、OPMは侵害を識別し、適切な除去を行った結果、IT環境全体を保護することが可能なシステムを成し遂げた。そして10日間で発見されたマルウェアをすべて隔離するといいた異例のスピードだった。10,000以上のデバイスでCylancePROTECTが活用され、2,000個以上のマルウェアが検出され無効化。その結果として、OPMは従来の業務を見直し改革し高度なセキュリティを実装するまでに至った。

こうした事例のように、政府内における国家機密を守る為にも情報セキュリティ防衛対策は検討すべき問題であると容易に理解できるだろう。

国内におけるサイバー攻撃の情勢

日本国内においても、近年では多数の機関や団体、事業者等でサイバー攻撃などといった情報窃取等の被害が頻発している。データによれば、平成27年上半期中に警察が把握した標的型メール攻撃は1472件、前年度に比べると約7倍に増加しているとのこと。約9割型が非公開のメールアドレスに対する攻撃であり、また送信元メールアドレスについては、実在する事業者等のメールアドレスを詐称したものが多数確認されているなど、手口が巧妙化している。

事例としてあげればきりがない程数多くの企業や団体が被害を受けており、セキュリティ対策については検討を重要視しなければならない。大手企業で言えば、三菱電気、NEC、組織だと日本年金機構がサイバー攻撃を受けていたことを発表している。中でも、国内ウェブサイトが閲覧不可となった事案が多発。この事件の背景としては、国際的な事情が絡んでいる。国際ハッカー集団と名乗るものが犯行声明とともにイルカ漁や捕鯨に対する抗議を表しており、国内だけの問題のみならず、国際情勢を揺るがす問題に拡大しているのも事実である。

日本政府による情報システムの検討

まず先に理解しておきたい事項として「境界型セキュリティ」と「ゼロトラスト」の二つの定義がある。「ゼロトラスト」については下記でも述べるが、下記でもざっくり紹介する。

境界型セキュリティ

境界型防衛ともいい、ネットワーク上の外部と社内ネットワークを遮断して、外部からの攻撃をブロックし、内部からの情報流出も防止する役割もある。外部からのマルウェア侵入や攻撃を防ぎ、社内ネットワークに不正なアクセスがないかチェックするセキュリティ対策。「信頼できないもの」が内部に入り込まないこと、「信頼できるもの」のみが社内ネットワークに存在することを前提としている。防御対象はネットワーク。

ゼロトラスト

「内部であっても信頼しない、外侮も内部も区別なく疑う」と言う「性悪説」に基づいた考え方を言う。社内内部の人間であっても利用する場合は全てのものを疑い、端末すらも疑う。認可や許可を受けた限られたユーザーのみしかアクセスすることが許されない。防御対処はネットワーク。

より詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

時代とともに変わるセキュリティ対策

従来は境界型セキュリ ティに基づく考えであった。境界で内側と外側を遮断して外部からの攻撃や内部 からの情報流出を防止を対策としていて、 具体的には強固な壁をつくり安全な内側と危険な外側を分離することで内部の情報を守る策をとっていた。あくまでも、内部では安全が保証された世界であって、外部との接続を遮り、内部への攻撃や不正アクセスを防ぐことが目的であった。

しかし、近年のクラウド化や、複数端末の利用、リモートワークの普及に伴い、境界型セキュリティの限界が見始めた。外部からの攻撃やウイルスなども、情報社会のめまぐるしい発展に伴い強固たるものに進化している。もはや、「壁」を作るだけでは侵入には対処できなくなってきているのだ。通信の暗号化が普及したことで侵入するマルウェアの検出や流出する情報の検出も困難となり、本来の業務の生産 性低下と運用負荷の増大を招きざるを得ない。

官庁内においても、パブリック・クラウドの利用、働き方改革、デジタル・ガバメントが実現となれば、今まで壁の内側で守られてきた「ユーザー」「データ」 「デバイス」、あるいは「サーバ」などが、壁の外側で活用される局面が増大するとの考えを示している。境界線セキュリティは、「制限する」セキュリティであり、壁 を越えて企業や国民と連携しなければならない状況を見据えた上では、この従来のセキュリティ対策では新たな兆しが見えない。その結果として、組織や社会の DX(デジタルトランスフォーメーション)が立ち遅れ、 国際競争力にも影響を与えるとの懸念も示している。

ゼロトラスト に向けた政府の検討

上記を踏まえたのち、政府は境界型セキュリティの限界を示した。そこで、政府CIOポータルでは今後のセキュリティ対策の一環としてゼロトラストの適用を取り組んでいることを表示。また、ディスカッションペーパーにより国民の意見を募集している。政府によるゼロトラストの要点として以下を掲げている。政府関係者や団体、政府機関のものはぜひ理解を深めて欲しい。

  • パブリック・クラウド利用可能システムと利用不可システムの分離
  • システムのクラウド化徹底とネットワークセキュリティ依存の最小化
  • エンドポイント・セキュリティの強化
  • セキュリティ対策のクラウド化
  • 認証、及び認可の動的管理の一元化

特に「システムのクラウド化 徹底」、「エンドポイント・セキュリティの強化」、「セキュリティ対策のクラウ ド化」については、並行実施を原則に検討している模様。

ゼロトラストとは?

ゼロトラストのコンセプトは、機密性の高い重要なデータの周囲に効果的な境界線を確立することに焦点を当てています。ペリメーターには、ファイアウォールVPN、アクセス制御などの従来の防御技術だけでなく、アイデンティティ、アプリケーション、データ層レベルでの認証、ロギング、制御も含まれます。

ゼロトラストの概念の多くは、「防御の深化」や「侵害の想定」など、確立されたベストプラクティスと正しく比較されています。ゼロトラストは、実際には、これらの概念とその結果としてのアーキテクチャを進化させたものであり、根本的な新しいアプローチではありません。

しかし、コンセプトはよく知られていますが、ゼロトラストセキュリティの実現は、特に政府機関では、以下のような理由から複雑になっています。

  • 多くの政府機関は、物理、仮想、クラウド環境に分散した複数世代のIT資産に依存しています。
  • 多くの機関は、不満を持つ個人から、組織化され、資金的に動機づけられた犯罪シンジケートや敵対的な国民国家に至るまで、悪質な行為者からの継続的な攻撃を受けている。

大きな課題は、ゼロトラストに向けた進展は、機関の現在のセキュリティ姿勢と能力を低下させることなく、飛行中に行われなければならないということです。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ACT-IAC報告書に沿ったもの

政府機関に対しては、ゼロトラストモデルを導入することで、ACT-IAC報告書で特定された目標とする成果を達成することができます。

  • より安全なネットワークの構築
  • データをより安全に
  • 違反による悪影響の軽減
  • コンプライアンスと視認性の向上
  • サイバーセキュリティ全体のコストを削減
  • 組織のセキュリティとリスク姿勢の改善

なぜ今、ゼロトラストが必要なのか?

ニュースを読むだけで、なぜゼロトラストが重要視されるようになったのかを知ることができます。私たちは、毎日のようにセキュリティが破られ、データが盗まれる世界に生きています。これらの攻撃は非常に破壊的であり、個人の財務データや健康データのプライバシーから、国家安全保障を含む政府の運営や機関の完全性まで、あらゆるものに影響を与えています。

ゼロトラストに向けて前進することが政府機関の目標でなければならないという転換点に達しています。ゼロトラストへの道のりは様々であり、どの機関も同じ戦略に従う必要はありませんが、今すぐに最初の一歩を踏み出すことが重要です。特にVPN等を使った境界型セキュリティでは内部犯行やサプライチェーン攻撃に対応できないため、ゼロトラストネットワークへの移行が必須です。

良いニュースは、どこから始めるかに関係なく、ゼロトラストに向けた一歩一歩を踏み出すことで、資産、データ、および使命のセキュリティが強化されるということです。

VPNがなぜテレワークに適していないのか、詳細をホワイトペーパーにまとめております。
今だけ無料で公開していますので、是非ご覧ください。

ゼロトラストのすべてにメリットがある

多くのベンダーは、ゼロトラストを達成することは、自社製品を購入するのと同じくらい簡単だと主張しています。しかし、現実はもっと複雑です。ゼロトラスト・モデルは、一朝一夕に設計して実装することはできません。それは、最も複雑な政府環境の中には、完全には実現できないかもしれない結果に向けての旅路である。

しかし、ゼロトラスト・ネットワーク・アーキテクチャ(ZTNA)を開発することで、セキュリティと運用上のメリットを提供する基礎能力の広範なセットを構築することができます。

基礎的な能力

まず最初に、ファウンダメンタル・ケイパビリティ、これは以下のように識別されます。

  • ネットワーク資産のインベントリと管理
    – レガシーアプリケーションを含むアプリケーションのインベントリ
    – データインベントリ
    – リモートアクセスの方法
  • 連続データの識別と分類
  • 二要素認証(ハードウェアデバイスまたはトークンベース)
  • ユーザーとアプリケーションの両方に対応したセントラル・アイデンティティ・クレデンシャル・アクセス管理(ICAM)
  • ジョブの役割とデータアクセスのニーズに基づいて、ユーザーグループと権限を細かく設定

アプリケーション機能

資産を発明したら、次のアプリケーション機能を開発します。

  • アプリケーションと中央ICAM間の統合
  • アプリケーション層とデータ層の両方でのユーザーグループとロールベースのパーミッション
  • ICAMを活用したアプリケーション開発者研修
  • 中央ログ管理プラットフォームへの堅牢なアクセスロギング
  • 開発標準とアーキテクチャを継続的に更新
  • レガシーアプリケーションのフェーズアウトまたは移行のための開発計画

セキュリティ機能

次に、セキュリティ機能をアプリケーション機能にオーバーレイします。

  • 可視性とセキュリティをサポートするデータアーキテクチャとスキーマ
  • 復号化されたネットワークトラフィック、アクセスゲートウェイ(プロキシ)、アプリケーションログによるアプリケーションの可視化
  • セキュリティ情報・イベント管理(SIEM)の上にルールや検出を記述する
  • ネットワーク層の可視性
  • デバイスまたはエンドポイントの可視性
  • アプリケーションのロギングと可視性
  • アイデンティティのロギングと可視性
  • データ層のロギングと可視性

トレーニングとサポート機能

最後に、ゼロトラストの人間的要素を強化するために、堅牢で継続的なトレーニングとサポート能力を開発し、実施する。

  • ユーザーを役割別およびレベル別のグループに分類し、各グループのトレーニング要件を特定する
  • そして、各グループ、新規ユーザー、既存ユーザー、アプリケーション開発者に対するトレーニングとサポートを提供します。

ゼロトラストに関して気になる点

これまで述べてきたように、ゼロトラストへの道には、正しい道も間違った道もありません。しかし、旅のあらゆる段階で質問すべきことがあります。

あなたのネットワーク資産をどのくらい知っていますか?

すべてのゼロトラストの取り組みは、組織内のハードウェアおよびソフトウェア資産を理解することから始めなければなりません。この理解を得て、常に変化し続けるITの状況の中でそれを維持することは、DHSの継続的診断と緩和(CDM)プログラムのフェーズ1、すなわちハードウェアとソフトウェアの資産管理と構成設定の自動化に対応しています。

資産の管理が自動化されれば、保護すべき資産をリアルタイムで正確に登録することができます。

ゼロトラストの世界でデータはどのように管理されているのか?

従来のユーザー中心のデータ管理戦略(例えば、ユーザーの役割によってデータアクセスのレベルが定義される)とは異なり、ゼロトラストの世界では、この戦略はデータ中心にならなければなりません。

このモデルでは、データの機密性に基づいて、ストレージ層でのデータアクセス制御から始まる同心円状の防御策を構築し、このデータにアクセスしようとするデバイス、ユーザー、および場所の強力な認証を強制します。

ネットワークアクセスは誰が持っているのか、その理由は?

歴史的に、ほとんどのネットワークの脅威は、その機関から暗黙のうちに信頼されているユーザーからもたらされてきました。対照的に、ゼロトラスト・モデルでは、すべてのユーザ、デバイス、アプリケーション、およびネットワーク・フローが認証され、承認されなければなりません。

ユーザーレベルでは、従業員、請負業者、または第三者にどのレベルのデータアクセスが許可されているかを把握し、継続的に見直し、更新し、必要に応じてそのアクセスを取り消すことが重要です。

ゼロトラストはペリメーターレスを意味するのか?

一言で言えば「ノー」です。ゼロトラスト・アーキテクチャでは、境界線の概念をマイクロ・セグメンテーション・レベルと呼ばれるものに適用します。このモデルでは、もはやセキュリティを確保する必要があるのはネットワークの境界だけではありません。ゼロトラスト・アーキテクチャは、アプリケーション・レイヤーとそれに関連するデータ、そして非リーガシーなIT環境では通常このレイヤーの基盤となるコンピュート・コンテナや仮想マシンも保護する必要があります。

ゼロトラスト・アーキテクチャをサポートするために必要なデータの可視性を持っていますか?

ネットワークデータをセグメント化、分離、制御するために、ネットワーク全体のエンドツーエンドの可視性を確保することは、ゼロトラスト・アーキテクチャにとって非常に重要です。可視性は、情報を提供し、管理し、実施する必要があり、そのためには、動的で多くのデータソースから構築されたセキュリティポリシーを開発する必要があります。

暗号化されたトラフィックの可視性を得ることは、暗号化されたトラフィックに悪意のあるペイロードが隠されている可能性があるため、特に脅威となります。暗号化されたトラフィックを管理するためには、自社に適したアプローチを使用してください。

人を自由にするツールを使っていますか?

代理店がゼロトラストネットワークを継続的に監視できるようにするには、ツールを使用して、日常的なネットワーク管理タスクを可能な限り自動化してください。

しかし、そのようなツールは単にタスクを自動化するだけのものではないことに注意することが重要です。また、予想されるトラフィックパターンや動作に対する例外を迅速に特定し、分離し、分析することができなければなりません。脅威の数が増え、多様化し、洗練されてきている現在、自動化および分析ツールは、時間と労力を節約し、脅威の検出や対応など、より価値の高い機能に適用できる不可欠なコンポーネントとなっています。

政府機関がクラウドにおけるセキュリティシステムで検討すべき課題

これまでゼロトラストの導入について様々なメリットを述べてきた。しかし、メリットがあればデメリットがつきもの。クラウドに関する環境は近年大きな飛躍と進歩を遂げているが、政府機関が高度なセキュリティ対策を導入し運用するにあたって、まだ多くの取り組みと課題が残されいるのも事実である。

最も考慮しなければならないのが万能なハイブリット環境は存在しないこと。組織内部は様々な固有の機能を保持し、また組織内においても複雑な機能です。これらを全て網羅するシステムを実現しようとするとなると膨大な時間と労力がかかります。会社全体に完璧なアプローチを実装するのはほぼ不可能であることは念頭に入れるべきです。それでも、ゼロトラストセキュリティは今までも進化を遂げ、さらに現在も成長を継続しています。現在の環境にあったゼロトラストを取り入れ、さらに環境の変化とともにゼロトラストセキュリティの見直しを図ったのち、アップデートすることを忘れないようにしてください。ゼロトラストを導入するにあたっては、内部の一貫したポリシーが重要となってきます。データ保護やサイバー攻撃といった脅威を管理するには、内部での認識と管理体制の強化が重要です。情報管理担当者は、情報セキュリティポリシーで定めた事項が組織全体で実 施されるように、情報システムの管理・運用、従業員に対する教育・監督を適切に行うことが重要です。全てをクラウド環境で行い、そのセキュリティを管理することは、IT担当部門にとっては非常に複雑で、業務負担が大きくなる可能性があります。タスクを自動化し、クラウドの内外どこでも継続的に保護できるツールが必要です。

すでに企業・組織の情報資産を脅かす新しい脅威が出現している中、これらの脅威について情報を 収集し、必要に応じて組織幹部や外部の専門家とも連携しながら、継続的に組織全体の情報セキュリティの体制や対策を見直していくことと併用して、組織全体の業務形態を見直すことも検討するのも、セキュリティ対策を円滑に進めるのに重要であると考えます。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

リモートワーク普及によるセキュリティ対策の検討の重要性

新型コロナウィルスの流行を機に働き方を見直す動きが広まっています。政府によるリモートワークの推進など、もはや新型コロナウィルスのおかげで本格的にリモートワークを導入しなければならない時代にきました。リモートワークを実施するに伴ってクラウドサービスの活用が増加、あらゆる場所から業務を行うためには、必要な情報にアクセスできる環境が必要です。そこで政府としても、リモートワークに伴い付随する問題を検討しながら対策をとっていく必要があります。例えば、リモートワークの普及を悪用し、企業ネットワークに侵入しようとする不正アクセスもすでに観測されています。

より詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

あなたのゼロトラスト対応はどこから始めますか?

多くの政府機関がゼロトラストモデルを検討しているにもかかわらず、このアプローチを導入し始めたのは約35%に過ぎません。最初の重要なステップを踏んでいますか?

まだ導入プロセスを開始していない場合は、多くのモデルやリソースを利用することができます。ゼロトラストの早期導入者である政府のCIOCISOの多くは、すでに、彼らが遭遇した複雑な問題にどのように対処するのが最善かについて情報を共有しています。

ゼロトラストの原理や原則を詳しく知りたい方はこちらのホワイトペーパーもご覧ください。

【端末管理・MDMやMAM】ゼロトラスト展開ガイド

現代の企業では、データにアクセスするエンドポイントが驚くほど多様化しています。その結果エンドポイントは、ゼロトラスト・セキュリティ実現におけるの最弱のリンクになりやすくなります。(ゼロトラストの原理や原則をより詳しく知りたい方はこちらもご覧ください。)

業務で利用する端末が個人所有のBYODデバイスであっても、企業所有の完全に管理されたデバイスであっても、ネットワークにアクセスしているエンドポイントを可視化し、健全でコンプライアンスに準拠したデバイスのみが企業リソースにアクセスできるようにしたいものです。同様に、エンドポイント上で実行されるモバイル・アプリケーションやデスクトップ・アプリケーションの健全性と信頼性についても懸念しています。これらのアプリも健全でコンプライアンスに準拠しており、悪意や偶発的な手段によって企業データが消費者向けアプリやサービスに漏洩することがないようにしたいと考えています。尚、

続きを読む