fbpx

境界線を超える新しいセキュリティ

新しいエンタープライズモデルの確保

新しいエンタープライズアーキテクチャは境界線の再定義がコアです。今や企業の壁の外に保管され、労働力はますますモバイル化しています。

続きを読む

真のパスワードなしのセキュリティを導入するためのCISOのガイド

管理者向けの多要素認証導入の概要

多要素認証は、消費者向けおよび従業員向けのアプリケーションの資格情報の詰め込み、フィッシング、およびパスワードの再利用を排除するように設計されています。企業内に保存されている一元化されたパスワードに依存する認証方法とは異なり、多要素認証は分散認証を利用して、ユーザーの資格情報を個人のデバイスに安全に保存します。パスワードなしのセキュリティに対するこの分散型のアプローチにより、ハッカーの主要な標的が取り除かれ、攻撃者は各デバイスに個別に集中する必要があり、企業の経済的側面が大幅に変わります。

多要素認証プラットフォームは、大規模なコンシューマーアプリケーション、エンタープライズビジネスでの使用、および既存のIDおよびアクセス管理(IAM)インフラストラクチャとの統合のために、パスワードなしの真のセキュリティを強化するように設計されています。このプラットフォームの利点は、モバイル、ウェブ、デスクトップアプリケーションの全範囲で、パスワードなしの真のアーキテクチャへの実用的な移行を可能にする相互運用性のレベルです。

このホワイトペーパーは、セキュリティおよびITマネージャーに、多要素認証の一般的な展開プロセスの概要を説明します。その目的は、組織の多要素認証 プラットフォームを使用して認証プロセスを分散するために必要な活動のタイプを、マネージャーと開業医がよりよく理解できるようにすることです。多要素認証チームがプロジェクトの参加者に、導入に関連する実際の手順の詳細な説明を提供します。

多要素認証導入の2つのカテゴリ

多要素認証の展開は、2つのカテゴリのユースケースに従います。それぞれに、実用的、技術的、および管理的な一連の独自の懸念があります。これらの展開の使用例の詳細は、管理の説明を保証するのに十分に異なるため、このドキュメントです。以下のセクションでは、最も典型的なプロジェクトで各ケースがどのように進行するかを説明します。

消費者アプリケーションの多要素認証

このケースには、資格情報の詰め込みとパスワードの再利用に起因する顧客の詐欺とアカウントの乗っ取りを減らすことを目指す、基幹業務、デジタルID、および詐欺チームが関係しています。これは通常、企業から消費者へのサービス提供のためのデジタル変換イニシアチブのコンテキストで実行され、PSD2やSCA(Strong Customer Authentication)などの規制コンプライアンス要件を満たします。

エンタープライズ使用のための多要素認証

このケースには、フィッシングや高度な永続的脅威(APT)の漏えいなどの侵害のリスクを軽減するために認証を分散化したい企業のセキュリティチームが含まれます。これは通常、Windows およびMacOSワークステーションに対する真のパスワードなしの認証、およびシングルサインオン、VPN、VDIログインを有効にするために実行されます。

消費者アプリケーション向けの多要素認証導入

現代のデジタルトランスフォーメーションイニシアチブは、大規模なコンシューマーモバイルアプリケーションに多要素認証を導入するという管理上の決定の根底にあることがよくあります。サービスプロバイダーとアプリケーションプロバイダーは、個人の信用リスクを最小限に抑える必要性を認識しながら、できるだけ少ない摩擦でユーザーエクスペリエンスを最適化しながら、多要素認証を統合するという決定は、セキュリティの向上とエンドユーザーエクスペリエンスの向上の両方を直接サポートするため、最適です。

多要素認証展開のこの最初の使用例には、大規模な消費者ベースを処理し、分散された資格情報のサポートを必要とするビジネスまたはプロバイダーが含まれます。小売銀行、ソーシャルメディア会社、インターネットサービスプロバイダー、保険会社、オンラインメールベンダーは、このカテゴリの展開の良い例です。このユースケースでは、多要素認証により、消費者向けのモバイルおよびWebアプリケーションの真のパスワードなし認証が可能になります。その結果、ユーザーのモバイルデバイスを利用したフィッシング耐性のあるログインエクスペリエンスが実現します。

パスワードなしのコンシューマ認証

  1. ユーザーのリクエスト
  2. ユーザー有効性チェック
  3. 認証の開始
  4. 認証チャレンジ
  5.  FIDO署名済み応答
  6. 認証完了

このユースケースは、多要素認証ソフトウェア開発ツールキット(SDK)を統合する方法を理解している、有能な開発者の訓練されたチームが存在することを前提としています。

成功を確実にするために、さまざまな部署を超えたチームが多要素認証 展開プロセスに関与します。たとえば、ユーザーエクスペリエンスチーム、サイバーセキュリティチーム、プライバシーチーム、ソフトウェアエンジニアリングチームが統合に参加し、多要素認証チームが直接サポートします。多要素認証ツールキットは、これらの大規模な開発者とエキスパートのグループがパスワードなしのセキュリティを実現するために使用するため、このチームアプローチでは細部に細心の注意を払うことができます。

多要素認証を導入して2つの簡単なステップで消費者認証を実現

コンシューマーモバイルアプリケーション向けの多要素認証の統合は、一般的に次の2つの一般的な統合ポイントに焦点を当てます。

バックエンドインフラストラクチャ

これには、多要素認証セキュリティを特徴付ける分散型セキュリティをサポートするアプリケーション、システム、およびネットワークが含まれます。

フロントエンドモバイルアプリ

これらは、保護されている特定のサービスセットにアクセスするために、コンシューマによって使用されます。

ほとんどのエンタープライズチームとは対照的に、コンシューマーアプリケーションに多要素認証を組み込むために作業している一般的な組織はソフトウェア開発ツールキット(SDK)の経験があるため、これらの統合ポイントへの展開は簡単です。アプリケーションで使用するOATHやOpen ID Connect などの目的のインターフェイスを問題なく選択することができ、プロジェクト統合作業全体が1日未満で済むことも珍しくありません。

たとえば、Global 2000 Financial Institutionの最近のコンシューマーアプリケーションプロジェクトには、インターネットベースのeコマースサービスのための会社のモバイルアプリケーションエクスペリエンスへの多要素認証の統合が含まれています。この場合、数千万人の消費者がこれらのオンラインサービスを使用し、展開プロセス全体で成功したのはわずか2日半の作業でした。

エンタープライズ向けの多要素認証導入

現代のデジタルトランスフォーメーションイニシアチブは、大規模なコンシューマーモバイルアプリケーションに多要素認証を導入するという管理上の決定の根底にあることがよくあります。サービスプロバイダーとアプリケーションプロバイダーは、個人の信用リスクを最小限に抑える必要性を認識しながら、できるだけ少ない摩擦でユーザーエクスペリエンスを最適化しながら、多要素認証を統合するという決定は、セキュリティの向上とエンドユーザーエクスペリエンスの向上の両方を直接サポートするため、最適です。

多要素認証展開のこの最初の使用例には、大規模な消費者ベースを処理し、分散された資格情報のサポートを必要とするビジネスまたはプロバイダーが含まれます。小売銀行、ソーシャルメディア会社、インターネットサービスプロバイダー、保険会社、オンラインメールベンダーは、このカテゴリの展開の良い例です。このユースケースでは、多要素認証により、消費者向けのモバイルおよびWebアプリケーションの真のパスワードなし認証が可能になります。その結果、ユーザーのモバイルデバイスを利用したフィッシング耐性のあるログインエクスペリエンスが実現します。

パスワードなしのワークステーションログイン

  1. ロックされたワークステーションの状態
  2. ワークステーションのロック解除を開始する
  3.  FIDO認証をリクエストする
  4. 秘密の承認
  5. 秘密の検証
  6. セキュリティコンテキストの検証
  7. ロック解除されたワークステーション

多要素認証の目標は、CISO主導のチームが分散型認証プラットフォームを企業に直接的な方法で統合するのにほとんど問題を起こさないようにすることです。

企業での多要素認証の使用法では、ソフトウェア統合から生じる機能制御と同様に、単純な統合が重要であると想定されています。これは理にかなっています。多要素認証プラットフォームを単純に展開できない場合、セキュリティの値に関係なく、CISOチームは前進するための合理的な手段がないためです。上記で提案したように、CISOチームに経験豊富で利用可能なソフトウェア開発者のチームが含まれることはほとんどありません。

そのため、多要素認証チームには、既存のエンドポイント、サーバー、ネットワークインフラストラクチャへの導入と統合のための事前定義されたモジュールがあります。企業向けの調整には、新しいアプリケーション、ミドルウェア、またはスクリプトをコーディングする必要はなく、管理ツールを使用してソフトウェアをインストールするスキルのみが必要です。

5つの簡単なステップで企業全体に多要素認証を導入

最も一般的な多要素認証エンタープライズ展開には、次の5つのステップが含まれます。各ステップには、セキュリティチームとIT運用チームの調整が必要です。ほとんどのエンタープライズチームは、BYODまたは企業所有のモバイルと連携して、PC エンドポイントでWindowsを実行していることに注意してください。明らかにこれは異なる可能性がありますが、この一般的な構成で多要素認証のお客様に対して最も一般的に観察されている手順を以下に示します。

ステップ1:エンドポイント資格情報プロバイダー

この最初のステップでは、エンタープライズチームが多要素認証クライアントをすべてのエンドポイントにインストールする必要があります。多要素認証 クライアントは、Windowsエンドポイントの既存の資格情報プロバイダー機能を変更して、証明書ベースのログオンをデフォルト設定から使用し、パスワードを使用するようにします。この最初のステップはMacOSでもほぼ同じですが、特定のユーティリティは明らかに異なります。多要素認証チームは企業と協力して、このエンドポイントステップに適したエンドポイントソフトウェア導入ツールを利用します。

ステップ2:ドメインコントローラーの設定

この2番目のステップには、Windows ドメインコントローラーで証明書ベースのログオンを有効にするエンタープライズITチームが関与します。この設定はデフォルトで無効になっていますが、多要素認証プラットフォームとクライアント/サーバーが適切に相互作用するためにはこの機能が必要です。管理者はクリックするだけでサーバーの機能を有効にすることができます。

ステップ3:多要素認証サーバーの導入

導入プロセスの3番目のステップでは、多要素認証サーバーをオンプレミスまたはクラウドにインストールします。この手順は、お客様の企業でのサーバーの展開に関するローカルの要件、ポリシー、および制約に大きく依存します。場合によっては、これにはかなりの文書と保証が必要であり、多要素認証チームがそれに応じて支援します。多要素認証サーバーは、デプロイされたサーバー上で仮想アプライアンスとして実行されます。

ステップ4:エンタープライズアーキテクチャ

各企業には、サーバーを含め、新しい多要素認証プラットフォームのアーキテクチャサポートに対する異なる要件があります。データ複製、災害復旧、ホットスタンバイ要件、およびその他の考慮事項は、多くの場合、多要素認証エンタープライズ展開の重要な側面です。この場合も、多要素認証チームは、エンタープライズチームからのローカルガイダンスに従って、すべての機能、回復力、および保証の要件が確実に満たされるようにします。

ステップ5:モバイルアプリ

すべての多要素認証展開には、ユーザーの資格情報を格納するために使用されるモバイルアプリが必要です。明らかに、モバイルアプリを従業員および請負業者のモバイルデバイスにプッシュすると、ローカルモバイルデバイス管理(MDM)およびエンタープライズモビリティ管理(EMM)ツールが導入されます。最終結果は、各ユーザーがモバイルデバイスに多要素認証モバイルアプリをインストールし、ホワイトラベルが付けられ、組織向けにブランド化されていることです。

SDPで特権の過剰リスクを軽減するセキュリティ対策

利点

  • 許可されていないリソースは完全に見えない
  • 接続は安全で、ユーザーとリソース間で1対1で暗号化されている
  • クラウドのように構築—非常にスケーラブルで、分散性と復元力
  • クラウドネイティブ環境とハイブリッド環境全体で一貫したアクセス制御
  • 従来のVPN、NAC、ファイアウォールよりも優れたネットワークセキュリティ
  • リモートおよびサードパーティのアクセスは、ID と状況依存です
  • ネットワーク上の横方向の動きを排除

SDPは、最小限の特権のネットワークアクセスをリアルタイムで実施します。つまり、ユーザー、デバイス、場所を問わず、あらゆるプラットフォームのあらゆるアプリケーションにアクセスできます。

過剰な特権を持つリモートおよびサードパーティのユーザーは、重要なシステムにアクセスする必要があります。しかし、VPNテクノロジは機能しません。ネットワークへの接続を許可するIPアドレスかどうかで、すべてのユーザーを同じように扱います。このオールオアナッシングアプローチでは、特権の過剰なユーザーが発生し、データ侵害のリスクが高まります。結果はデータ侵害、知的財産の盗難、経済的損失または罰金の広範囲に及ぶ可能性があります。そして、ほとんどの企業は破局的なデータ侵害から完全に回復することは決してありません。規制の罰金や財政的影響を除いて、自由市場における組織の評判はほとんど修復不可能です。

安全なアクセスソリューションであるSDPは、ソフトウェアで定義された境界のゼロトラスト原則を実装し、過剰な特権やスーパーユーザーから保護するための統合されたエンタープライズグレードのソリューションを提供します。SDPは、ユーザーとリソース間に暗号化された1 対1の接続を作成し、ID レベルのアクセスポリシーをネットワークレベルで動的に実施します。ポリシーは環境の変化に動的に適応します。ユーザー属性、サーバーメタデータ、および全体的なシステムコンテキストの組み合わせに基づいて、サーバーインスタンスへのアクセスを許可します。

ライブ作品:動的、コンテキスト

特権ユーザーは動的であり、いつでもどこでも作業する必要があります。SDPは、静的アクセスルールをライブ資格(動的な状況依存アクセスポリシー)に置き換えます。Live Entitlements は、ユーザーが何をいつどこで行っているかに基づいて動的にセキュリティを変更します。このきめの細かいアクセス制御により、個々のユーザーは自分の仕事に必要なものだけにアクセスできます。一貫性のある自動セキュリティのメリットを享受し、人的エラー要因を排除します。

きめ細かい個別のネットワークアクセス

VPN やファイアウォールなどの従来のネットワークセキュリティは、さまざまな役割やグループをネットワークセグメントに接続し、アプリケーションレベルの権限に基づいて承認を行います。SDPは根本的に異なります。ポリシーをリアルタイムで理解して、ユーザーごとに個別の境界を作成します。許可されると、SDPは暗号化されたトンネル「Segment Of One」を作成し、トラフィックがユーザーデバイスから保護されたリソースにのみ流れるようにします。

詮索好きな目から完全に覆い隠された

シングルパケット認証テクノロジはインフラストラクチャを隠蔽し、検証されたユーザーのみがシステムと通信できるようにします。これにより、ネットワークの偵察を防止し、ネットワーク上の横方向の動きを制限することで、ネットワークの攻撃対象領域を大幅に削減します。

使い方

Software-Defined Perimeter(SDP)アーキテクチャは、クライアント、コントローラー、ゲートウェイの3つの主要コンポーネントで構成されています。コントローラは、システムの頭脳が常駐する場所であり、システムの信頼ブローカーとして機能します。コントローラのチェックコンテキストおよび助成金の資格。コントローラとゲートウェイは完全に隠れています。

  1. 単一パケット認証(SPA)を使用して、クライアントデバイスはコントローラーへのアクセス要求と認証を行います。コントローラーは資格情報を評価し、ユーザー、環境、インフラストラクチャに基づいてアクセスポリシーを適用します。
  2. コントローラーはコンテキストをチェックし、ライブ資格をクライアントに渡します。コントローラーは、暗号化されて署名されたトークンをクライアントに返します。クライアントには、承認されたネットワークリソースのセットが含まれています。
  3. クライアントはSPAを使用してライブ資格をアップロードします。ゲートウェイはこれを使用して、ユーザーのコンテキストに一致するアプリケーションを検出します。ユーザーが(保護されたサーバーでWebページを開くなどして)リソースにアクセスしようとすると、ネットワークドライバーは適切なクロークゲートウェイにトークンを転送します。ゲートウェイは、ネットワークの場所、デバイスの属性、時刻など、追加のポリシーをリアルタイムで適用します。アクセスを許可または拒否したり、ワンタイムパスワードの入力を求めるなど、ユーザーからの追加アクションを要求したりする場合があります。
  4. このセッションのために、1つのネットワークの動的セグメントが構築されます。許可されると、リソースへのすべてのアクセスは、クライアントから安全で暗号化されたネットワークトンネルを経由し、ゲートウェイを経由してサーバーに到達します。アクセスはLogServer を介してログに記録されるため、ユーザーアクセスの永続的かつ監査可能な記録が確実に存在します。
  5. コントローラーは、コンテキストの変更を継続的に監視し、それに応じて1つのセグメントを適応させます。

Azureを用いたネットワークセキュリティの解

1 概要

マイクロソフトアズール(アズール)ネットワークを確実に接続する仮想マシン(VM)のために必要なインフラストラクチャを提供して互いに、及びクラウドとオンプレミスのデータセンター間のブリッジです。

Azureのネットワークサービスは、設計により、柔軟性、可用性、復元力、セキュリティ、および整合性を最大化します。このホワイトペーパーでは、Azureのネットワーク機能の詳細と、Azureのネイティブセキュリティ機能を使用して情報資産を保護する方法について説明します。

続きを読む

オンラインビジネスのための継続的なID保護ガイド

悪用や詐欺からユーザーアカウントを保護することは、価値の高いアプリケーションを提供する組織にとって根本的かつ終わりのない課題です。アカウントは、ボットやアカウント乗っ取り(ATO)を試みる攻撃者による継続的な攻撃、カーディング攻撃、偽のアカウント作成、盗難、詐欺などに直面しています。

続きを読む

アレイ専用のSSL VPN 高速、安全、スケーラブルな安全なアクセス

前書き

長年にわたり、組織はSecure Sockets Layer(SSL、別名TLS)テクノロジーに基づく仮想プライベートネットワーク(VPN)を利用して、リモートおよびアクセスのニーズを解決してきました。個人および企業所有のスマートモバイルデバイスの台頭により、企業のデータおよびリソースへの安全なモバイルアクセスの必要性が再び強調されています。

業界アナリストによると:

「スマートフォンのコンシューマライゼーションと、24時間年中無休でインターネットに接続されているスマートフォン、iPad、ネットブック、およびその他のモバイルデバイスの急増により、企業は本社、ブランチオフィス、リモートオフィス、データセンターの重要なインフラストラクチャがマルウェアからどのように保護されているかを再評価するようになっています。 」情報学研究

「企業の性質の変化とエンタープライズネットワークに接続するモバイルデバイスの数の増加、および「企業のコンシューマライゼーション」は、組織がネットワークセキュリティに取り組む方法に新しい要求を課しています。」ABIリサーチ

企業やサービスプロバイダーは、ますますモバイル化し、多様化するユーザーの性質(請負業者やゲストなど、さまざまなレベルのセキュリティを備えた自分のラップトップを通常使用する非従業員を含む)に対応して、安全なアプリケーションとネットワークアクセスを、エンドユーザーに提供するリソースの不可欠な部分にします。

一般に、SSL VPNを使用すると、ユーザーは複数の場所やコンピューティングデバイスからデータやアプリケーションに安全にアクセスでき、IDベースのきめ細かなアクセス制御を提供できます。しかし、近年、ファイアウォールや次世代ファイアウォールに組み込まれた機能としてSSL VPNが提供されるようになってきています。SSL処理リソースに依存する別のセキュリティアプライアンスとの統合は、大規模な展開が要求するスケーラビリティだけでなく、肯定的なエンドユーザーエクスペリエンスに必要なパフォーマンスに悪影響を与える可能性があります。

統合されたSSL VPNでは不十分

SSL VPNソリューションは、ブラウザで使用されるのと同じSSL暗号化を利用してトラフィックを暗号化し、データの機密性とデータの整合性を提供します。過去5年以上にわたり、企業は一般に、SSL VPNをインターネットセキュリティプロトコル(IPsec)または専用回線VPNに基づくものよりも優れたリモートアクセスの代替として受け入れてきました。

ただし、多くのSSL VPNベンダーは、クライアントレスおよびクライアント/サーバーアプリケーションのアクセス制御を提供する際に、SSL VPNの柔軟性とセキュリティの利点にほとんど専念してきました。彼らは、SSL VPNソリューションの全体的なスケーラビリティとパフォーマンスが顧客のニーズに一致することを保証するためにほとんど何もしていません。

さらに、多くのSSL VPNソリューションは、ファイアウォールまたはNGFWのモジュールまたはオプションとして提供されているため、次のような分野での企業の顧客の要求を満たすことができません。

  • パフォーマンスとユーザーエクスペリエンス–レイテンシとスループットのパフォーマンスを実現し、エンドユーザーエクスペリエンスを向上させて、エンドユーザーの生産性を保護する機能。
  • スケーラビリティ– パフォーマンスを低下させることなく、単一のハードウェアプラットフォーム上で多数の同時ユーザーに拡張する機能。
  • セキュリティ– 全体的なシステムパフォーマンスに悪影響を与えることなく、暗号化だけでなく、詳細なパケット検査とアプリケーションレベルのフィルタリングを提供する機能。

パフォーマンス

数年前から、サイバーセキュリティ業界は2048ビット暗号化に移行しました。これは、以前の1024ビット標準よりもはるかに安全ですが、5倍の処理能力を消費します。SSL VPN をファイアウォールやNGFWなどの別のコンピューティング集約型製品に組み込むと、SSL VPNのパフォーマンスに必然的に影響を与えるリソースの競合が発生し、ユーザーエクスペリエンスとワーカーの生産性が影響を受ける可能性があります。

たとえば、SSLバルク暗号化を検討してください。ほとんどのSSL VPNアドオンソリューションは、SSLキー交換行うI nはSSL VPNコプロセッサを使用して、ハードウェアを、しかし、バルク暗号化のためのメインCPUに依存しています。一括暗号化は、CPUを集中的に使用するプロセスであり、システムスループットに大きな負荷をかけ、特に2048ビットのキーでは大幅な遅延が発生します。

アプリケーションレベルのスループットも重要な要素です。SSL VPNは、ほとんどの統合プラットフォームが単純に設計されていない負荷を処理するよう求められています。そのため、多くの統合SSL VPNプラットフォームは実際的な制限に追いやられており、サポートされている同時ユーザー数、スループット、またはその両方に関して、ベンダーが定めた制限をはるかに下回る可能性があります。その結果、それらは正常に機能しなくなるか、または機能が不十分になり、エンドユーザーの生産性を妨げます。

許容可能なパフォーマンスレベルを達成するために、お客様は、複数の統合SSL VPNアプライアンスを購入し、スループットと同時ユーザーの観点から、要求されたパフォーマンスをはるかに下回ってそれらを操作する必要があることに気付きます。もちろん、これはコストの増加(初期資本支出と継続的な管理の両方)につながり、複数の障害点により信頼性が低下します。

一部の組織は、パフォーマンスが非常に低いため、サードパーティのアプリケーションアクセラレーションソリューションを別途購入して維持する必要があります。これもまた、コストの上昇と信頼性の低下につながります。

スケーラビリティ

このようなコストを回避することは、拡張性の高いSSL VPNソリューションを見つけることを意味します。スケーラビリティは、主に2つの要素で測定されます。同時ユーザーの最大数と同時SSL接続の最大数です。加えて、セキュリティのより多くの層を持つ、非常に複雑なSSL VPNの設定、さまざまためのルール、仮想ポータルなど興味のあるコミュニティは、また、スケーラビリティに影響を与えることができます。

アドオンSSL VPNソリューションは、最大25,000の同時ユーザーをスケーリングすると主張する場合がありますが、上記のように、実際の制限はおそらくはるかに小さくなります。それでも、25,000の同時ユーザー数でさえ、多くの企業、そして確かにサービスプロバイダーには少なすぎます。

SSL VPNマネージドサービスを提供するサービスプロバイダーにとって、1つのシステムで25,000を超えるユーザーと数百の顧客を拡張する機能は不可欠です。ほとんどのグローバル2000企業が100,000人を超える従業員を雇用していることを考えると、同じことが多くの大企業にも当てはまります。すべての従業員が安全なリモートアクセスを必要としているわけではなく、すべてが同時にログインしているわけではありませんが、SSL VPNの使用は従業員に限定されないことを覚えておくことが重要です。多くの場合、多数の請負業者、パートナー、サプライヤー、顧客に安全なアクセス権を与える必要があります。シンプルでクライアントレスの性質を考えると、ほとんどのITプロフェッショナルは、SSL VPNを使用してこれらのさまざまなグループや個人の安全なアクセスのニーズを満たすことを好みます。しかし、SSL VPNソリューションがシステムあたりのユーザーに対する通常の制限を超えて拡張できない場合を除き、そのような大きな要求をサポートすることは、アーキテクチャ上または経済的に実現可能ではありません。

さらに、ビジネスユニット、パートナー、サプライヤー、顧客が異なるかどうかに関係なく、すべてのユーザーコミュニティには、異なるレベルのアクセス権限が必要です。統合ファイアウォール/ SSL VPNソリューションは、多様なユーザーグループのきめ細かなロールベースのポリシーをサポートできますが、各グループのユーザーポータルを保護するために個別のアプライアンスが必要になる場合があります。その結果、より多様なユーザー数が追加されると、総所有コスト(TCO)が急上昇する可能性があります。

安全保障

統合ファイアウォール/ SSL VPNプラットフォームのパフォーマンスとスケーラビリティの欠点も、セキュリティ機能を制限する役割を果たす。適切なセキュリティを提供するには、処理能力が必要です。統合SSL VPNソリューションでは、システムに50人のユーザーしかいない場合にセキュリティを必要なレベルに設定できますが、ユーザーを追加すると、パフォーマンスが低下します。その結果、IT管理者は、パフォーマンスが許容レベルに回復するまで、セキュリティのレベルを縮小したくなるかもしれません。明らかに、これは最適な戦略ではありません。

統合SSL VPNのもう1つの問題は、OpenSSLなどの既製またはオープンソースのオペレーティングシステム上に構築される可能性があるため、これらのオペレーティングシステムに関連するすべての脆弱性とセキュリティホールの影響を受けることです。また、ほとんどの統合SSL VPNには高度なセキュリティ機能がありません。つまり、顧客はそのような機能を処理するために別のデバイスを追加する必要があり、複雑さ、コスト、および遅延が追加されます。さらに、統合されたファイアウォール/ SSL VPNソリューションは、通常、クライアントとSSL VPN アプライアンス間でのみトランスポートセキュリティを提供し、アプライアンスと接続されたサーバー間ではトランスポートセキュリティを提供しません。これにより、ユーザー組織は、すべてのセキュリティ脅威のかなりの部分を占める内部攻撃のリスクにさらされます。(IBMの2016サイバーセキュリティインテリジェンスインデックス3によると、すべての攻撃の60%は、悪意を持って、または不注意で、インサイダーに起因しています。)

専用のSSL VPNの紹介

統合ファイアウォール/ SSL VPNに関連するさまざまな欠点はすべて、SSL VPN用に特別に構築されたプラットフォームを使用することですべて対処できます。これは、アレイネットワークスがAGシリーズの高性能SSL VPNアプライアンスで採用したアプローチです。

アレイのAGシリーズ専用アプライアンスは、カスタムArrayOS™ オペレーティングシステムを実行する専用プラットフォームに基づいています。その最適化および合理化された操作は、アドオンSSL VPNプラットフォームと比較して、劇的に高いスループットと低いレイテンシを提供すると同時に、より多くの同時ユーザーとSSLセッションを可能にします。

多目的の統合されたコンピューティングプラットフォームは、プロセスが複数の処理レイヤーを通過する際に重大なボトルネックとレイテンシをもたらします。アレイのカスタムArrayOSオペレーティングシステムは処理を合理化し、キー交換やバルク暗号化などのCPU集中型の操作がハードウェアで実行されるようにします。

優れたパフォーマンスとユーザーエクスペリエンス

実際、その専用プラットフォームにより、Array は、最も近い競合するSSL VPNプラットフォーム(統合またはスタンドアロン)が提供できるよりも8倍速いパフォーマンス、スループット、および容量を提供できます。

パフォーマンスストーリーの多くは、ArrayOSとSpeedStack®の両方が原因です。これは、複数の統合されたデータフローに代わってTCPオーバーヘッド機能を一度だけ実行できるようにするアレイ処理エンジンです。機能を機能で構成されていると考えると、機能がかなり重複しています。これは、常に、機能要求が複数の機能を処理している可能性があり、その結果、リソースの使用効率が向上し、パフォーマンスが向上することを意味します。

Arrayは、SSLキー交換とバルク暗号化の両方をハードウェアで実行するだけでなく、圧縮と接続の多重化を統合して、ネットワーク接続の作業をオフロードすることで応答時間を改善し、サーバーのワークロードを削減します。その結果、アレイは500の同時SSLユーザーでわずか2ミリ秒の平均Webページ応答時間を維持でき、数万の同時ユーザーで1桁のままです。

アプリケーションサーバーが低レベルのTCPネットワーク操作を実行するには高すぎ、WAN帯域幅がリモートユーザーに高額な環境では、アレイのAGシリーズは、業界をリードするTCP接続の多重化やハードウェアベースのHTTP圧縮などの統合アプリケーションアクセラレーションを提供します。このレベルの統合された機能とパフォーマンスにより、コストを削減しながら、サーバーの応答時間とエンドユーザーエクスペリエンスが向上します。

エクスペリエンスの質の観点から見ると、高性能のSSL VPNソリューションがない場合、LANの速度に慣れているオフィスワーカーは、WAN経由でリモートで作業しようとするとイライラしてあきらめる可能性があります。さらに、VPNソリューションに関するこれらの従業員の経験の欠如は、避けられないログインとナビゲーションの問題を克服するために、かなりのトレーニングとサポートを必要とします。どちらの問題も、AG シリーズを使用して軽減できます。

強化されたセキュリティ

アレイの強力なパフォーマンス機能は、統合されたSSL VPNソリューションの場合によくあるように、ユーザーがパフォーマンスのためにセキュリティを犠牲にする必要がないことも意味します。アレイは、最大のセキュリティと瞬時のユーザー応答時間の両方を同時に維持できます。

すべてのSSL VPNソリューションと同様に、アレイは、認証、承認、監査(AAA)、およびキャッシュクリーニングによるエンドポイントセキュリティをサポートしています。ただし、アレイには、一般的な統合SSL VPN ソリューションにはない多数のセキュリティ機能も組み込まれています。

セキュリティの話は、独自のArrayOSオペレーティングシステムから始まります。ArrayOSは、​​専用のOSとして、WindowsやLinuxなどの汎用OSに固有の無関係な機能の1つと、それに付随するセキュリティの脆弱性を備えています。ArrayOSはセキュリティが強化されており、潜在的な攻撃面が大幅に減少しています。さらに、AGシリーズには、OpenSSLについて報告された脆弱性の大部分が影響を受けないことが証明された独自のSSLスタックが含まれています。これは、競合するほとんどすべてのSSL VPN製品の基盤です。

ArrayOSは完全なリバースプロキシアーキテクチャを採用しています。つまり、すべての接続を完全に終了し、バックエンドサーバーへの新しい接続を確立します。これには複数の目的があります。1つは、バックエンドサーバーを攻撃から保護するのに役立ちます。すべての接続はアレイデバイスで停止するため、ダウンストリームデバイスはこれらのバックエンドサーバーを「見る」ことができません。また、アレイは遅延バインディング技術を使用しており、アプリケーションサーバーに渡される前に、アレイアプライアンスで接続を完全に終了する必要があります。これにより、スプーフィングされたIPアドレスはサーバーに接続できなくなります。サーバーが正しく終了しないためです。

また、アレイのAGシリーズは、ワイヤースピードのステートフルファイアウォールとレイヤー7パケットインスペクションを採用して、異常なパケットを即座に検出(およびドロップ)します。エンドツーエンドのセキュリティを必要とする特に機密性の高いアプリケーションの場合、アレイデバイスとバックエンドサーバー間のセッションも再暗号化できます。

スケーラブルで仮想化されたユニバーサルアクセス

前に説明したように、大企業やサービスプロバイダーは、多数の多様なユーザーをサポートするために、最高のスケーラビリティ、最低のTCO、および柔軟なアクセス制御を必要とします。Array AGシリーズは、業界をリードするスケーラビリティ、仮想化、およびアクセス制御機能により、これらの厳しい要求を満たします。

単一のアレイシステムは、以下をサポートできます。

  • 130,000同時ユーザー
  • 3 Gbpsスループット
  • 256の仮想ポータル

これらの256個の仮想ポータルは、それぞれ独自のアクセスポリシー、および独自のルックアンドフィールとセキュリティ構成を持つことができます。単一のシステムからの手段は、企業が顧客にその公開Webへのアクセス権を与えることができる- ベースの注文システムは、アクセス、電子メール、ERPやCRMシステムに従業員を有効にして、取引先にアクセス与える彼らのエクストラネットへの。また、サービスプロバイダーは、単一のアレイシステムから最大256の異なる顧客をサポートできるため、アドオンSSL VPNソリューションと比較して、プロビジョニングと運用のコストを大幅に削減できます。

アクセス制御の提供に関して、アレイは、汎用SSL VPN と比較して飛躍的な進歩を遂げました。アレイのSSL VPNを使用すると、複数のLANスイッチ、SSL VPN アプライアンス、および個別のワイヤレスLANスイッチでACLを設定および維持する必要がなくなります。アレイのSSL VPNを使用すると、企業が発行したデバイスまたは個人のモバイルデバイス(許可されている場合)で、リモートから、または無線LANからネットワークにアクセスしている場合でも、ユーザーのアクセス方法がサポートされます。

安全なアクセスは、アレイSSL VPNソリューションのいくつかの主要な属性に依存します。

  • 同時ユーザーとセッションの最大数、および短い応答時間と高いスループットにより、アレイは生産性を低下させることなく多数のユーザーをサポートできます。
  • 統合された高性能ネットワークとアプリケーションファイアウォールにより、組織は現在のファイアウォールACL を置き換えることができます。
  • 多様なユーザーグループ用に最大256の仮想ポータル。リモートであっても、スマートモバイルデバイスを介してネットワークにアクセスするなど、多数のユーザーの複数のポータルのサポートと管理を簡単にします。
  • 高度な役割ベースの管理。これにより、セキュリティおよびネットワークポリシーの責任をIT部門全体の適切な担当者に委任できます。

アレイは、組織がエンドユーザーのアクセスポリシーとエンドポイントセキュリティを1か所(アレイSSL VPN)で制御できるようにすることで市場を定義しました。これにより、複数のLANスイッチ、ファイアウォール、SSL VPNアプライアンス、および個別のWLAN スイッチでACLを設定および維持する必要がなくなるため、管理コストが削減されます。

厳しい要件を満たす

AGシリーズが提供するスケーラブルなアクセス、強化されたセキュリティ、優れたパフォーマンスの組み合わせは、お客様がコストと時間の両方で大幅な節約を実現することを意味します。単一のシステムですべてのリモートアクセス要件を満たすことができるということは、複数の統合SSL VPN システムを採用する場合と比較して、TCOが低くなることを意味します。Arrayが提供する高度なセキュリティ機能により、さらにアクセス要件を集中管理できるため、さらなるコスト削減を実現できます。同時に、アレイはお客様に将来のVPN要件に向けて構築するための基盤を提供します。

より高いパフォーマンス、より低いTCO

システムあたり130,000の同時ユーザーのアレイの容量は、ユーザーあたりのコストを考慮すると、強力なTCOの話になります。AGシリーズは、1,000ユーザー未満でも費用対効果が高くなりますが、数値が高くなるとコストが劇的に減少します。一方、競合するソリューションのコストは、通常、より多くのアプライアンスを必要とし、管理が複雑になるため、1,000ユーザーを超えると劇的に増加します。また、アレイの接続多重化テクノロジーは、バックエンドサーバーからタスクをオフロードすることにより、サーバーのハードウェアとソフトウェアのコストを削減し、TCOをさらに削減します。

130億ドル規模のヘルスケア企業が2か月以内に5,000人をネットワークに追加する必要があったとき、多数のVPNおよびシンクライアントの代替案を検討しました。競合ソリューションよりもはるかに高いパフォーマンスと高い信頼性とセキュリティを提供するため、アレイシステムを選択しました。

アレイシステムのコストは、ユーザー1人あたりわずか40ドルですが、競合ソリューションでは200ドル以上です。また、ヘルプデスクのサポートがはるかに少なくて済み、管理も簡単で、アレイシステムからの総節約額は、他の選択肢と比較して100万ドルを超えています。

別の医療組織であるプレスビテリアンヘルスケアは、アレイSSL VPNを導入して、医師やその他のサポートスタッフが患者情報に安全にアクセスできるようにしました。以前のソリューションと比較して、処理できる同時ユーザー数が100%増加し、エンドユーザーの応答時間が50%向上したことがわかりました。さらに、組織はサーバー容量が400%増加し、Microsoft IIS Webサーバーがサーバーあたり約4,000ユーザーを処理し、以前の800から増加しました。また、組織は必要なバックエンドサーバーの数を50%削減しました。

同様に、1 億人を超える顧客にモバイル通信サービスを提供する世界最大の通信サービスプロバイダーの1つは、ベンダーのクライアントがIPsecベースのVPNアクセスソリューションを管理するのを支援するために、ヘルプデスク担当者に年間310万ドルを費やしていました。このソリューションは、2,000人を超える同時ユーザーには対応できませんでしたが、プロバイダーには既に5,000のベンダーのコミュニティがあり、成長を続けていました。アレイSSL VPNに切り替えることで、クライアント側のサポートやトレーニングが不要になったため、サポートコストを大幅に削減できました。また、アレイシステムは、拡張の余地が十分にある会社の5,000ベンダーを簡単にサポートできます。

アレイの仮想化機能は、統合SSL VPNよりも大幅なコスト削減にもつながります。グループごとに個別のSSL VPNボックスを購入して管理するのではなく、同じプラットフォームからすべての多様なユーザーグループ(従業員、パートナー、サプライヤー、顧客)をサポートすることによるコスト削減を検討してください。サービスプロバイダーにとって、単一プラットフォームで最大256の顧客をサポートすることに加えて、Array AGシリーズを導入すると、アプライアンスを顧客の構内に配置する必要がなくなり、初期費用と継続的な管理の両方で大幅なコスト削減が実現します。

その間、アレイシステムでは、パフォーマンスを向上させるためにセキュリティを回避する必要はありません。その目的に構築されたアーキテクチャは、ハードウェアに多くのCPU集約型のタスクを処理する能力を持つ、AGシリーズができますはるかに競合ソリューションを上回るパフォーマンスを提供します。また、統合されたWebファイアウォールテクノロジにより、これらの機能を処理するために追加のセキュリティ製品を購入する必要がなくなり、TCOがさらに削減されます。

どこでもセキュリティ:アクセス制御

TCOのもう1つの側面は、組織がユーザーアクセスポリシーを処理する方法に関係しています。このプロセスは、非効率性、冗長性、複雑さを伴いがちです。ほとんどの組織では、次のような同じユーザーに対して、ネットワーク内の多数のポイントでユーザーアクセスポリシーを定義する必要があります。

  • リモートアクセス用のSSL VPN機器
  • ワイヤレスアクセス用のWLANスイッチ
  • LANは有線アクセスのためのスイッチ
  • ファイアウォール
  • 電子メールやその他のアプリケーションなどのプロキシサーバー

この方法でポリシーを何度も定義すると、管理にコストがかかるだけでなく、すべてのポリシーが同期していることを確認することが難しくなり、意図せずにセキュリティホールが発生します。

アレイSSL VPNソリューションを使用すると、IT管理者はエンドユーザーのアクセスポリシーを1か所で定義できるため、複数のスイッチやアプライアンスにACLを設定して維持する必要がなくなります。

ユーザーがどこからでも企業ネットワークにログオンし、企業のセキュリティポリシーに従って構成されているかどうかに関係なく無数のデバイスを使用して、ネットワークアクセスがユビキタスになった今、アクセス制御は特に重要です。エンタープライズユーザー、ビジネスパートナー、またはゲストは、インターネットをサーフィンしたり、リモートで作業しているときに無意識のうちに感染し、感染したデバイスをネットワークに直接持ち込む可能性があります。

これらの種類の脅威はどの組織にも受け入れられませんが、特に企業のデータと顧客の個人情報を保護するために厳しい規制要件を満たさなければならない脅威です。

企業は、ユーザーのID、デバイス、およびネットワークのアクセス許可のすべての側面を結び付け、自分が制御していないグループに対してもポリシーを均一に適用できる集中型アクセスソリューションを必要としています。

アレイは、次のような多くのセキュリティ機能を提供します。

  • クライアントマシンを確保するためにチェックするクライアント側の整合性は、企業のセキュリティポリシーに準拠しています。アクセスの制限、問題のマシンをパッチサーバーに誘導すること、特定のアプリケーションまたは環境へのアクセスを制限することなど、複数の修復オプションを利用できます。
  • 役割ベースのセキュアなイントラネットやエクストラネットへのアクセス、およびURLを持つWebアプリケーションへのセキュアなアクセス、プロテクトWebアプリケーションへのマスキング
  • ファイルサーバーとクライアント/サーバー・アプリケーションへのセキュアなアクセス
  • 役割ベースの管理。さまざまなグループの管理を適切なIT スタッフに委任できます。
  • 組み込みのワンタイムパスワードのサポート、サードパーティの多要素認証サポート、Microsoft Active Directory、RADIUS、またはローカル認証データベースとの統合を含む、強力な認証
  • 統合ネットワークとアプリケーション層ファイアウォール

安全なアクセスを提供するという概念にとって、Array AGシリーズプラットフォーム自体も重要です。大規模環境で安全なアクセスを処理するには、大量の同時ユーザーとセッションをサポートでき、高スループットと低応答時間のプラットフォームのみが適しています。

シンクライアントアプリケーションのセキュリティ

Array AGシリーズは、Webアプリケーション、電子メール、ファイルサーバーなどへの安全なアクセスを提供するだけでなく、CitrixやWindowsターミナルサーバーなどのシンクライアントアプリケーションに重要なセキュリティレイヤーも提供します。

たとえば、アレイシステムをCitrixサーバーの前に配置すると、組織のネットワークへの露出が減少します。従来、リモートクライアントは、通常は企業ネットワークに常駐するCitrixサーバーに直接接続されています。つまり、Citrixサーバーにアクセスする侵入者は、同様に残りのネットワークにアクセスすることができます。

アレイのリバースプロキシアーキテクチャはその脅威を排除します。すべてのリモートセッションはアレイシステムで終了します。これにより、Citrixサーバーとの接続が再確立され、リモートユーザーが他のネットワークリソースにアクセスできなくなります。これにより、Citrixサーバーは、Array AG シリーズによって保護されたもう1つのアプリケーションになります。

また、アレイAGシリーズでは、管理者がユーザーのアクセス権を、URL、ディレクトリ、またはアプリケーションレベルまできめ細かく制御できます。Arrayは、監査機能も強化されており、ユーザーがログインしてからログアウトするまでのすべてのユーザーアクションをカバーします。

リアルタイムトランザクションのソリューション

多くの組織は、高速な応答時間に対するますます厳しい要件に直面しています。顧客向けのWebサイトからのより高いパフォーマンスを要求する顧客であろうと、ERP システムに強打している外部ユーザーであろうと、誰もが自分が求めているものを手に入れるのを待ちたくありません。

多くの場合、時間はまさにお金です。たとえば、金融サービスの分野では、膨大な金額がタイムリーなアクセスと取引に依存しているため、迅速な応答時間が不可欠です。株価は毎秒文字通り変化し、1分ごとに大きく変動する可能性があります。多くのトレーダーが伝統的なオフィスにいないという事実により、問題はさらに悪化します。むしろ、彼らはクライアントを訪問する道にいますが、それでも彼らは取引アプリケーションへの高速で安全なアクセスを必要としています。

このような場合は、SSL VPNソリューションが推奨されるオプションとなる可能性があります。これは、各クライアントマシンにIPsecソフトウェアをインストールして保守するよりもはるかに簡単であるためです。ただし、統合されたSSL VPNソリューションでは、特に大規模なユーザーベースの場合に、トレーディングアプリケーションが必要とする種類の応答時間(通常は5ミリ秒未満)を提供できない可能性があります。

常時接続のサイト間接続

SSL VPNはリモートアクセス用のIPsec VPNに取って代わっていますが、IPsecは依然としてサイト間VPN接続に広く使用されています。サイト間構成では、リモートアクセス構成よりも多くのユーザーが単一のVPNデバイスに同時に接続される可能性が高いため、システムのスケーラビリティを高くする必要があります。

アレイのAGシリーズはSite2Site、サポートのサポートサイト間VPNにSSL VPNトンネリングソリューションをハブアンドスポーク13万同時ユーザーと256の仮想ポータルをサポートする能力を持ち、アレイは、SSL VPNテクノロジーの進化におけるこの次のステップを実行するための適切な位置にあります。

リモートの従業員を保護するためのマイクロソフトのベストプラクティス

安全なリモート作業への移行

COVID-19が世界中に広まるにつれ、何万人もの人々が、何万人ものマイクロソフトの従業員を含め、遠隔地の仕事に移りました。クラウドへの移行により、すべてのユーザーのIDとネットワークアクセスを管理する方法が変わりました。ネットワークへのアクセスに使用されるデバイスが安全で健全であることを保証するのに役立ちました。そして、重要な生産性アプリにアクセスするためのより良いエンドユーザー体験を作り出しました。社内のITチームであるCore Services Engineering and Operations(CSEO)が主導するこの変革は、Microsoft製品が顧客、データ、およびアプリケーションを保護し続けながら、膨大な従業員のリモート作業を迅速に可能にするのに役立ちました。

続きを読む

2020年のエンドポイント保護プラットフォームに関する購入者のガイド

エンドポイント保護がITセキュリティ技術スタックで最も重要なコンポーネントであることは秘密ではありません。

結局のところ、IDC Researchのデータによると、企業のデータ侵害の大部分は、70%以上がエンドポイントデバイスの侵害から始まります。また、ビジネスIT環境がますます複雑になり、エンドポイントの数と新しいデバイスタイプが増加するにつれて、これらのデバイスの1つが攻撃者のエントリポイントになるリスクが急増しています。

ただし、組織のエンドポイントを保護するための適切なソリューションを選択することは簡単な作業ではありません。けれども大多数の企業は、すでにエンドポイントのいくつかの種類実装した保護を、データ侵害が発生される速度は、これらのイベントは、彼らの犠牲者の原価計算されているどのくらいとともに、上昇し続けています。

Ponemon 研究所はデータの平均総費用を報告し、米国での違反は今$ 3.9百万突破します。しかし、全体的なIT支出は常に高額であり、何百ものエンドポイントセキュリティツールが利用可能であるという事実にもかかわらず、実際のリスクエクスポージャーは増加しています。

この厄介な傾向を逆転させるために必要なのは考え方の転換です。最も成功しているITセキュリティリーダーは、ゼロトラストパラダイムに従ってアーキテクチャを採用および設計したリーダーです。ゼロトラストモデルでは、安全であることが証明されていない限り、何も信頼すべきではないため、ネットワークを備えた内部の「信頼できる」ゾーンは廃止されました。代わりに、継続的な検証と監視、および遍在するセキュリティ制御が実装されます。

ゼロトラストの中心的な前提、つまり検証なしにデータやネットワークトラフィックが「安全」であると見なされないことを念頭に置き、組織がセキュリティインフラストラクチャを構築する際に取り組む必要のある主要な傾向と新たな課題を考慮して、最も重要なものを特定できます。エンドポイント保護プラットフォームがプラスの投資収益率(ROI)を実現し、今日の攻撃に対する回復力を高めるために必要な要素。

適切な高度なエンドポイント保護プラットフォームを選択する

企業がエンドポイント保護プラットフォームに投資するときに期待した価値を実現していない主な理由は、攻撃者が常に技術と戦略を進化させており、従来のエンドポイントセキュリティソリューションのベンダーが追いついていないためです。

昨日のレガシー環境ではなく、今日のクラウドベースの分散された多様なITアーキテクチャ用に設計された高度なエンドポイント保護プラットフォームを選択することが非常に重要です。また、エンドポイント保護が、現在広く使用されている攻撃戦略に対抗する強力な防御を提供することと、将来のあらゆる可能性に対する予防策を提供することが重要です。

2020年のサイバーセキュリティの主なトレンドと、それがエンドポイント保護プラットフォームの必須機能にどのように変換されるかを見てみましょう。

現在の脅威の景観における真に包括的で強固な防御のために、高度なエンドポイントソリューションは次の条件を満たす必要があります。

  1. ゼロトラスト環境での使用を目的として設計され、不明なファイルとランタイム実行可能ファイルを100%含む手段を提供します。
  2. マルウェア、悪意のあるスクリプト、およびファイルレス攻撃を検出する複数の方法を統合します。
  3. 複数のデバイスタイプとプラットフォームにわたって可視性と制御をシームレスに拡張します。
  4. クラウドネイティブアーキテクチャで展開と監視を簡素化します。
  5. エキスパートヒューマンアナリストの機能と高度なアルゴリズムベースの分析を組み合わせて、悪意のあるアクティビティをすばやく検出する能力を最大化します。

1.ビルトインゼロトラスト機能

本物のゼロトラストベースのアプローチは、未知のファイルが常に実行されるのを防ぐものです。これには、PowerShellスクリプトやその他のファイルレス攻撃、および従来の悪意のあるソフトウェアファイルが含まれます。ソリューションが未知のファイルの動作をテストするために実行することを許可し、それらのファイルが潜在的に悪意のあるものであるかどうかを判断すると、環境はその決定- 作成プロセスが動作するたびに危険にさらされます。

仮想化されたサンドボックス環境ですぐにすべての不明なファイルを含むソリューションを探し、包括的な判定プロセスを通じてそれらが安全と見なされた後にのみ、ホストシステムリソースおよびファイルストアへのアクセスを許可します。理想的には、判定は迅速である必要があり、パフォーマンス(およびそれにより、エンドユーザーエクスペリエンス)は封じ込めプロセスの影響を受けません。

攻撃者は、人工知能(AI)、機械学習(ML)、および予測数学をさらに活用しており、防御はそれらに沿って進化しなければならない

自動化はビジネスに多くの利点をもたらすことができますが、それはだ、新しいを生じさせる攻撃の種類。自動化により、クレデンシャルのスタッフィングなど、手動で大規模に達成するのが難しい攻撃を簡単に開始できます。高度なマルウェアがシステムの典型的な動作について「学習」できるようにすることで、企業ネットワーク内で何ヶ月も何年も検出されずにとどまることができます。また、ソフトウェアの脆弱性を探すために、膨大なデータを調べて、精力的なマシンを動作させることができます。

セキュリティの専門家は現在、自動化ベースの攻撃の量の劇的な増加を見ており、数学は彼らの成功を支持しています。であるためには成功し、擁護者から自社のネットワークを防ぐために、攻撃の100%を停止する必要があり突破されています。攻撃者は、すべての万の試みに一度だけ成功した場合、彼らはよまだあなたの環境を損なうことに終わります。

自動化された攻撃の増加により、ビジネスの規模や業種に関係なく、すべてのIT環境にゼロトラストの原則を実装することがこれまでになく緊急になっています。レガシーアンチウイルスソリューションと新しい動作ベースのマルウェア検出プラットフォームの両方のベンダーは、自社製品が最大99%〜99.9%の攻撃を検出してブロックできることを誇っています。ときにあなたがしている攻撃の莫大な量直面オートメーション容易にすることが、しかし、これらの検出率が著しく不十分です。

2.マルウェアおよびファイルレス攻撃を検出する複数の方法

ファイルの署名ベースのブラックリストは、特に最初の防御層として、依然として効果的です。迅速であるため、既知のマルウェアを迅速にブロックする方法を提供します。ただし、重要な保護価値を提供するには、ブラックリストを他の複数のファイル判定方法と組み合わせて使用する必要があります。これには動作分析が含まれます。この動作では、ファイルの特性と実行時の動作が、システムやネットワークに脅威を与えない決定的な環境で分析されます。追加の調査を必要とするごく一部のファイルを調査できる専門のヒューマンセキュリティアナリストがいる場合にのみ、完全に正確な決定を下すことができます。

感染したエンドポイントにファイルをインストールしないスクリプトまたはメモリ常駐のアーティファクトを通じて多数の成功したランサムウェア攻撃が実行されるため、従来のマルウェアファイルと同じくらい効果的にこれらのタイプの脅威をブロックするようにソリューションを設計する必要があります。

RANSOMWAREはまだ発展途上であり、犯罪者はそのターゲットを選択するようになるとますます洗練されてきている

ランサムウェア攻撃は、グローバルビジネスのコストが2019年に115億ドルを超えると推定されており、専門家によると、ビジネスは2019年の終わりに14秒ごとに攻撃されたとされています。攻撃は2020年末までに11秒に1回発生すると予測されています。 FBIは、ランサムウェア攻撃の実際の量は実際には安定しており、その成功率はかつてないほど高く、犯罪者によって強要されている金額と主張しています。

これらの攻撃は、ドライブバイダウンロード、悪意のある電子メールの添付ファイル、または感染したリンクをクリックしたユーザーから届きます。一部のランサムウェア株は既知のソフトウェアの脆弱性をターゲットにしていますが、他のランサムウェア株は、従来のシグネチャベースのマルウェア対策プログラムでは検出されないゼロデイエクスプロイトです。

3.複数のデバイスタイプとプラットフォームにわたる可視性と制御

エンタープライズコンピューティング環境が進化して、ますます多様なデバイスが組み込まれるようになったら、WindowsおよびOS Xだけでなく、iOS、Android、Windows Server、およびLinuxデバイスもサポートするエンドポイント保護プラットフォームを探してください。ソリューションがすべてのタイプのデバイス上の重要なオペレーティングシステムアクティビティを監視し、干渉をブロックできることを確認してください。また、複雑なネットワーク環境全体で、単一の使いやすいダッシュボードインターフェイスからアプリケーションアクティビティとシステムプロセスを監視できることを確認します。

エンタープライズネットワークは複雑さと多様性が増しており、より多くのデバイスタイプを組み込み、より多くのサイトでより多くの処理を実行している

新しい10年の初めにエンタープライズコンピューティング環境を再形成する可能性が最も高い2つの開発は、5Gモバイルデータネットワークの登場とエッジコンピューティングの使用の増加です。5Gセルラーネットワークが最初に利用可能になったのは2019年ですが、接続は依然として高価で、主要な大都市圏に限定されています。2020年には、国全体で劇的なカバレッジの増加が見込まれるため、これは変化します。5Gデータネットワークにより、「独自のデバイスをもたらす」(BYOD)サポートと、企業のIT環境に接続するますます多くのタブレットやモバイルデバイスの需要が急増します。

同時に、エンタープライズネットワークは、「スマート」センサーや、収集したデータをビジネスインテリジェンスに変換するのに十分な処理能力を備えたオンサイトコンピューティングデバイスなど、接続するデバイスの数を増やすという課題に直面します。まとめると、これらの傾向は、IT部門がセキュリティで保護する必要があるエンドポイントの数が天文学的に成長する準備ができていることを意味します。接続されたデバイスの数が増えると、効果的な集中管理を提供するという課題が飛躍的に複雑になります。

4.クラウドネイティブアーキテクチャ

簡単に言うと、レガシーエンドポイント保護ツールは、今日のクラウド対応のデジタルビジネス環境向けに設計されていません。プラットフォームが自動的かつ継続的に更新するクラウドネイティブアーキテクチャは、展開を簡素化し、組織全体のすべてのユーザーが最新の脅威インテリジェンスから同時に利益を得ることができるようにします。今日の最も高度なソリューションでは、クラウドベースのファイル判定プラットフォームへのアクセスにより、専門の人間のサイバーセキュリティ研究者が24時間365日体制で、この種の調査に必要なファイルを調査します。

あらゆる規模のビジネスがクラウドへの移行を加速していますが、セキュリティインフラストラクチャが常にペースを維持しているわけではない

大多数の企業にとって、クラウドへの移行は飛躍的なスピードで進んでいます。クラウドインフラストラクチャとサービスの市場は、他のI​​T部門の3倍の速度で成長しており、予測者はこのパターンが続くと予測しています。それでも、クラウド移行プロジェクトは、悪名高い複雑であり、それはだていないセキュリティの課題は、バリケードが進行することになるのは珍しいです。

比較的少数の組織が、単一のパブリッククラウドプロバイダーに直接飛躍します。ほとんどの場合、ハイブリッド環境またはマルチクラウド環境を構築することが最も理にかなっていますが、この「両方の長所」のアプローチは、制御と可視性の維持を非常に困難にする可能性があります。

5.エキスパートヒューマンアナリストへのアクセス

人間のインテリジェンスとマシンの効率を組み込んだエンドポイント保護ソリューションを探してください。最も単純なタスク(ファイルルックアップ、行動ウイルス分析、静的および動的ファイル調査)を処理するための自動化されたアクションの開始と、より複雑な状況での専門家の呼び出しを組み合わせることにより、ソリューションは、検出手順の速度と完全性のバランスをとることができます。

攻撃者の滞留時間はこれまでよりも長く、その結果、データ侵害はコストが高くなる

Ponemon Instituteによると、データ漏えいが発生してから発見されるまでの時間は、2019年に前例のない279日間と4.9%増加しました。これまでのように、侵害をより早く特定して封じ込めることができます。それに関連するコストが低くなります。しかし、今日のIT 環境で使用されている自動化ツールは、専門家による人間の監視で機能が強化されていない場合、識別と封じ込めの機能が不十分です。

見込みのあるベンダーに質問する

  1. このソリューションは、環境内のすべてのデバイスで実行されますか?
  2. 導入にはどのくらい時間がかかりますか?
  3. このプラットフォームで作業するために、チームのメンバーは何を知る必要があるのですか?
  4. どのような種類の予防的管理が実施されていますか?
  5. ベンダーはどこから脅威インテリジェンスを入手しますか?
  6. このソリューションはインシデント対応ワークフローとどのように統合されますか?24時間365日の専門サポートはベンダーから利用できますか?
  7. このソリューションを同じベンダーの他のセキュリティサービス、製品、またはプラットフォームと統合して、コストと複雑さを軽減できますか?

結論

エンドポイントのセキュリティは、今日よりも複雑になり、困難になりました。市場に出ているベンダーとソリューションの数を考えると、真に効果的なものを見つけるためにすべての競合する主張を整理することは非常に難しい場合があります。

現在利用可能な他のソリューションとは異なり、Advanced Endpoint Protection(AEP)プラットフォームは、特許出願中の自動封じ込め技術を使用しており、未知のファイルとランタイムを、ホストシステムリソースまたはユーザーデータへのアクセス権が与えられていない仮想化されたサンドボックス環境に限定します。非常に軽量で、パフォーマンスやエンドユーザーエクスペリエンスに影響を与えることなく動作します。AEPはゼロトラストアーキテクチャで使用するために設計されました。

Proofpoint、Crowdstrike、Netskope、Oktaでリモートワーカーを保護

リモート作業はかつてないほどITチームに挑戦しています。現在、従業員の3分の2 はオフィスの外で働いています。1彼らは会社のアプリやデータに、いつでもどこでも、どのデバイスからでもアクセスする必要があります。そして、そうする間、彼らは安全で準拠し続けなければなりません。

続きを読む