** 本記事は、ZTNA strengthens security controls for remote workers の翻訳です。最新の情報は英語記事をご覧ください。**
リモートアクセスは、ダイヤルアップ接続の時代から、ネットワークの構成要素の 1 つでした。このようなモデムの通信速度は 56 Kbps と非常に遅く、やがてより高速で安全な技術と 2000 年代初頭登場の仮想プライベートネットワーク (VPN) にとって代わられました。パンデミックにより、在宅勤務をする人が増えるにつれ、セキュリティの脆弱性、速度制限、拡張性の欠如などの点において、VPN は限界に近づいてきました。安全で高性能なリモートアクセスのために VPN に代わるものとして、ゼロトラストネットワークアクセス (ZTNA) があります。
「信ぜよ、されど確認せよ」というロシアのことわざがありますが、ZTNA は、この原則を極端にしたようなもので、ネットワークとリソース、アプリケーション、データにアクセスするためのトランザクションのすべてのコンポーネントを認証し、検証を要求します。ゼロトラスト環境は、すべてのユーザー、デバイス、アプリケーション、トランザクションを常に認証することでリスクを大幅に削減できます。決して信用せず、常に検証するのです。
ゼロトラストの概略
ZTNA は、SASE (Secure Access Service Edge) セキュリティフレームワークの基本コンポーネントです。ZTNA は、正規のユーザーとデバイスであることを確認することで、ランサムウェア攻撃からネットワークを保護します。本記事では、一般的な VPN を使用する場合よりもリモートアクセスを強化する方法を中心に紹介していますが、ランサムウェア対策に Sophos ZTNA を使用する方法の詳細については、こちらを参照してください。
ある調査会社の記事「New to Zero Trust Security? Start here」内で、ガートナー社のディスティングイッシュド VP アナリストである Neil MacDonald 氏は「ゼロトラストは考え方であって、特定の技術やアーキテクチャではありません。信頼をあらゆる場所から取り除くための、思考法なのです」と述べています。
リモートアクセスを向上するための選択肢
パンデミックによって、攻撃者が在宅勤務者を標的にするようになりました。その現状を受けて、組織はゼロトラスト戦略の実施方法を見直す必要に迫られました。より多くの人が在宅勤務をするようになるにつれ、サイバーセキュリティに対する組織の要求も変化しています。かつては在宅勤務をする従業員の数はほんのわずかでしたが、今では組織全体がバーチャルな存在になりつつあります。
在宅勤務への移行は、企業ネットワークとエンドポイントのリスクプロファイルを変化させます。多くの人がさまざまな場所で仕事をするようになると、不足がちなネットワークセキュリティリソースにさらに負荷を加えることになり、攻撃対象領域が拡大する恐れがあります。このような流動的なネットワークセキュリティの課題に対処するため、2000 年代初めから従来型のオンプレミス環境と標準的な境界型セキュリティを展開してきた多くの組織は、攻撃対象領域を軽減しながら、ログインするすべてのユーザーとデバイスを完全に認証するゼロトラストモデルに転換しつつあります。そのような組織は、VPN を廃止し、代わりに ZTNA を導入しています。
VPN と ZTNA のアプローチは、セキュリティ、拡張性、帯域幅の対応に違いがあります。VPN は基本的なネットワークアクセスを提供します。ユーザーが適切な認証情報 (多くの場合、ユーザー名とパスワードのみ) を持っていれば、オフィス内のファイアウォール内にあるネットワークに接続しているワークステーションで作業しているときと同じように、組織のネットワーク全体と接続されているすべてのデバイスにアクセスすることが可能です。
ZTNA は、VPN 認証の信頼性を利用しながら、ラテラルムーブメントを排除することで、潜在的な攻撃者に対する強固な防御を提供します。さらに、 VPN は速度が遅いという傾向があります。設計段階で、多くのユーザーがネットワークファイアウォールや他のネットワークセキュリティインフラの強力な防御から離れた環境で運用する状況を想定していないためです。ZTNA は、優れたセキュリティと脅威からの保護、拡張性の高い管理エクスペリエンス、エンドユーザーにとって透明性が高くスムーズな操作性を提供することで、リモートアクセス環境における優れた代替手段となります。
従業員が組織のネットワークから離れ、自宅で仕事をするようになると、何百万という脆弱なエンドポイントが新たに発生し、多くの場合それらのエンドポイントは組織の IT スタッフによって管理されなくなります。これらのエンドポイントには、組織と同程度のセキュリティ機能が適用されていない場合が多いため、攻撃者にとって絶好のターゲットとなります。
さらに、多数の外部ユーザーが新たに加わると、ただでさえ負担の大きい組織の VPN にさらに大きな負担をかけます。VPN では帯域幅のパラメータがあらかじめ規定されているのに対し、ZTNA は柔軟に拡張できるので、在宅で勤務する従業員が増えて、ネットワークへの負担が大きくなっても対応できます。
ZTNA 接続においては、ユーザーは組織ネットワーク上の特定のアプリケーションにのみアクセスすることができます。アプリケーション、ユーザー、デバイスはマイクロセグメンテーション化され、攻撃者やマルウェアの常套手段であるネットワーク内のユーザーの移動を制限します。デバイスヘルスを一元的に監視することで、デバイスが侵害された場合でも、重要なビジネスリソースにアクセスするのを自動的に制限します。Sophos ZTNA は、ソフォスのエコシステム全体、特に Sophos Intercept X エンドポイントとの統合により、独自の利点を最大限に活用します。
Sophos ZTNA の特長
Sophos ZTNA は、より安全で管理しやすいリモートアクセス手法であり、エンドユーザーに透明性とシームレスなユーザーエクスペリエンスを提供します。ゼロトラストモデルに移行することで、リスクを大幅に低減するとともに、システムにマルウェアを仕掛ける攻撃者や、ユーザーを危険な Web サイトに誘導する攻撃者からネットワークを保護できます。Sophos ZTNA の主な機能は以下のとおりです。
- VPN クライアントの必要性を排除し、攻撃対象領域を縮小して、攻撃者のネットワーク侵入を困難にします。
- 攻撃者は、一般的に VPN クライアントの弱点 (脆弱性や設定ミス) を突いて被害者のネットワークに侵入しますが、ZTNA は VPN を排除することでその手段を阻止します。
- ZTNA は、ユーザーとデバイスのセキュリティを常にチェックし、継続的に高いレベルの制御を実現します。また、攻撃者が認証済みユーザーのアクセス権限を悪用することを防ぎます。
- 詳細にアクセス制御を設定して簡単に適用できるため、必要なユーザーだけがリソースにアクセスするように制限できます。そうすることで、攻撃対象領域をさらに縮小できます。
- 他のソフォス製品の管理に使用している Sophos Central コンソールから管理でき、ソフォスのエンドポイントプロテクションと同じエージェントを使用するため、デバイスのオーバーヘッドが削減されます。
- ランサムウェアの被害を受けた場合、その修復にかかる平均コストは 1 社で現在 185 万ドルとされています。 中小規模の組織にとっては、ZTNA を用いた安全なリモートアクセスは費用対効果の高い投資であり、投資に対するリターンも明確です。
Sophos ZTNA は、Web ベースのアプリケーションに対して透明度の高いクライアントレスアクセスを実現します。ZTNA クライアントが保護するアプリケーションには、Remote Desktop Protocol (RDP)、Secure Shell Protocol (SSH)、仮想ネットワークコンピューティング (VNC)、リモートコントロールアプリケーション、その他の TCP/UDP を多用するアプリケーションなどがあります。実際に、RDP は、マルウェアが感染したネットワークへのアクセスを攻撃者に許可するためによく使われる、問題のあるアプリケーションの一つです。そのため、多くのサイバー保険会社は、サイバー保険に加入する条件として、組織ネットワークから RDP アクセスを完全に削除することを推奨しています。
詳細情報
詳細やSophos ZTNA については、こちらのリンクをご覧ください。リンク先では、クラウド配信、クラウド管理の仕組みや、Sophos ZTNA が Sophos Intercept X と緊密に統合された唯一のゼロトラストネットワークアクセスソリューションであることについても詳しく説明しています。