SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

リモートワークの急増でVPNが危機に―― パルスセキュアジャパンが提供するゼロトラスト向けサービス

 2020年8月6日、パルスセキュアジャパンはゼロトラストの考え方に基づくクラウドベースのセキュアアクセスサービス「Pulse Zero Trust Access」を国内で提供開始した。既存VPNからの移行も可能とし、境界型セキュリティからゼロトラスト実現への足がかりとなりそうだ。

自宅待機要請でVPNが圧迫 クラウドベースのセキュアアクセスへ

<p>パルスセキュアジャパン 社長 脇本亜紀氏</p>

(左より)パルスセキュアジャパン 社長 脇本亜紀氏/
パルスセキュアジャパン リージョナルテクニカルマネージャー 山田晃嗣氏

 パルスセキュアは2014年にネットワーク機器のジュニパーネットワークスからスピンアウト、2015年に日本法人を設立した。当初からモバイルアクセスやVPNアプライアンスなどに注力しており、現在ではグローバルで顧客企業は2万4,000社、保護しているエンドポイントは2,500万にものぼる。

 コロナ禍でこれまでのハードウェアベースのVPNを使う境界型セキュリティモデルが破綻しかけている。もともとVPNは外部から企業ネットワークにアクセスするための特別な入口だ。企業ネットワークを城にたとえたら、VPNは城に入るための通用門。これまでほとんどの社員がオフィス内にいるのが前提だったため、VPNの利用は限られていた。

 ところが自宅待機要請で社外からのアクセスが増え、多くの企業でVPNの利用が想定を超える事態となった。城のたとえなら通用門の前に大勢の社員が列を成し、城内になかなか入れないような状態だ。これでは仕事ができる状態にたどり着けない。また最近では企業でSaaS利用やマルチクラウド化も進んでおり、さらにBYODで使用するデバイスの多様化もあり、事態を複雑化させている。

 そこで緊急事態下では事業を継続させるためにVPNを増強するほか、ローカルブレイクアウト(インターネットブレイクアウト)、つまりSaaSへのアクセスはVPNを経由しない、社外のIaaSにはVPNとは別の経路にするなどの措置が行われた。なんとかリモートワークができるようになったとしても、急場しのぎの措置にはデータ保護上の危うさも残る。

 パルスセキュアが新たに提供開始するセキュアアクセスサービス「Pulse Zero Trust Acess(以下、PZTA)」はクラウドベースなので、アプライアンスなどのハードウェアを必要とせず拡張できる。ゼロトラストの実装については、クラウドセキュリティアライアンスのドキュメントやガートナーのユースケースに準拠しているのも特徴だ。またガートナーが提唱しているCARTA(Continuous Adaptive Risk and Trust Assessment:継続的でアダプティブなリスクとトラストのアセスメント)も実現している。

ゼロトラストを実装するのに必要な5つの要素

 ゼロトラストとはデータ保護のための基本的な戦略で、誰に対しても認証や認可の確認を必要とする。これまでのようにネットワークにログインできたら、後は信頼してフリーパスとするのではダメということだ。基本的な戦略なので具体的な戦術(実装)はまちまちだったが、近年ではNIST(アメリカ国立標準技術研究所)やクラウドセキュリティアライアンスなどから具体的な指針がそろってきている。

 パルスセキュアジャパン リージョナルテクニカルマネージャー 山田晃嗣氏は「PZTAはゼロトラストに必要な5つの要素に全て対応しています」と胸を張る。5つの要素を見ていこう。

1. 高度なユーザー認証とSSO

 PZTAではAzure ADやOktaのようなIDaaS、オンプレのADやLDAPと連携できて、各種の多要素認証にも対応している。加えて利便性を高めるためにアプリケーションポータルを提供しており、各種アプリケーションへのSSOが実現できている。アプリケーションポータル画面では、ユーザーのふるまいや端末のアンチウィルスの更新状況などユーザーの信頼性に応じて表示が変化する。

2. 端末のコンプライアンス評価

 ユーザー認証だけではなく、端末のコンプライアンスも評価する。アンチウィルスがインストールされているか、定義ファイルが更新されているか、会社支給端末かBYODか、これらに応じてアクセス権限を分ける設定も可能だ。この端末チェック機能は同社のVPN製品で提供していたものを踏襲している。

3. コンテキスト(場所や時間などのふるまい)の確認

 ユーザーがログインしている場所、時間、端末など、普段と異なる要素をスコア化し、可視化する。例えばユーザーが出張で普段と異なる場所からログインしたり、端末が故障して普段と異なる端末を使うのはいいとしても、東京在住のユーザーが東京でログインした直後に、インドから別の端末からログインするのは不自然だ。こうした不審な要素をスコア化し、管理端末からは視覚的に確認することができる。

4. 継続的な監視と動的なアクセス制限

 ログイン時に不審な点がなかったとしても、継続的にユーザーの信頼性を監視することも大事だ。ガートナーが提唱しているCARTAにも通じている。例えば業務途中にユーザー端末のアンチウィルスが無効になる、普段とは異なるデータベースにアクセスするなど、ユーザーの信頼性が保たれているか監視するということ。もし致命的な変化があれば、接続を拒否するなど動的にアクセスを制御する。

リスクのあるユーザーのふるまいを可視化する
リスクのあるユーザーのふるまいを可視化する

5. 最小限度のアクセスとダーククラウド

 認証で正規ユーザーと確認できても、必要最小限のリソースのみアクセスできるようにしておくことが重要だ。もし侵害があったとしても、被害を最小限に抑えることができるためだ。

 またユーザーは利用しているアプリがオンプレかクラウドにあるかを意識する必要はなく、また社内と社外(VPN経由)であることを意識する必要もない。ユーザーに環境を意識させずにセキュアなアクセスを提供できる。

次のページ
現状のVPNの課題を解決しつつ、PZTAへの移行も可能

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13332 2020/08/21 10:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング