自宅待機要請でVPNが圧迫 クラウドベースのセキュアアクセスへ
(左より)パルスセキュアジャパン 社長 脇本亜紀氏/
パルスセキュアジャパン リージョナルテクニカルマネージャー 山田晃嗣氏
パルスセキュアは2014年にネットワーク機器のジュニパーネットワークスからスピンアウト、2015年に日本法人を設立した。当初からモバイルアクセスやVPNアプライアンスなどに注力しており、現在ではグローバルで顧客企業は2万4,000社、保護しているエンドポイントは2,500万にものぼる。
コロナ禍でこれまでのハードウェアベースのVPNを使う境界型セキュリティモデルが破綻しかけている。もともとVPNは外部から企業ネットワークにアクセスするための特別な入口だ。企業ネットワークを城にたとえたら、VPNは城に入るための通用門。これまでほとんどの社員がオフィス内にいるのが前提だったため、VPNの利用は限られていた。
ところが自宅待機要請で社外からのアクセスが増え、多くの企業でVPNの利用が想定を超える事態となった。城のたとえなら通用門の前に大勢の社員が列を成し、城内になかなか入れないような状態だ。これでは仕事ができる状態にたどり着けない。また最近では企業でSaaS利用やマルチクラウド化も進んでおり、さらにBYODで使用するデバイスの多様化もあり、事態を複雑化させている。
そこで緊急事態下では事業を継続させるためにVPNを増強するほか、ローカルブレイクアウト(インターネットブレイクアウト)、つまりSaaSへのアクセスはVPNを経由しない、社外のIaaSにはVPNとは別の経路にするなどの措置が行われた。なんとかリモートワークができるようになったとしても、急場しのぎの措置にはデータ保護上の危うさも残る。
パルスセキュアが新たに提供開始するセキュアアクセスサービス「Pulse Zero Trust Acess(以下、PZTA)」はクラウドベースなので、アプライアンスなどのハードウェアを必要とせず拡張できる。ゼロトラストの実装については、クラウドセキュリティアライアンスのドキュメントやガートナーのユースケースに準拠しているのも特徴だ。またガートナーが提唱しているCARTA(Continuous Adaptive Risk and Trust Assessment:継続的でアダプティブなリスクとトラストのアセスメント)も実現している。
ゼロトラストを実装するのに必要な5つの要素
ゼロトラストとはデータ保護のための基本的な戦略で、誰に対しても認証や認可の確認を必要とする。これまでのようにネットワークにログインできたら、後は信頼してフリーパスとするのではダメということだ。基本的な戦略なので具体的な戦術(実装)はまちまちだったが、近年ではNIST(アメリカ国立標準技術研究所)やクラウドセキュリティアライアンスなどから具体的な指針がそろってきている。
パルスセキュアジャパン リージョナルテクニカルマネージャー 山田晃嗣氏は「PZTAはゼロトラストに必要な5つの要素に全て対応しています」と胸を張る。5つの要素を見ていこう。
1. 高度なユーザー認証とSSO
PZTAではAzure ADやOktaのようなIDaaS、オンプレのADやLDAPと連携できて、各種の多要素認証にも対応している。加えて利便性を高めるためにアプリケーションポータルを提供しており、各種アプリケーションへのSSOが実現できている。アプリケーションポータル画面では、ユーザーのふるまいや端末のアンチウィルスの更新状況などユーザーの信頼性に応じて表示が変化する。
2. 端末のコンプライアンス評価
ユーザー認証だけではなく、端末のコンプライアンスも評価する。アンチウィルスがインストールされているか、定義ファイルが更新されているか、会社支給端末かBYODか、これらに応じてアクセス権限を分ける設定も可能だ。この端末チェック機能は同社のVPN製品で提供していたものを踏襲している。
3. コンテキスト(場所や時間などのふるまい)の確認
ユーザーがログインしている場所、時間、端末など、普段と異なる要素をスコア化し、可視化する。例えばユーザーが出張で普段と異なる場所からログインしたり、端末が故障して普段と異なる端末を使うのはいいとしても、東京在住のユーザーが東京でログインした直後に、インドから別の端末からログインするのは不自然だ。こうした不審な要素をスコア化し、管理端末からは視覚的に確認することができる。
4. 継続的な監視と動的なアクセス制限
ログイン時に不審な点がなかったとしても、継続的にユーザーの信頼性を監視することも大事だ。ガートナーが提唱しているCARTAにも通じている。例えば業務途中にユーザー端末のアンチウィルスが無効になる、普段とは異なるデータベースにアクセスするなど、ユーザーの信頼性が保たれているか監視するということ。もし致命的な変化があれば、接続を拒否するなど動的にアクセスを制御する。
5. 最小限度のアクセスとダーククラウド
認証で正規ユーザーと確認できても、必要最小限のリソースのみアクセスできるようにしておくことが重要だ。もし侵害があったとしても、被害を最小限に抑えることができるためだ。
またユーザーは利用しているアプリがオンプレかクラウドにあるかを意識する必要はなく、また社内と社外(VPN経由)であることを意識する必要もない。ユーザーに環境を意識させずにセキュアなアクセスを提供できる。
