SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2021レポート(AD)

DX推進と表裏一体のセキュリティ対策 ゼロトラストやSASEを見据えたNetskopeの解決策

Netskopeのゼロトラストデータ保護は、ユーザーとアプリとDLPで守る

 Netskopeは「データとネットワークに最高のセキュリティを」をビジョンに掲げ、設立以来、数々の先進的なソリューションを展開している。

 具体的にはCASBに始まり、DLP、次世代SWG、NewEdge、NPA(Netskope Private Access)と続き、2021年にはRBI(Remote Browser Isolation:Web分離)、SSPM(SaaS Security Posture Management:SaaS設定不備を検出)、CFW(Cloud Firewall)と進み、今はSASEへと向かっている。

クリックすると拡大

 今回は情報漏えいにフォーカスし、クラウドやWebへの通信を制御するZTDP(Zero Trust Data Protection)を見ていこう。主な流れとしてはアイデンティティとアプリケーションの制御でリスクを減らし、その上で日本語対応のDLP(Data Loss Prevention)を適用することでデータを保護していく。

 アイデンティティは主にユーザーを対象にした制御で、「このユーザーは誰か? どこまで許されるか?」という認証や権限はもちろん、UEBA(User and Entity Behavior Analytics)も含む。

 アプリケーションはユーザーがアクセスするクラウドアプリケーションを対象としており、「このアプリケーション(サービス)は企業が認めたものか? 安全性は? どんな操作をしているか?」などインスタンスの区別、リスク可視化、アクティビティ制御などがある。DLPはデータの中身を見て個人情報や機密情報が含まれていないかを確認し、ポリシーに沿って制御していく。

 なおゼロトラストにおける基本的な考え方は「トラフィックを継続的に監視し、(アクセスなどを)制御する」ことにある。そのため重要な要素としてはアクセス制御、ユーザーのアクティビティ制御、さらにコンテキストの理解がある。

クリックすると拡大

 これまでコンテキストを調べた後は「許可」または「ブロック」の二択だった。しかしこれでは極端であり、生産性が損なわれてしまう懸念もある。そのためこれからは、よりきめ細やかな制御ができると好ましい。例えばブロックしないまでも、ユーザーに対して通知やコーチングを行う、管理者に通知する、ステップアップ認証を行うなどだ。

 UEBAも不審な行動を検知するため、ZTDPでは重要な要素となる。これは操作そのものは禁止されていないものの、ユーザーのふるまいを分析して不審な行動を検知する。たとえば短時間に連続してファイルのダウンロードやアップロードが大量に実施される、ログインの失敗が多い、個人用のストレージサービスにデータを移動するなど、日常的な業務では起こりにくい行動を検知していく。次世代SWGからさらに踏み込んだものとなる。

 不審であるかどうかはスコアリングで評価していく。最初に持ち点があり、不審な行動があるたびに減点していく。信頼度が下がるというわけだ。スコアが下がるほど、制限が厳しくなる。例えば最初は制限なしでも、ある段階まで下がると警告メッセージが表示され、次は利用可能なクラウドサービスが限定され、クラウドサービスを利用可能な時間帯が限定され……と制限が強化されていく。

 NetskopeのSWGはCASBのような可視化とリアルタイム制御が加わり、次世代SWGへと進化している。明らかに不審なサイトやC&Cサーバーなどをブロックするだけではなく、CASBのようにWebサイトごとに可能な操作を制御し、不審なサイトかどうか微妙ならRBIで攻撃を無害化することも可能だ。

次のページ
通信制御(ZTNA)と設定チェックで確実にデータを保護

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2021レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15030 2021/10/22 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング