SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 春の陣レポート(AD)

ゼロトラスト、SWG、CASB……複雑なセキュリティをシンプルにする、パロアルトのソリューション

増え続けるセキュリティ要素をシンプルにまとめましょう

ZTNA 1.0との大きな違い

 Prisma SASEの主要コンポーネントを順に見ていこう。まずはセキュリティを担う「Prisma Access」からだ。ZTNA 2.0、Firewall、IDS/IPS、URL、Sandbox、Anti Virus、Anti Spy、DLP、DNS、IoTなど日本市場でおおむね必要とされているセキュリティ機能を内包している。

 特に着目すべきはZTNA 2.0であることだ。ZTNA 1.0との大きな違いを挙げるならば、最小権限付与、継続的アセスメント、継続的セキュリティ検査、全データ保護、全App保護がある。

画像クリックで拡大
画像クリックで拡大

 裏を返して、今度はZTNA 1.0の問題点を挙げていこう。まず「リクエスト認可後の放置問題」だ。ZTNA 1.0ではアクセスリクエストを認可すると、その後は常時信頼して通信が行われるようになっている。これはユーザーもアプリも挙動が変化しないことが前提となる。

 和田氏は「セキュリティインシデントは、アクセスが許可された状態で発生することが多いです。セッションが開いたところにマルウェアが混入してもZTNA 1.0では止められません」と警鐘を鳴らす。

 続いての問題点として挙げられるのが「セキュリティ検査欠如」だ。厳密にゼロトラストを実践するならば、常時通信をチェックし、不正な横移動していないかなどをチェックする必要がある。IPS、Sandbox、ポスチャマネジメントなしのZTNA 1.0だけでは、ゼロトラストには不十分だ。

 次なる問題が「全App非対応」な点である。ありがちなのは、ゼロトラストにしたくてZTNA 1.0を導入したものの、一部のアプリケーションの制約でVPNと併用せざるをえないケースがある。これではゼロトラストの実現は不完全となるだろう。

 もしZTNA 1.0を含むポイントソリューションの組み合わせだと、注意すべきは先述したようにセキュリティ検査の欠如、端末の継続検査がない、一部のAppでVPNを必要とする点が挙げられる。加えて「外部に出る時はSWG、しかし内部へのアクセスはZTNA」というように複数で併用するとなると、ポリシーが統一されていない危険性もある。

画像クリックで拡大
画像クリックで拡大

 また既存環境にZTNA 1.0を追加するような形だと、コネクタの運用がともなう。これでは運用の重荷になってしまうし、さらに拠点ではファイアウォールやIPSも必要になる。このように、運用がかなり煩雑になってしまうことが予想されるのだ。

 「それに対してPrisma SASEであれば全部ガツンとつなぎます」と和田氏は胸を張る。モバイルからSaaS、モバイルからオンプレ、本社と国内外の支社間でも、どのような経路でも同じセキュリティポリシーを適用できるという。エージェントを通じて端末の継続的アセスメントも実施しているため、万が一端末に問題が起きても脅威を排除することが可能だ。あらゆるアプリケーションに対応しているため、レガシーのVPNから脱却できて、コネクタ不要、拠点エッジのファイアウォールやIPSも不要となり、運用負荷を軽減可能だ。

次のページ
ネットワークを担う、SASEと統合した「次世代SD-WAN」

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 春の陣レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:パロアルトネットワークス株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17553 2023/04/20 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング