5分で読めます

エンドポイントへのゼロトラストの拡張

ネットワークにおけるゼロトラスト - お馴染みのフレーズ

ゼロトラストは、ネットワーク アーキテクチャ セキュリティ モデルとしてますます採用され、支持を得ています。「決して信頼せず、常に検証する」というフレーズは、ネットワークの保護に重点を置いたモデルにお馴染みのものです。ゼロトラストでは、組織は境界内外のあらゆるものを信用すべきではなく、ネットワークへの接続を試みるあらゆるものをアクセス権を付与する前に検証すべきであるという原則に重点を置いています。

ゼロトラスト アーキテクチャを実現するには、ネットワーク セグメンテーションと、ユーザー、データ、場所に基づくきめ細かな適用が欠かせません。確立されたルールに従ってトラフィックが識別され許可されるさまざまな検査ポイントで、すべてのトラフィックがログに記録され、検査される必要があります。これにより、最小権限のアクセスと

厳格なアクセス制御が維持されることから、ネットワークにおける攻撃の横方向の移動を制限して特定するために必要な、ネットワークの可視性とコンテキストが得られます。

セキュリティ テクノロジの進化に伴い、セキュリティ保護すべきデータの量が大幅に増加しました。今日の高度にモバイル化された世界ではエンドポイントとともにデータが移動するため、エンドポイントがサイバー攻撃の格好の標的になっています。それに応じて、セキュリティ ポリシーもユーザーやデータと一緒に移動する必要があり、特定の場所に縛られるべきではありません。世界中のデバイスがデータやアプリケーションにアクセスするなかで、ゼロトラストとその防御第一のアプローチは、ネットワークを超えてエンドポイントにまで拡張される必要があります。

エンドポイントでのゼロトラスト - 総合的な「ゼロトラスト」ストーリー

エンドポイント セキュリティ製品がエンドポイントで行われているアクティビティに関するデータのセキュリティ保護と収集を行うのに対し、ネットワーク セキュリティ製品はネットワークに対して同様の役割を果たします。高度な脅威に効果的に対処するには、両方が連携する必要があります。総合的な保護を実現し、セキュリティ アーキテクチャ全体でゼロトラスト モデルを実装する唯一の方法が、エンドポイント セキュリティとネットワーク セキュリティを組み合わせた統合プラットフォーム アプローチです。このアプローチを私たちのすべてのアクティビティに取り入れることで、トラフィックが発生する場所やデータが存在する場所では必ず防御が行われるようにしなければなりません。

ゼロトラストをエンドポイントに拡張するうえで、以下の4つの基準を満たす必要があります。

1. 複数のセキュリティ層によるエンドポイントの保護

攻撃者がマルウェアを送信したりアプリケーションの脆弱性を悪用したりして、最も脆弱なリンクをすり抜ける方法を見つけたら、従来のセキュリティ対策では対応できません。より効果的なのは、ネットワーク保護とエンドポイント保護を階層化して、攻撃者が一方の対策をすり抜けても、もう一方の対策に直面するようにすることで、攻撃の成功を段階的に難しくする方法です。

ネットワーク セキュリティの役割は、マルウェアであれ、フィッシング攻撃であれ、エクスプロイトであれ、できるだけ多くの攻撃がネットワークを通ってエンドポイントに到達するのを阻止することにあります。片やエンドポイント セキュリティの役割は、攻撃がUSBドライブやその他ネットワーク以外の手段でエンドポイントに到達する場合、トラフィックが暗号化されている場合、またはユーザーがオフラインやネットワークに接続していない場合に、攻撃者が被害を及ぼすのを防ぐことです。

ゼロトラスト アーキテクチャを実現するためにこれらの対策を組み合わせることで、エンドポイント セキュリティとネットワーク セキュリティの統合がより一層効果的になります。

2.ネットワーク セキュリティとの統合

ゼロトラストをエンドポイントに拡張することで、エンドポイント セキュリティとネットワーク セキュリティが結合され、1つの総合的なセキュリティ アーキテクチャが実現します。エンドポイントで得られたインテリジェンスがファイアウォールに送信されるとともに、その逆も同様です。エンドポイントで何らかのイベントが発生した場合に、エンドポイントが完全にスキャンされ脅威が取り除かれるまで検疫が行われるように、ポリシーを設定する必要があります。

さらに、ファイアウォールからネットワーク セキュリティ管理ツールにユーザー データやトラフィック データを取り込むことで、ネットワーク全体で起きている事象についてコンテキストが得られます。これにより、そのアクティビティを適切に反映するセキュリティ ポリシーを作成し、エンドポイントに適用することが可能になります。

また、ゼロトラスト モデルには、エンドポイント セキュリティを仮想プライベート ネットワーク(VPN)のセキュリティと連携させ、グローバル ポリシーがユーザーやエンドポイントに合わせて移動するように設定することも含まれます。エンドポイントが常に保護されるようにするには、VPN機能がユーザーに対して透過的で、ログインや接続時に手動での操作を不要にする必要があります。エンドポイント セキュリティとVPNが連動して機能すると、エンドポイントが場所を問わず保護されるため、VPNやファイアウォールに不正なトラフィックが流れ込むことを阻止できます。次世代ファイアウォール上に配置されたVPNでは、この統合をさらに強化するためにポリシーの適用がトンネルにまで拡張されます。トラフィックが暗号化され、侵害されたエンドポイントからネットワークに流れ込んだ場合、ポリシーは適用されたままです。

エンドポイント セキュリティとネットワーク セキュリティの統合によって実現されるきめ細かな可視性は、情報に基づく迅速かつ正確な多変量による意思決定によって強化される必要があります。またこの統合は、ユーザーに悪影響を及ぼさないようにシームレスかつ軽量なものでなければなりません。

3.各種エンドポイントの管理

どの組織にも、サーバ、ワークステーション、デスクトップ、ラップトップ、タブレット、モバイル デバイスなど、管理が必要なエンドポイントが何種類もあるはずです。セキュリティ体制を強化し、ゼロトラストを実装するには、エンドポイント保護をファイアウォールと統合して、セキュリティ ポリシーが場所を問わずエンドポイントに付随する必要があります。多要素認証(MFA)を次世代ファイアウォールに適用して拡張性を確保するとともに、危険にさらされる境界を重要なアプリケーションから引き離す必要があります。また、ユーザーがバックグラウンドで実行されているセキュリティ ツールに気付いて削除したり閉じたりしないように、この統合によってシステムのパフォーマンスに悪影響が及ばないようにしなければなりません。

4.レイヤー2~7のアクセス制御

セキュリティ アーキテクチャ全体にゼロトラストを実装する際には、エンドポイントが送受信するトラフィックに悪意のある動作がないか検査するようにします。エンドポイントでトラフィックがネットワークに入る際に脅威が存在する可能性を評価することは一般的です。対して、ネットワークから送信されるトラフィックが評価されることは、ユーザーやユーザーのアクティビティが不正なものではないという前提から、それほど一般的ではありません。しかし、ユーザーが侵害されている場合、攻撃者がエンドポイントからまたは侵害されたデバイスを使って、データや知的財産を引き出し、他の悪意のある活動に悪用しようとすることが考えられます。

データや知的財産がネットワークから送信されるのを防ぐには、エンドポイントでのアクティビティに対する可視性を、次世代ファイアウォールとの統合によって確保する必要があります。ファイアウォールに設定されたポリシーに基づいて、ユーザーやアプリケーションのトラフィックが定義されたセキュリティ ポリシーの適用範囲から逸脱する場合に、ファイアウォールが疑わしいアクティビティに介入して阻止できるようにします。このポリシーは、暗号化されたVPNトンネル内で脅威防御ルール、URLフィルタリング、マルウェア サンドボックス機能を適用するものでなければなりません。

また次世代ファイアウォールは、暗号化されたトラフィックを復号するSSL復号機能を備え、トラフィックが悪意のあるものかどうかを判断するために必要な可視性が得られるものであるべきです。悪意のあるトラフィックが発見されたら、ファイアウォールとエンドポイントの統合によって、ファイアウォールがコマンド アンド コントロール トラフィックをブロックし、エンドポイントをネットワークから分離できる必要があります。

パロアルトネットワークスのアプローチ

Palo Alto Networks® Next-Generation Security Platformは、ゼロトラスト アーキテクチャを実現して連携するよう設計されています。

Palo Alto Networks Next-Generation Security Platformの主要コンポーネントであるアドバンスト エンドポイント プロテクション「Traps™」は、攻撃ライフサイクルの重要なステージで複数の保護手法を採用しており、既知および未知のマルウェア、エクスプロイト、ランサムウェア、およびゼロデイ攻撃の脅威を防御します。また、ローカル分析を実行し、ファイル プロパティの分類と既知の判定に基づいて悪意のあるファイルと無害なファイルを識別します。

ローカル分析に加えて、Trapsはクラウドベース脅威分析サービス「WildFire®」と統合されます。WildFire自体が、動的分析と静的分析、機械学習、およびベア メタル分析を実行して、最も高度な回避能力を備えた脅威も発見できます。WildFireは、そのプラットフォームの一部として、Trapsと次世代ファイアウォールをネットワークとエンドポイントのセンサーおよび適用ポイントにすることが可能です。

パロアルトネットワークスの次世代ファイアウォールが、アプリケーション、脅威、コンテンツを含むすべてのトラフィックを(暗号化されている場合でも)検査し、そのトラフィックをユーザーに結び付けます。その結果得られる可視性とデータは、組織の固有のニーズやイニシアチブにセキュリティ ポリシーを整合させるのに役立ちます。Trapsと同様に、次世代ファイアウォールもWildFireと連携して既知および未知の脅威から保護します。新しい脅威をどこで発見しても、WildFireは自動的に最新の保護を作成して、プラットフォーム全体およびWildFireコミュニティの他のメンバーに配布し、協調的なセキュリティ インフラストラクチャをサポートします。それらの更新には、アーキテクチャ全体でより包括的かつ効果的な保護を実現するために、Trapsによって新たに発見された脅威が含まれます。

ネットワークからエンドポイントにポリシーを結び付けるエンドポイント用GlobalProtect™ネットワーク セキュリティが、セキュリティ ポリシーをリモート ネットワークやモバイル ユーザーに拡張します。GlobalProtectは、次世代ファイアウォールを使ってトラフィックを検査することで、すべてのネットワーク トラフィック、アプリケーション、ポート、プロトコルの完全な可視性をもたらします。この可視性によって、ユーザーがどこにいるかに関係なく、エンドポイントに対するセキュリティ ポリシーのシームレスな適用が可能になります。GlobalProtectは、User-ID™テクノロジの原動力となるユーザー情報を提供するとともに、ファイアウォールのMFA保護と統合され、攻撃者が盗まれた認証情報を用いて横方向に移動するのを阻止します。