企業を狙ったサイバー攻撃が相次いで成功しています。従来のような境界中心のセキュリティ戦略ではもはや効果がないことは極めて明白です。リスクが高いネットワーク境界を通過するユーザおよびアプリケーション トラフィックを十分に監視、制御、保護できないうえ、組織のネットワーク内は信頼されているはずであるという時代遅れの思い込みがあるからです。

ゼロトラスト アーキテクチャ アプローチは、「信頼しないで常に検証する」ことを指針に掲げ、こうした課題に対処するためにForrester Research社によって初めて提唱されました。ゼロトラストでは、ユーザー、デバイス、アプリケーション、パケットなど、いずれのエンティティも無条件に信頼されることはありません。エンティティが何であるか、企業ネットワークとどのような関係にあるかは関係ありません。ネットワークのさまざまなセグメントを効果的に区分するゼロトラスト境界を確立することで、不正なアプリケーションやユーザーから重要な知的財産を保護し、脆弱なシステムの悪用を軽減できるほか、マルウェアの横方向の移動をネットワーク全体で防止することもできます。

仮想ローカル エリア ネットワーク(VLAN)を使用してネットワークをセグメント化している組織もありますが、VLANはネットワーク トラフィックを分離するだけです。権限がある情報を制御することはできません。また、VLANだけでは、トラフィックに脅威が潜んでいないかどうかを検査することはできません。真のゼロトラスト ネットワーク セグメンテーションを実現するには、アプリケーション、ユーザー、コンテンツを把握できるエンタープライズ セキュリティ プラットフォームが必要です。

パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームは、次のような重要なゼロトラストの概念に対処します。

• セキュアなアクセス - GlobalProtectは、ユーザーの場所(リモート オフィス、ブランチ オフィス、ローカル ネットワーク、インターネットなど)に関係なく、すべての従業員、パートナー、顧客、ゲストに一貫したセキュアなIPsecおよびSSL VPN接続を提供します。アプリケーション、ユーザー、コンテンツ、デバイス、デバイス状態に基づいて、機密性の高いアプリケーションやデータにアクセスできるユーザーやデバイスを決定するためのポリシーを定義することができます。
• 全トラフィックの検査 - App-IDは、ポートとプロトコル、ポート ホッピングや暗号化などの回避手法に関係なく、すべてのトラフィックを的確に識別して分類します。これにより、マルウェアが検出から逃れるために使用する手段がなくなり、アプリケーション、関連するコンテンツ、脅威を完全に把握することができます。最小権限アクセス制御 - App-ID、User-ID、およびContent-IDを組み合わせると、使用している具体的なアプリケーションや個々の機能、ユーザーIDやグループID、アクセスしているデータの具体的な種類や部分(クレジットカード番号や社会保障番号）など、ビジネス関連の広範な属性に基づいてリソースとのやり取りを制御できるポジティブ コントロール モデルが実現します。他のソリューションはポートおよびプロトコル レベルの分類に限定されているせいで、大量のトラフィックがすり抜けてしまいます。それに比べて、このソリューションのアクセス制御は非常にきめ細やかなので、適切なユーザーに適切なアプリケーションの使用を安全に許可できると同時に、不要なトラフィック、不正なトラフィック、有害な可能性があるトラフィックがネットワークにアクセスするのを自動的に防ぐことができます。
• 高度な脅威防御 - アンチウイルス/マルウェア、侵入防御、高度な脅威防御テクノロジ(Content-IDおよびWildFire)を組み合わせると、モバイル デバイス上の脅威を含め、既知の脅威と未知の脅威両方からの包括的な保護が実現します。さらに、高度に統合されたクローズドループ型の防御のサポートにより、脅威防御フレームワーク内のインライン処理デバイスやその他のコンポーネントが自動的に更新され、WildFireなどの脅威インテリジェンスのソースから得た知見が反映されます。

ITセキュリティ チームはまず、VirtualWire導入モードを利用して、運用を中断することなく、ネットワーク内の1つ以上の場所にパロアルトネットワークスのデバイスを導入します。次に、リッスン専用モードに設定して、特定のユーザーが特定のアプリケーションやデータ リソースをいつ、どこで、どの程度使用しているかなど、ネットワーク全体のトランザクション フローを詳細に把握します。その後、その詳細情報に基づいて、適切な場所にデバイスを徐々に導入して、識別された信頼ゾーンの内部信頼境界を確立し、適切な実施および検査ポリシーを設定して、それぞれの信頼境界を効果的に「オンライン」に移行します。

適切なゼロトラスト アーキテクチャをネットワークに使用することで、悪意のあるアクティビティの状況を極めて効果的に認識でき、機密データの漏洩を防ぎ、コンプライアンス規制に容易に準拠することができます。