エンドツーエンドでのゼロトラストの実現

This post is also available in: English (英語)

私はこの25年間、お客様のサイバーセキュリティリスクを軽減するための製品を開発してきました。そして業界全体で同じ目標を共有することで、お客様のリスクを軽減できるであろうと考えたのです。我々は、リスクをゼロにできないことは承知の上で、リスクとコストのバランスをとる方法を探しています。お客様はサイバー攻撃を受けた場合に何を失うことを厭わず、また、攻撃を防止および軽減するためにどれだけの費用をかける気があるのでしょうか?

インフラストラクチャ(ネットワーク、エンドポイント、そして今やクラウド)に導入されているセキュリティ製品は、次の4つを信頼すべきかどうかの判断を助けることでリスクを軽減することに力を注いでいます。

• ユーザー
• エンドポイントおよびワークロード
• アプリケーション
• コンテンツ

たとえば、25年前の古き良きファイアウォールはIPフィルタリングを使用してユーザーやポート番号が信頼できるかどうかを判断して、アプリケーションを信頼すべきかどうかをチェックし、アンチウィルスソフトウェアはファイルを既知の問題のあるシグネチャのリストと照合してコンテンツが信頼できるかどうかを判断し、サンドボックスは未知のコンテンツを信頼できるかどうかを判断しています。

ゼロトラストとは?

ゼロトラストとは、インフラストラクチャにまたがるエンドツーエンドのサイバーセキュリティ戦略です。ゼロトラストでは、以前にチェックされているかどうか、または別のエンティティによって後からチェックされるかどうかに関係なく、どのエンティティのどのユーザー、エンドポイント/ワークロード、アプリケーションまたはコンテンツも信頼できない、という前提の下で事業を行います。すなわち、各エンティティ(エンドポイント、サーバー、VMまたはコンテナベースのマイクロサービス、Platform-as-a-Service (PaaS))は、やり取りするすべてのエンドポイント、ワークロード、アプリケーションのIDを確認し、送受信または保持するコンテンツをスキャンして悪意のあるアクティビティがないかを調べる必要があります。

簡単に言うと、各デバイス、アプリケーション、マイクロサービスが各自のセキュリティに対する責任を負います。

昨今、業界はゼロトラスト ネットワーク アクセス(ZTNA)を重視しています。ZTNAはゼロトラストでは確かに重要ですが、ゼロトラスト戦略のひとつの構成要素に過ぎません。ZTNAはエンドポイント上のユーザーとそのユーザーのインフラストラクチャへの最初のエントリ(通常、Webアプリケーションサーバーを介して)との間の通信に的を絞っています。

とかく見落とされがちですが、セキュリティ オペレーション センターも同じくゼロトラストの重要な側面です。SOCの役割は、ファイアウォールと侵入防御システム(IPS)によって確立された接続を信頼するかどうかの判断など、インフラストラクチャによって行われた信頼性に関する判断をダブルチェックすることです。また、インライン製品がリアルタイムで判断できない事柄についての事後の信頼性に関する判断も行います。

ゼロトラストへのパロアルトネットワークスのアプローチ

パロアルトネットワークスでは、エンドツーエンドでのゼロトラストを実現する最も簡単で、かつ唯一の方法は、インフラストラクチャ全体で脅威防御機能を検証し、認証し、適用する、適切に調整されたアーキテクチャおよびソリューションを持つことであると信じています。Prisma Accessにより、ZTNAを簡易なクラウド配信サービスとして使用できます。PAN-OS製品により、場所に関係なく、きめ細かなポリシーの適用およびIoTセキュリティなどの脅威防御機能の導入が可能になります。Prisma Cloudにより、すべてのコンピューティング規模のパブリックまたはプライベートクラウドで、さまざまな側面のゼロトラストを実現できます。セキュリティ オペレーション センターでは、Cortexが自動化および分析を適用して、以前に行われた信頼に関するすべての判断をダブルチェックして、ほぼリアルタイムでの変更を可能にします。

最新のビデオで、インフラストラクチャへの各種のゼロトラストの導入に関する技術的な考慮事項、およびパロアルトネットワークスがエンドツーエンドでのゼロトラストの導入をどのようにお手伝いできるかについて話しています。詳しくはこちらのビデオをご覧ください。

※ 本稿は「 Zero Trust Throughout Your Infrastructure (全インフラストラクチャにわたるゼロトラスト)」シリーズの一部です。