ゼロトラストネットワークセキュリティ スタートガイド

ゼロトラスト ネットワーク セキュリティ
スタートガイド
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
概要
企業を狙ったサイバー攻撃は増え続けています。もはや従来の境界集中型セキュリティ戦略では攻撃
を防ぎ切れないことは明らかです。こうしたアーキテクチャの機能不全の原因は、
「組織のネットワー
ク内は安全」という時代遅れの思い込みと、従来の対策ではネットワーク境界を通過するアプリケー
ション トラフィックに十分な可視性や制御、保護を提供できないことです。
Forrester Research が初めて導入した革新的なセキュリティ モデル、
「ゼロトラスト」は、信頼できる
という前提を取り除いて穴だらけの境界集中型戦略の欠陥に対応するものです。ゼロトラストで展開
される基本セキュリティ機能では、どこにあるかに関係なく、すべてのユーザー、デバイス、アプリケー
ション、データ リソース、およびそれらの間の通信トラフィックにポリシーが適用され、保護が提供
されます。
本書では、ゼロトラスト ネットワーク セキュリティ アプローチの必要性とその詳細を説明します。ま
た、ゼロトラスト ソリューションに必要な基本的条件と機能を挙げ、パロアルトネットワークスの次世
代セキュリティ プラットフォームがこれらの要件をどのように満たすかを説明し、ゼロトラスト設計に
移行する方法についてのガイダンスを提供します。
パロアルトネットワークスのソリューションを導入してゼロトラスト ネットワークを実装する組織には次
のような利点があります。
• 可視性、アプリケーションの安全な稼働、高度な脅威検出および防御により、データ損失の軽
減に大幅な効果があります。
• セキュリティおよびプライバシー関連の法規制へのコンプライアンス達成を効率化します。
• 変革のための IT イニシアチブ ( ユーザーのモバイル対応やインフラストラクチャの仮想化など )
をセキュアに実現する能力が向上します。
• IT セキュリティの総所有コスト (TCO) が大幅に削減されます。
従来型ネットワーク セキュリティ アプローチは破綻
「2014 Cyberthreat Defense Report (2014 年サイバー脅威防御レポート )」によると、60 パーセン
トを超える企業が 2013 年に 1 回以上のサイバー攻撃を受けています。1 今日の企業のうち、今でも
境界集中型戦略に依存している割合を考えると、
この数字は意外ではありません。境界ベースのセキュ
リティ アプローチにはもはや効力はない、というのが歴然たる事実なのです。
信頼の不備
境界集中型セキュリティ戦略では、ネットワークの特定の数箇所の入口 / 出口ポイントにセキュリティ
対策が講じられます。この戦略の最大の問題は、内部ネットワークにあるものはすべて信頼できると
いう大前提があることです。ただし、ビジネスやコンピュータを取り巻く環境は以下のように変化して
おり、この前提はもはや成立しません。
• リモート接続する従業員、モバイル ユーザー、クラウド コンピューティング ソリューションに
より「内部」と「外部」の区別があいまいになっている。
• ワイヤレス テクノロジ、パートナー接続の増加、ゲスト ユーザー サポートの必要性により、ネッ
トワークに無数の経路が追加されている。
• 支社が信頼されていない「要注意国」にある。
• 内部関係者が、意図的な悪意か単なる不注意かに関係なく目前のセキュリティ脅威となる。
2 ページ
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
従来型戦略では、次のような状況を考慮することもできません。
• 高度なサイバー脅威に境界防御を突破されるおそれがある。突破されると、サイバー脅威が内
部ネットワークを自由に支配できます。
• 悪意のあるユーザーが信頼されたユーザーから盗んだ認証情報を使用して内部ネットワークと
機密リソースにアクセスする。
• 現実には、内部ネットワークが均質であることはまれである。本質的に信頼 / 機密性のレベル
が異なり、本来であれば分離すべきユーザーとリソースの集団が混在しています ( 研究開発 /
財務システムとプリント / ファイル サーバーなど )。
機能面の不備
破綻した信頼モデルだけが、境界集中型ネットワーク セキュリティ アプローチの有効性が低下した
原因ではないと認識することも重要です。もう 1 つの要因は、一般的にネットワーク境界の構築に使
用されている従来型のデバイスとテクノロジが、不要なトラフィックを大量に通過させてしまうことで
す。この点に関して、従来型アプローチには以下のような欠陥があります。
• 適切なアプリケーションと不正なアプリケーションを確実に区別できない ( アクセス制御設定
での許可が甘くなる )。
• 暗号化されたアプリケーション トラフィックを適切に考慮できない。
• ( ユーザーの場所や使用するデバイスに関係なく ) ユーザーを正確に識別して制御することがで
きない
• 既知のアプリケーション由来の脅威だけでなく、未知の脅威について許可されたトラフィックを
フィルタリングすることができない。
つまり、一般的な内部の信頼境界を設定する方法で防御を再設計するだけでは、不十分なのです。
また、こうした境界の実装に使用するデバイスとテクノロジが、重要なビジネス アプリケーションの
セキュアな稼働に必要な可視性、制御、および脅威検査機能を実際に提供し、同時に最新のマルウェ
ア、標的型攻撃、機密ビジネス データの漏洩防止もできるようにすることが必要になります。
ゼロトラスト モデル ̶ 現代のネットワークに有効なセキュリティを提供
革新的な IT セキュリティ モデルとして期待されているのがゼロトラストです。その目的は、境界集中
型戦略とその実装に使用されている従来のデバイスやテクノロジの不備を是正することです。それを
実践するために「信頼しないで常に検証する」を原則として掲げています。これが、
「信頼するが検証
する」を基本として動作する従来のセキュリティ モデルと大きく異なる点です。
特にゼロトラストでは、ユーザーやデバイス、アプリケーション、パケットなどのすべてのエンティティ
について、それが何で、どこにあるか、企業ネットワークとどのような関係にあるかに関わらず、無条
件に信頼されることはありません。また、認証されたエンティティが許可された操作のみを実行して
いるかどうかの検証は、任意ではなく必須として実行されます。
この 2 つの変更には、それぞれ以下の意味があります。
a) 内部コンピューティング環境のさまざまなセグメントを効果的に区分化する信頼境界を確立す
る必要性。基本的な考え方は、セキュリティ機能を、保護を必要とするさまざまなリソース集
団の近くに移動するということです。この方法であれば、関連する通信トラフィックの発生源
に関係なく、常に検証を適用できます。
b) 初期承認とアクセス制御の適用以外の機能を持つ信頼境界の必要性。
「常に検証する」には、
関連する通信トラフィックに破壊的アクティビティ ( 脅威 ) が含まれていないか継続的にモニタ
リングと検査を行うことも必要です。
3 ページ
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
このようなゼロトラストの基本原則は、ゼロトラスト実装の運用目的を定義する以下の 3 つの概念へ
と反映されます。2
概念 1: 場所に関係なく、すべてのリソースへのセキュアなアクセスを確保する。これは、複合的な信
頼境界が必要であること、さらに「内部」ネットワーク限定のセッションも含め、リソースとの通信に
おいてセキュアなアクセスの使用を増やしていくことを示しています。また、適切なステータスと設定
を持つデバイス ( 例 : 会社の IT が管理し、承認された VPN クライアントと適切なパスコードが設定
され、マルウェアを実行していない ) のみがネットワークへのアクセスを許可されるようにするという
意味もあります。
概念 2: 最小権限戦略を採用し、厳格にアクセス制御を適用する。ここでの目標は、リソースへの許
可されたアクセスを確実に最小限に抑えることで、マルウェアや攻撃者に不正なアクセスに利用される
経路を減らし、結果的にマルウェアの拡散や機密データの漏洩を防止することです。
概念 3: すべてのトラフィックを検査し、ログに記録する。これは「常に検証する」必要性を具体的に
言い換えたものですが、適切な保護には、アクセス制御の厳格な適用だけでは十分ではないことを明
確に示しています。つまり、
「許可された」アプリケーションで実際に何が起きているのか、緻密かつ
継続的に注意を払うことも必要です。その唯一の方法がコンテンツに脅威がないか検査することです。
ゼロトラストの概念アーキテクチャ
図 1 の概念アーキテクチャは、実際のゼロトラストがどのようになるかを示しています。
メイン コンポーネントとして、ゼロトラスト セグメンテーション プラットフォーム、信頼ゾーン、およ
び関連する管理インフラストラクチャがあります。
PCI
アプリケーション
ゾーン
従業員
アプリケーション
ゾーン
Web
アプリケーション
ゾーン
ゼロトラスト
セグメンテーション
プラットフォーム
キャンパス ゾーン
ワイヤレス ゾーン
B2B ゾーン
図 1 – ゼロトラストの概念アーキテクチャ
4 ページ
管理ゾーン
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
ゼロトラスト セグメンテーション プラットフォーム。ゼロトラスト セグメンテーション プラットフォーム
(Forrester Research の呼称は「ネットワーク セグメンテーション ゲートウェイ」3) は、内部の信頼境
界の定義に使用されるコンポーネントです。つまり、ここでゼロトラストの運用目的を実現するために
必要なセキュリティ機能の大半が提供されます。これには、セキュアなネットワーク アクセスの有効
化、リソースとの間のトラフィック フローの詳細な制御、許可されたセッションに脅威アクティビティ
の兆候がないかを調べる継続的なモニタリングなどの機能が含まれます。図 1 で、ゼロトラスト セグ
メンテーション プラットフォームは物理的な 1 か所にある 1 つのコンポーネントとして表現されてい
ますが、パフォーマンス、拡張性、物理的な制限などから、実際には組織のネットワーク全体に複数
のインスタンスを分散させて実装する方が効果的です。また、このソリューションを
「プラットフォーム」
と表現しているのは、それが複数の異なる ( 多くは分散している ) セキュリティ テクノロジの集合で
あるとともに、攻撃対象領域を減らして、検出された脅威情報を相関付ける総合的な脅威防御フレー
ムワークとしても動作するためです。
信頼ゾーン。信頼ゾーン (Forrester Research の呼称は MCAP (Micro Core And Perimeter)4) は、
インフラストラクチャの区分けされた領域で、そのメンバー リソースは、同じ信頼レベルで動作する
だけでなく、類似の機能も共有します。プロトコルやトランザクション タイプなどの機能の共有は不
可欠です。それは、特定ゾーンへの出入りを許可される経路の数を実際に最小限まで減らし、その
結果として、悪意のある内部関係者や他のタイプの脅威が機密リソースに不正アクセスする可能性を
最小限に抑えるために必要となるためです。
図 1 の信頼ゾーンの例には、
ユーザー ( キャンパス ) ゾーン、
ゲスト アクセス用のワイヤレス ゾーン、
カー
ド会員データ ゾーン、マルチティア サービス用のデータベースおよびアプリケーション ゾーン、一般
向け Web アプリケーション用ゾーンが含まれています。
信頼ゾーンは、システム ( と脅威 ) がゾーン内で互いと自由に直接通信できる「信頼の領域」として
使用するものではありません。完全なゼロトラスト実装の場合、
「すべての」
通信トラフィック ( 同じゾー
ン内のデバイス間通信を含む ) が、対応するゼロトラスト セグメンテーション プラットフォームで仲
介されるようにネットワークが設定されます。
管理インフラストラクチャ。複数の分散ゼロトラスト セグメンテーション プラットフォームが含まれる
実装の場合などで、効率のよい管理と継続的なモニタリングを可能にするには、一元管理機能が不
可欠です。さらに、データ取得ネットワークを使用すると、ゼロトラスト セグメンテーション プラット
フォームのネイティブなモニタリングおよび分析機能をうまく補完することができます。すべてのセッ
ション ログをデータ取得ネットワークに転送することで、さまざまな目的の分析ツールやテクノロジ
を使用してこのデータをアウトオブバンドで処理できます。たとえば、ネットワーク可視性の強化、不
明な脅威の検出、コンプライアンス レポートのサポートなどが可能です。
パロアルトネットワークス製品でゼロトラストを実装
ゼロトラスト ネットワーク セキュリティ アーキテクチャの心臓部はゼロトラスト セグメンテーション
プラットフォームであるため、組織が適切なソリューションを選択することが非常に重要になります。
そこで、このセクションでは IT セキュリティ マネージャとアーキテクトが選定時に考慮すべき主要な
条件と機能を取り上げます。パロアルトネットワークスの次世代セキュリティ プラットフォームが対応
する要件をどう満たすかについても概要を説明します。
包括的なセキュリティ機能
パロアルトネットワークスのプラットフォームは、以下の機能をサポートします。
•
セキュアなアクセス。GlobalProtect ™は、すべての従業員、パートナー、顧客、ゲストに、場所 ( リモー
ト オフィス / 支社、LAN 上 / インターネット経由など ) に関係なく、一貫したセキュアな IPSec お
よび SSL VPN 接続を提供します。機密性の高いアプリケーションやデータにアクセスできるユー
ザーとデバイスを判別するポリシーを、アプリケーション、ユーザー、コンテンツ、デバイス、およ
びデバイスの状態に基づいて定義できます。
5 ページ
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
•
全トラフィックの検査。App-ID ™は、ポート、プロトコル、回避技法 ( ポート ホッピングなど )、暗
号化に関係なく、すべてのトラフィックを正確に識別して分類します。これにより、マルウェアが検
出から隠れるために使用する方法がなくなり、アプリケーション、関連コンテンツ、脅威について完
全なコンテキストが得られます。
•
最小権限アクセス制御。App-ID、User-ID ™、および Content-ID ™ を組み合わせた有効な制御モ
デルを使用すると、使用している特定のアプリケーションや個々の機能、ユーザー ID やグループ
ID、アクセスされるデータのタイプや部分 ( クレジット カードや社会保障番号など ) のような幅広
いビジネス関連属性に基づいてリソースとのやり取りを制御できます。ポートやプロトコル レベルの
分類しかできず、トラフィックの通過基準が甘い他のソリューションに比べ、アクセス制御をきめ細
かく設定して、適切なユーザーのグループが適切なアプリケーションに安全にアクセスできるように
することが可能です。その一方で、多くは有害な不要トラフィックや不正トラフィックがネットワーク
にアクセスするのを自動的に防止します。( 以下の
「最小権限ポリシーを使用できないと ...」を参照 )。
•
高度な脅威防御。アンチウイルス / マルウェア、侵入防止、高度な脅威防御テクノロジ (ContentID および WildFire ™ ) を組み合わせ、モバイル デバイスに対する脅威を含む、既知と未知の両
方の脅威に対する包括的な防御を提供します。さらに、クローズドループ型の高度に統合された
防御により、脅威防御フレームワークでインライン稼働するデバイスとその他のコンポーネントは、
WildFire とその他の脅威インテリジェンスで検出された脅威情報によって自動的に更新されます。
あらゆる ITドメインが対象。パロアルトネットワークスでは、ゼロトラスト製品として、バーチャルお
よびハードウェア アプライアンスの幅広いポートフォリオを用意しています。これらのアプライアンス
を使用すると、組織のネットワーク全体にわたって一貫したコスト効果の高い方法で信頼境界を確立
できます。たとえば、リモート オフィスや支社、インターネット境界、クラウド、データセンターへの
入力、モバイル ユーザー、見落としがちな飛び地の領域などを対象として網羅できます。
ハイパフォーマンス設計。ゼロトラスト セグメンテーション プラットフォームは本質的に多くのセキュ
リティおよびネットワーク機能の集合体です。ただし、パフォーマンス ボトルネックとならずにこれら
すべての機能を提供できなければなりません。パロアルトネットワークスのソリューションはまずこの
目標を達成するために、
シングルパス ソフトウェア アーキテクチャを使用しています。
他のソリューショ
ンとは異なり、トラフィック ストリームを複数回処理 ( セキュリティ機能ごとに 1 回など ) する必要が
ないため、処理要件と遅延は最小限に抑えられます。さらに、パロアルトネットワークスのハードウェ
ア アプライアンスには、制御プレーンと
データ プレーンが個別に搭載されていま
す。また、機能ごとの並列処理ハードウェ
最小権限ポリシーを使用できないと ...
ア エンジン ( カスタム チップ ) でコア パ
ステートフルな検査テクノロジに依存する従来のセ
ケット処理、標準セキュリティ機能の高速
キュリティ ゲートウェイやその他のデバイスは、実際
化、専用のコンテンツ スキャンを行います。
には最小権限ポリシー ( 該当するビジネスのサポート
最上位モデルでは、120Gbps ものゼロト
に必要なものだけに通過を許可する ) を適用すること
ラスト スループットと、アプリケーション、
ができません。これらのデバイスの問題は、その分
ユーザー、コンテンツの高度な可視化およ
類エンジンでは IP アドレス、ポート、プロトコルしか
び制御を実現しています。
認識できないため、特定のアプリケーションを識別で
柔軟な運用中断のない導入。既存ネット
ワークを変更せずに、ユーザーにはまった
くわからないようにゼロトラスト アプロー
チを実装できれば 理 想的です。ただし、
ネットワークの大規模な計画停止を利用で
きる機会はほとんどなく、運用の中断は避
けなければなりません。そのため、IT セ
キュリティ マネージャは、通常、運用を継
続しながらゼロトラストに移行し、それに
合わせた最善の期限を設定する必要があ
ります。パロアルトネットワークスの次世
6 ページ
きない点です。たとえば、ステートフルな検査を実
行するデバイスに、TCP ポート 80 で HTTP プロトコ
ルを使用するトラフィックを許可するルールがあると
します。このルールでは、正規の e コマース アプリ
ケーション以外にも、Web メール、ソーシャル ネット
ワーキングなど他のさまざまな目的に使用される、大
量の Web アプリケーションやユーティリティの通過を
許可する可能性があります。そのため、こうしたデバ
イスは実際にはゼロトラスト セキュリティ モデルの実
装に適した候補ではありません。
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
代セキュリティ プラットフォームは、この要件を複数の方法でサポートします。たとえば、次のような
方法があります。
•
バーチャル ワイヤー モードでは、ネットワークにレイヤー 1 を透過的に挿入でき、周辺または隣接
するネットワーク デバイスへの設定変更は不要です。このモードでは、すべての次世代セキュリティ
テクノロジがサポートされます。
•
1 台のハードウェア アプライアンスで、
複数の接続モード ( レイヤー 1、
レイヤー 2、
レイヤー 3) をサポー
トできるため、異なるニーズを持つ複数の信頼ゾーンを収容する能力を最大限まで高めることができ
ます。
•
幅広いネットワーキング テクノロジ (L2/L3 スイッチング、動的ルーティング、802.1Q VLAN、ト
ランク ポート、トラフィック シェーピングなど ) をサポートすることで、実質的にどのような環境に
も統合できることが保証されています。
•
物理アプライアンス上で別個に分離されたゼロトラスト仮想インスタンスを稼働させる仮想システム
機能を利用して、複数の管理ドメイン ( 図 1 を参照 ) を収容できます。仮想システムでは、すべての
ポリシー ( セキュリティ、NAT、QoS など ) の管理と、すべてのレポート作成機能および可視化機
能をセグメント化することができます。
一元管理。すでに説明したように、この要件は本来、複数の分散ゼロトラスト セグメンテーション
プラットフォームを効率よく管理できるようにするためのものです。この場合、中心となるニーズには、
パロアルトネットワークスがオプションで提供する一元管理サービス、Panorama が対応します。ただ
し、これはゼロトラスト セキュリティ モデルの実装および管理タスクを簡素化するためにパロアルト
ネットワークスが提供する管理機能の一部にすぎません。他にも以下のような優れた機能があります。
•
統合されたポリシー モデルとインターフェイスにより、アクセス制御や検査ルールの表示や設定の
ために複数の画面やコンソールを切り替える必要がありません。
•
階層型ポリシーおよび管理モデルにより、グローバルとローカル両方のルールと設定の組み合わせ
に対応できます。
•
高度でグラフィカルな視覚化ツールにより、任意の時点におけるアプリケーションやユーザーのネッ
トワーク上での動作について理解を深めることができます。
•
包括的な RESTful API により、サードパーティの管理 / 自動化 / オーケストレーション ツールとす
ばやく簡単に統合できます。たとえば、新しくプロビジョニングされたり、場所が変更されたりした
仮想アプリケーションも確実に保護できます。
•
リアルタイムのフィルタリング機能を備えた統合レポートとロギングにより、ネットワークをトラバー
スする個々のセッションのフォレンジック調査を迅速に行うことができます。
パロアルトネットワークスの次世代セキュリティ プラットフォームには、上記を含め、ゼロトラスト セ
キュリティ モデルの実装に最適なソリューションとしての機能が搭載されています。
詳細は、www.paloaltonetworks.com/zerotrust をご参照ください。
ゼロトラストの実装アプローチ
ゼロトラストへの移行という点で、IT セキュリティ マネージャとアーキテクトが理解しておく必要があ
るのは、次回に予定されている組織のネットワークおよびセキュリティ インフラストラクチャの全面
計画停止に合わせて作業を前後に調整する必要はないということです。実装がしやすいことは、パロ
アルトネットワークスをゼロトラスト セグメンテーション プラットフォームとして使用するゼロトラスト
アーキテクチャの優れた利点の 1 つです。
最初に、IT セキュリティ チームはバーチャル ワイヤー機能を利用して、運用を中断せずにパロアル
トネットワークスのデバイスを企業のコンピューティング環境内の 1 か所以上に導入できます。次に、
可視化専用モードに設定されたこれらのユニットを使用して、ネットワーク全体から、特定のユーザー
が特定のアプリケーションとデータ リソースをいつ、どこで、どの程度使用しているかなど、トラン
7 ページ
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
ザクション フローの詳細な状況を取得できます。取得したこれらの詳細を利用して、
セキュリティ チー
ムは (a) 適切な場所にデバイスを導入して、識別された信頼ゾーンの内部信頼境界を確立し、(b) 適
切な稼働および検査ポリシーを設定して、各信頼境界を効果的に「オンライン」に移行できます。こ
のようなアプローチの利点は、
IT 運用への潜在的な影響を最小化し、必要な調査や作業の範囲を徐々
に拡大できることです。
セキュリティ チームが環境内のトランザクション フローを十分に理解している場合は、代わりに、信
頼ゾーンを計画し、関連するデータの相対的リスクや機密性に基づいて対応する信頼境界の確立を
始めることができます。この場合、まず、機密データを集中して扱うユーザーやシステムとして明確
に定義できる集団を識別することから始めるのが妥当です。たとえば 4P と呼ばれる PCI ( ペイメント
カード業界 ) やその他の金融データ、PHI ( 個人医療情報 )、PII ( その他の個人を特定できる情報 )、
IP ( 知的財産 ) などが考えられます。次に、以下のようなコンピューティング環境の他のセグメントに
ついて、その相対的なリスク レベルに基づいて信頼ゾーン / 境界を徐々に確立していきます。
• IT 管理システム / ネットワーク ( ここには管理者がいわゆる「王国の鍵」を保管していることが
あり、攻撃が成功するとネットワーク全体の支配が奪われかねません )
• パートナー リソースおよび接続 (B2B)
• 人目を引く顧客対応リソースおよび接続 (B2C)
• 「要注意国」にある支社 ( この後に他のすべての支社に対応 )
• ゲスト アクセス ネットワーク ( ワイヤレスと有線の両方 )
• キャンパス ネットワーク
ゼロトラストの原則と概念をインターネットへの主要なアクセス ポイントに導入することも有効です。
ただし、そのためにはおそらく、配置されている従来型セキュリティ デバイスをゼロトラスト セグメ
ンテーション プラットフォームで置き換えるか補強してすべての必須機能を利用できるようにすること
が必要になります。
ゼロトラストの原則および手法を導入する利点
パロアルトネットワークスのプラットフォームを使用してゼロトラスト セキュリティ アーキテクチャを実
現すると、技術面およびビジネス面で次のような利点があります。
• 運用を中断せずに漸進的にゼロトラスト モデルへと移行できる
• 正当か否かに関係なく、企業のコンピューティング アクティビティの状況を非常に効果的に認
識できる
• 最小権限アクセス制御ポリシーの厳格な適用 ( 攻撃対象領域の削減に必須 ) をはじめ、ゼロト
ラストの原則と概念を完全に実装できる、
• 組織のセキュリティ態勢と機密データの漏洩防止機能を大幅に強化できる
• 適用される標準や規制へのコンプライアンスの達成と維持を簡素化できる ( 有効性の高い信
頼境界を使用して機密リソースを別のセグメントに分ける )
• ビジネス主導の IT イニシアチブ ( ユーザーのモバイル対応、ソーシャル ネットワーキング、イ
ンフラストラクチャの仮想化、クラウド コンピューティングなど ) をセキュアに有効化し、容易
に適応できる
• 総所有コストを削減できる ( 相互接続されていないバラバラのポイント製品ではなく、一元的
な統合セキュリティ プラットフォームをコンピューティング環境全体で使用可能 )
8 ページ
パロアルトネットワークス : ゼロトラスト ネットワーク セキュリティ スタートガイド
結論
境界集中型セキュリティ戦略には、依然として多くの課題があります。問題は、高度化するサイバー
脅威だけではありません。ユーザーのモバイル対応、相互接続の増殖、グローバル化など、テクノロ
ジとビジネス環境が大きく変化したため、
「内部」にあればすべて信頼できるという想定に効力がな
いのです。こうした戦略と、その実装に使用されている従来型のテクノロジには、すでにほとんど有
効性がありません。
最新のサイバー脅威に対する防御態勢を大幅に強化し、機密データの漏洩をより確実に防止したい
のであれば、ゼロトラスト セキュリティ アーキテクチャへの移行を検討する必要があります。革新的
な IT セキュリティ モデルであるゼロトラストは、破綻した信頼の想定を排除し、従来の境界集中型
アーキテクチャの欠陥を是正するために、ゼロトラスト セグメンテーション プラットフォームの使用
を促進して、コンピューティング環境全体と、通常は機密リソースに近接した場所にセキュアな「信頼
境界」を確立します。
ゼロトラスト セグメンテーション プラットフォームは、ゼロトラスト イニシアチブの基盤であるため、
適切なソリューションの選定がきわめて重要になります。この点で、優れた可視性、制御、脅威防御
機能を兼ね備え、データセンターからインターネット ゲートウェイ、支社、モバイル ユーザー、クラ
ウドに至るまで、あらゆる IT ドメインを網羅するパロアルトネットワークスの次世代セキュリティ プ
ラットフォームは、理想的な候補です。
脚注 :
1. 2014 Cyberthreat Defense Report、CyberEdge Group、2014 年 2 月
2. No More Chewy Centers:Introducing the Zero Trust Model Of Information Security、Forrester Research、
2010 年 9 月 14 日
3. Build Security Into Your Network s DNA:The Zero Trust Network Architecture、Forrester Research、
2010 年 11 月 11 日
4. 同上
〒102-0094 千代田区紀尾井町4番3号
泉館紀尾井町3F
電話番号: 03-3511-4050
お問い合わせ先:
[email protected]
www.paloaltonetworks.jp
Copyright ©2014, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks、
Palo Alto Networksロゴ、PAN-OS、App-ID、およびPanoramaは、Palo Alto Networks,
Inc.の商標です。製品の仕様は予告なく変更となる場合があります。パロアルトネット
ワークスは、本書のいかなる不正確な記述についても一切責任を負わず、
また本書
の情報を更新する義務も一切負いません。パロアルトネットワークスは予告なく本書
の変更、修正、移譲、改訂を行う権利を保有します。PAN_WP_ZT_022414