レガシーVPNおよびNACソリューションからエンドポイント向け次世代ネットワーク・セキュリティ・クライアントへの置き換え
毎日何千人ものナレッジワーカーがモバイルワークフォースに参入する中、世界中の企業がオペレーションの俊敏性、生産性の向上、コラボレーションの変革というメリットを享受しています。モバイルデバイスのユビキタス化により、自宅や外出先など、あらゆる場所からモバイルデバイスを接続して企業ネットワークにアクセスできるようになりました。
リモートワーカーによるビジネス上のメリットは数え切れないほどたくさんあることは間違いありませんが、リモートワーカーには重大なセキュリティリスクも伴います。従業員がラップトップやスマートフォンを持って企業キャンパスの物理的な境界を離れるたびに、ネットワークセキュリティ境界の保護から離れることになります。ローミングする従業員のセキュリティを確保することは、従業員と企業ネットワークの両方を侵害のリスクから守るために最も重要です。
組織はリスクを明確に認識し、許可されたユーザーとデバイスのみがネットワークに接続できるようにすることで、リスクを軽減しています。適切なアクセスコントロールとセキュリティポリシーを適用することで、一般的な企業ネットワークの境界外からのローミングワーカーへのアクセスを確保します。IT担当者は通常、企業ネットワークへのリモートアクセス用にモバイルワーカーに暗号化されたセキュアな接続をプロビジョニングするための要として、仮想プライベートネットワーク(VPN)を利用しています。
従来のVPNは、モバイルワーカーが、信頼されていない個人または公共のネットワーク経由で、ノートパソコン、タブレット、携帯電話から、あたかもこれらのデバイスが組織の中央ネットワークに直接接続されているかのように、専有的な企業データにアクセスすることを可能にします。ネットワークアクセス制御(NAC)ソリューション(オプションで企業境界内に実装)は、ユーザーがオフィスにいるときに企業ネットワークから利用可能な専有リソースを取得できるのは、事前に定義されたセキュリティポリシーに準拠した認証済みモバイルデバイスのみです。
すなわち、前者はモバイルワーカーに企業ネットワークへのリモートアクセス接続を提供し、後者は承認され認証されたデバイスからのアクセス制御をオフィスにいるときだけ提供します。とはいえ、モバイル従業員や企業ネットワークに対して、現在流行している最新のエクスプロイトに対する高度な保護を提供する能力という、組織が今日必要としている点では、どちらも不十分です。
モバイルユーザーを最新のエクスプロイトから守るにはレガシーソリューションでは不十分
今日、従来のVPNやNACソリューションは、確実なセキュリティを提供するには不十分です。これらのソリューションは、データとユーザーがあらゆる場所に存在する新しい世界を想定して設計されたものではありません。エンタープライズデータとアプリケーションがクラウドから提供されるようになったため、脅威の対象領域が大幅に拡大し、レガシーソリューションでは増大するセキュリティリスクに対して適切な保護を提供することが難しくなっています。
VPNはリモートアクセスのみを提供し、NACはオフィス内のコンプライアンスチェックとアクセス制御保護をある程度提供しますが、残念ながら、今日の高度な脅威アクターが採用する高度な攻撃戦術(高度な持続的脅威、SaaS脅威、スピアフィッシング、ID窃盗などの戦術)からリモートワーカーを保護することはできません。IT担当者にとって、従来のソリューションでは、セキュアVPN経由で伝送されるアプリケーション・トラフィックを深く可視化できないために生じるリモートアクセスのブラインドスポットを取り除くことができません。セキュリティ面で失敗するだけでなく、VPN付きのNACソリューションをデプロイしなければならないだけで、コスト、複雑さ、管理の手間が増えます。
エンドポイント向け次世代ネットワーク・セキュリティ・クライアントのメリット
エンドポイント向けの次世代ネットワーク・セキュリティ・クライアントは、最新のエクスプロイトから保護するため、さらに高度な機能を備えています:
完全な交通の可視性を提供します: インターネットゲートウェイとしてデプロイされた組織の次世代ファイアウォール(NGFW)を使用して、境界、非武装地帯(DMZ)、クラウドのいずれにおいてもすべてのトラフィックを検査することで、モバイルユーザーを保護します。
高度な脅威を阻止モバイルユーザーのトラフィックから新しい、既知の、高度に標的化されたマルウェアを特定することで、侵害されたエンドポイントから高度に回避的な高度脅威が企業ネットワークに侵入するのを防御します。リモートアクセスクライアントは、次世代ファイアウォールのセキュリティ保護をリモートユーザーにも拡張し、すべてのトラフィックを自動脅威検知・防御サービスに通してマルウェアを検査します。
SaaSアプリケーションへのアクセスを制御します:認可されたSaaSアプリケーションと許容されたSaaSアプリケーションのポリシーを実施し、認可されていないアプリケーションをブロックすることで、SaaSアプリケーションへの安全なアクセスを提供します。
ゼロ・トラスト実装:信頼性の高いユーザー識別や多要素認証など、ゼロ・トラストの原則を実装し、機密情報へのアクセスは知る必要がある場合にのみ許可されます。
サードパーティへのセキュアなアプリレベルのアクセスを可能にします:管理されていないBYODデバイスから完全なSSL VPNをセットアップすることなく、Webインタフェースを介してクライアントレスSSL VPNを有効にするだけで、パートナー、ビジネス関係者、請負業者にアプリケーションへのセキュアなアクセスを提供します。
次の表は、エンドポイント向け次世代ネットワーク・セキュリティ・クライアント、レガシーVPN、レガシーNACソリューションの主な利点を比較したものです。
| 主なメリット | エンドポイント向け次世代ネットワーク セキュリティ クライアント | レガシーVPN | レガシーNAC |
リモートアクセスの提供 |
✔ |
✔ |
X |
安全な接続性を提供 |
✔ |
✔ |
X |
インターネットやSaaSの脅威防御 |
✔ |
X |
X |
個人情報の盗難防止 |
✔ |
X |
X |
内部ネットワークの保護 |
✔ |
X |
✔ |
ゼロ・トラストの実装 |
✔ |
X |
X |
ユーザー、デバイス、コンテンツ、アプリケーションに基づくアクセス・ポリシーを適用し、完全な可視化ときめ細かな制御を実現します。 |
✔ |
X |
X |
Palo Alto Networksが、従来のネットワーク境界の外にあるエンドポイント向けの次世代ネットワークセキュリティクライアントで、モバイルユーザーやローミングユーザーをどのように保護しているかについては、GlobalProtectのデータシートをご覧ください。
