課題

企業を狙ったサイバー攻撃が相次いで成功しています。従来のような境界中心のセキュリティ戦略ではもはや効果がないことは極めて明白です。リスクが高いネットワーク境界を通過するユーザおよびアプリケーション トラフィックを十分に監視、制御、保護できないうえ、組織のネットワーク内は信頼されているはずであるという時代遅れの思い込みがあるからです。

ゼロトラスト アーキテクチャ アプローチは、「信頼しないで常に検証する」ことを指針に掲げ、こうした課題に対処するためにForrester Research社によって初めて提唱されました。ゼロトラストでは、ユーザー、デバイス、アプリケーション、パケットなど、いずれのエンティティも無条件に信頼されることはありません。エンティティが何であるか、企業ネットワークとどのような関係にあるかは関係ありません。ネットワークのさまざまなセグメントを効果的に区分するゼロトラスト境界を確立することで、不正なアプリケーションやユーザーから重要な知的財産を保護し、脆弱なシステムの悪用を軽減できるほか、マルウェアの横方向の移動をネットワーク全体で防止することもできます。

仮想ローカル エリア ネットワーク(VLAN)を使用してネットワークをセグメント化している組織もありますが、VLANはネットワーク トラフィックを分離するだけです。権限がある情報を制御することはできません。また、VLANだけでは、トラフィックに脅威が潜んでいないかどうかを検査することはできません。真のゼロトラスト ネットワーク セグメンテーションを実現するには、アプリケーション、ユーザー、コンテンツを把握できるエンタープライズ セキュリティ プラットフォームが必要です。

ソリューション

パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームは、次のような重要なゼロトラストの概念に対処します。

  • セキュアなアクセス - GlobalProtectは、ユーザーの場所(リモート オフィス、ブランチ オフィス、ローカル ネットワーク、インターネットなど)に関係なく、すべての従業員、パートナー、顧客、ゲストに一貫したセキュアなIPsecおよびSSL VPN接続を提供します。アプリケーション、ユーザー、コンテンツ、デバイス、デバイス状態に基づいて、機密性の高いアプリケーションやデータにアクセスできるユーザーやデバイスを決定するためのポリシーを定義することができます。
  • 全トラフィックの検査 - App-IDは、ポートとプロトコル、ポート ホッピングや暗号化などの回避手法に関係なく、すべてのトラフィックを的確に識別して分類します。これにより、マルウェアが検出から逃れるために使用する手段がなくなり、アプリケーション、関連するコンテンツ、脅威を完全に把握することができます。最小権限アクセス制御 - App-ID、User-ID、およびContent-IDを組み合わせると、使用している具体的なアプリケーションや個々の機能、ユーザーIDやグループID、アクセスしているデータの具体的な種類や部分(クレジットカード番号や社会保障番号)など、ビジネス関連の広範な属性に基づいてリソースとのやり取りを制御できるポジティブ コントロール モデルが実現します。他のソリューションはポートおよびプロトコル レベルの分類に限定されているせいで、大量のトラフィックがすり抜けてしまいます。それに比べて、このソリューションのアクセス制御は非常にきめ細やかなので、適切なユーザーに適切なアプリケーションの使用を安全に許可できると同時に、不要なトラフィック、不正なトラフィック、有害な可能性があるトラフィックがネットワークにアクセスするのを自動的に防ぐことができます。
  • 高度な脅威防御 - アンチウイルス/マルウェア、侵入防御、高度な脅威防御テクノロジ(Content-IDおよびWildFire)を組み合わせると、モバイル デバイス上の脅威を含め、既知の脅威と未知の脅威両方からの包括的な保護が実現します。さらに、高度に統合されたクローズドループ型の防御のサポートにより、脅威防御フレームワーク内のインライン処理デバイスやその他のコンポーネントが自動的に更新され、WildFireなどの脅威インテリジェンスのソースから得た知見が反映されます。

ITセキュリティ チームはまず、VirtualWire導入モードを利用して、運用を中断することなく、ネットワーク内の1つ以上の場所にパロアルトネットワークスのデバイスを導入します。次に、リッスン専用モードに設定して、特定のユーザーが特定のアプリケーションやデータ リソースをいつ、どこで、どの程度使用しているかなど、ネットワーク全体のトランザクション フローを詳細に把握します。その後、その詳細情報に基づいて、適切な場所にデバイスを徐々に導入して、識別された信頼ゾーンの内部信頼境界を確立し、適切な実施および検査ポリシーを設定して、それぞれの信頼境界を効果的に「オンライン」に移行します。

適切なゼロトラスト アーキテクチャをネットワークに使用することで、悪意のあるアクティビティの状況を極めて効果的に認識でき、機密データの漏洩を防ぎ、コンプライアンス規制に容易に準拠することができます。

関連コンテンツ


 関連コンテンツ

WildFire™ データシート

パロアルトネットワークス® WildFire は、ゼロデイ エクスプロイトや高度な回 避技術を駆使する未知のマルウェアに対応する、業界随一の分析および防御 エンジンです。このサービスは、動的解析と静的解析、革新的な機械学習、および画期的なベア メタル解析環境を組み合わせた独自の複数手法を採用 することで、最も巧妙に回避するような脅威でさえ検出および防御できます。

  • 0
  • 134

アドバンスト エンドポイント プロテクション

パロアルトネットワークスのアドバンストエンドポイント プロテクションは、識別から防御への全面的なパラダイム シフトです。脆弱性の悪用とマルウェアに対しこの機能が発揮する包括的な防御は、攻撃の識別を目指したものではなく、マルウェアがその目的を達成する前に、マルウェアからネットワークを防御することを目指しています。

  • 0
  • 73

新日鉄住金ソリューションズ株式会社

新日鉄住金ソリューションズの提供するマネージド・クラウドサービス「absonne Enterprise Cloud Service」は、企業の基幹業務システムを対象としたクラウドサービスとして開発・提供されており、可用性、性能、セキュリティ、サービスの柔軟性等のサービス特性を高いレベルで実現しています。インターネットにおける脅威が高度化・複雑化し、セキュリティリスクがますます高まる中、クラウドサービスの可用性や高度なセキュリティ対策レベルを維持していくため、同サービスの管理機能との互換性を持つファイアウォールが求められ、パロアルトネットワークスの次世代ファイアウォールの導入を決定しました。

  • 0
  • 40

従来のリモート アクセスVPNを GlobalProtectで交換

リモートアクセスVPN 高度な脅威防御 URLフィルタリング 内部ネットワーク セグメンテーション パブリック クラウド/SaaSへのアクセスを確保 BYOD

  • 0
  • 29

GlobalProtect Deployment Guide

Read how organizations can use Palo Alto Networks GlobalProtect to provide a secure environment for the increasingly mobile workforce.

  • 0
  • 470

Nexon Asia Pacific

Nexon Asia Pacific is a Managed Security Service Provider (MSSP) that delivers infrastructure and software to provide secure connectivity and productivity applications, unified communications, business intelligence and continuity, and cloud services. Nexon’s 120 employees support small to medium to enterprise-sized customers in the retail, manufacturing, telephony, insurance, hospitality, health, and not-for-profit industries in Australia, Asia Pacific, the United States, and Europe.

  • 0
  • 15