課題

企業を狙ったサイバー攻撃が相次いで成功しています。従来のような境界中心のセキュリティ戦略ではもはや効果がないことは極めて明白です。リスクが高いネットワーク境界を通過するユーザおよびアプリケーション トラフィックを十分に監視、制御、保護できないうえ、組織のネットワーク内は信頼されているはずであるという時代遅れの思い込みがあるからです。

ゼロトラスト アーキテクチャ アプローチは、「信頼しないで常に検証する」ことを指針に掲げ、こうした課題に対処するためにForrester Research社によって初めて提唱されました。ゼロトラストでは、ユーザー、デバイス、アプリケーション、パケットなど、いずれのエンティティも無条件に信頼されることはありません。エンティティが何であるか、企業ネットワークとどのような関係にあるかは関係ありません。ネットワークのさまざまなセグメントを効果的に区分するゼロトラスト境界を確立することで、不正なアプリケーションやユーザーから重要な知的財産を保護し、脆弱なシステムの悪用を軽減できるほか、マルウェアの横方向の移動をネットワーク全体で防止することもできます。

仮想ローカル エリア ネットワーク(VLAN)を使用してネットワークをセグメント化している組織もありますが、VLANはネットワーク トラフィックを分離するだけです。権限がある情報を制御することはできません。また、VLANだけでは、トラフィックに脅威が潜んでいないかどうかを検査することはできません。真のゼロトラスト ネットワーク セグメンテーションを実現するには、アプリケーション、ユーザー、コンテンツを把握できるエンタープライズ セキュリティ プラットフォームが必要です。

ソリューション

パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームは、次のような重要なゼロトラストの概念に対処します。

  • セキュアなアクセス - GlobalProtectは、ユーザーの場所(リモート オフィス、ブランチ オフィス、ローカル ネットワーク、インターネットなど)に関係なく、すべての従業員、パートナー、顧客、ゲストに一貫したセキュアなIPsecおよびSSL VPN接続を提供します。アプリケーション、ユーザー、コンテンツ、デバイス、デバイス状態に基づいて、機密性の高いアプリケーションやデータにアクセスできるユーザーやデバイスを決定するためのポリシーを定義することができます。
  • 全トラフィックの検査 - App-IDは、ポートとプロトコル、ポート ホッピングや暗号化などの回避手法に関係なく、すべてのトラフィックを的確に識別して分類します。これにより、マルウェアが検出から逃れるために使用する手段がなくなり、アプリケーション、関連するコンテンツ、脅威を完全に把握することができます。最小権限アクセス制御 - App-ID、User-ID、およびContent-IDを組み合わせると、使用している具体的なアプリケーションや個々の機能、ユーザーIDやグループID、アクセスしているデータの具体的な種類や部分(クレジットカード番号や社会保障番号)など、ビジネス関連の広範な属性に基づいてリソースとのやり取りを制御できるポジティブ コントロール モデルが実現します。他のソリューションはポートおよびプロトコル レベルの分類に限定されているせいで、大量のトラフィックがすり抜けてしまいます。それに比べて、このソリューションのアクセス制御は非常にきめ細やかなので、適切なユーザーに適切なアプリケーションの使用を安全に許可できると同時に、不要なトラフィック、不正なトラフィック、有害な可能性があるトラフィックがネットワークにアクセスするのを自動的に防ぐことができます。
  • 高度な脅威防御 - アンチウイルス/マルウェア、侵入防御、高度な脅威防御テクノロジ(Content-IDおよびWildFire)を組み合わせると、モバイル デバイス上の脅威を含め、既知の脅威と未知の脅威両方からの包括的な保護が実現します。さらに、高度に統合されたクローズドループ型の防御のサポートにより、脅威防御フレームワーク内のインライン処理デバイスやその他のコンポーネントが自動的に更新され、WildFireなどの脅威インテリジェンスのソースから得た知見が反映されます。

ITセキュリティ チームはまず、VirtualWire導入モードを利用して、運用を中断することなく、ネットワーク内の1つ以上の場所にパロアルトネットワークスのデバイスを導入します。次に、リッスン専用モードに設定して、特定のユーザーが特定のアプリケーションやデータ リソースをいつ、どこで、どの程度使用しているかなど、ネットワーク全体のトランザクション フローを詳細に把握します。その後、その詳細情報に基づいて、適切な場所にデバイスを徐々に導入して、識別された信頼ゾーンの内部信頼境界を確立し、適切な実施および検査ポリシーを設定して、それぞれの信頼境界を効果的に「オンライン」に移行します。

適切なゼロトラスト アーキテクチャをネットワークに使用することで、悪意のあるアクティビティの状況を極めて効果的に認識でき、機密データの漏洩を防ぎ、コンプライアンス規制に容易に準拠することができます。

関連コンテンツ


 

WildFire® データシート

パロアルトネットワークス® WildFire は、ゼロデイ エクスプロイトや高度な回 避技術を駆使する未知のマルウェアに対応する、業界随一の分析および防御 エンジンです。このサービスは、動的解析と静的解析、革新的な機械学習、および画期的なベア メタル解析環境を組み合わせた独自の複数手法を採用 することで、最も巧妙に回避するような脅威でさえ検出および防御できます。

  • 0
  • 1363

従来のリモート アクセスVPNを GlobalProtectで交換

リモートアクセスVPN 高度な脅威防御 URLフィルタリング 内部ネットワーク セグメンテーション パブリック クラウド/SaaSへのアクセスを確保 BYOD

  • 0
  • 642

GlobalProtect導入ガイド

各組織がどのようにパロアルトネットワークスGlobalProtectを使用して、増大するモバイル ワーカーに安全な環境を提供しているのかをご覧ください。

  • 0
  • 843

Android アドウェアの新しい傾向: Android のプラグインフレームワークの悪用

正当なモバイルアプリが広告用 SDK やほかのアプリのプロモーションを組み込むのはよくあることです。広告を表示し、ほかのアプリのプロモーションすることで、正当なアプリの開発者は収入を得ているからです。しかしながら、最近モバイルアプリコミュニティにおいて警戒すべき傾向が観測されるようになってきました。すなわち、Google Play ストアのアドウェア プログラムが Android 上でサードパーティの DroidPlugin フレームワーク を悪用し、より攻撃的になってきているという傾向です。

  • 0
  • 567

学校法人東洋大学

東洋大学は2017年3月、職員が利用する事務系システムのVDIクライアントに パロアルトネットワークスの次世代エンドポイントセキュリティ「Traps」を導入した。 情報漏えい対策の強化を目指すとともに、クライアントの運用管理コスト削減を目的に導入したという。 同大学では2013年からインターネットゲートウェイとしてパロアルトネットワークスの次世代ファイアウォール「PA-5020」も稼働させており、従来から利用するアンチウイルスと今回のTrapsによって、 あらゆる脅威から防御できるセキュリティ対策を実現させた。

  • 0
  • 154

セキュリティ対応強化に取り組むユニゾン・キャピタル 国内外全拠点にパロアルトネットワークスのTrapsを導入

ユニゾン・キャピタルは2016年、日本、韓国、シンガポールにあるグループ会社全体の社内ネットワークを統合した。この際に各国金融監督官庁の情報セキュリティガイドラインを 遵守する必要があり、ガイドラインをもとにセキュリティ診断を実施。そこでエンドポイントセキュリティの課題が指摘されたことから、アンチウイルスソフトウェアを補完する"最終保険" としてのソリューションの導入を検討。複数の製品を比較検討した結果、パロアルトネットワークスの「Traps」を採用した。

  • 0
  • 130