ゼロトラストネットワークアクセスを実現する5 つのステップ：アプリケーションの特定

原文のブログはこちらからご覧いただけます。

ゼロトラストのサイバーセキュリティフレームワークの導入は相当な規模の事業になります。それでも、2023 年には多くの企業や政府機関がゼロトラストの取り組みを進めており、ガートナーはゼロトラストがマーケティング上の誇大広告の域を出て、現実のものになりつつあると述べています。さらにガートナーは、どのような規模の組織でも、ZTNA（ゼロトラストネットワークアクセス）とネットワークマイクロセグメンテーションの 2 つの領域からゼロトラストの導入を開始できると示唆しています。

そして本記事も、ゼロトラストの取り組みの支援を目的としています。

ゼロトラスト導入へのステップ

この BlackBerry^® ブログシリーズのパート 1 では組織の実践的な ZTNA のユースケースを作成する方法を説明し、パート 2 では組織が ZTNA のユーザーペルソナを特定する方法を説明しました。このパート 3 では、ZTNA アーキテクチャで利用できる各種のアプリケーションを定義します。

ゼロトラストネットワークアクセス：アプリケーションの特定

1 つ以上のアプリケーションとサービスを特定し、インベントリを作成し、段階的に ZTNA の傘下に入れていくことで、ゼロトラストプロジェクトの導入ペースを管理しやすくなります。この記事では、いくつかの一般的なアプリケーションに焦点を当てますが、実際には、その選択や優先順位付けは、組織に固有のユースケースやユーザーエクスペリエンス、セキュリティ目標から決定されるべきです。また、アプリケーションの選択によって、クイックウィンの即時性、投資利益率、および明確な ZTNA ロードマップの編成が決まる可能性もあります。

SaaS アプリケーション

ZTNA の一般的なユースケースの 1 つは、Okta® や Ping® といった ID プロバイダと連携した Google Workspace™ や Salesforce® のような SaaS（サービスとしてのソフトウェア）アプリケーションへの条件付きアクセスであり、VPN（仮想プライベートネットワーク）ソリューションや、オンプレミスのネットワークやセキュリティアプライアンスを経由する SaaS トラフィックのバックホールを必要としません。

条件付きアクセスを導入するには、まずシステムで、共有もしくは専用の IP アドレスのどちらが使用されているかを確認する必要があります。専用の IP アドレス、定義済みの IP アドレス範囲、またはカスタムの IP アドレスを提供する柔軟性により、サイバーレジリエンスを大幅に向上させることができます。さらに、SaaS アプリケーションアクセスを管理するためのワンクリック設定を、プライベートアクセスを設定して制御する機能と組み合わせることで、ゼロトラストプロジェクトのロールアウトをさらに合理化できます。

エンタープライズアプリケーション：データセンター

従来型の VPN に替えて BlackBerry の CylanceEDGE^™ (CylanceGATEWAY)のようなゼロトラストソリューションを使用すれば、オンプレミスのアプリケーションへの安全なリモートプライベートアクセスに対するセグメント化されたアクセス制御を実現することで、ユーザーがファイアウォールの背後にあるコンテンツサーバーやアプリケーションサーバーとやり取りできるようになります。ネットワークの可視化に加えて、安全なプライベートアクセスを提供することで、侵入者や悪意ある内部関係者による不正な情報アクセスを防ぐことができます。さらに、オンプレミスのデータセンターへのアクセスが安全であれば、ボットやその他のマルウェアによるコマンドアンドコントロールサーバーへの接続を阻止できます。

エンタープライズアプリケーション：プライベートクラウド

企業がワークロードをオンプレミスから Amazon Web Services や Microsoft Azure® などのプライベートクラウドシステムに移行するなか、ゼロトラスト変革の成功には、ハイパースケーラーのデータセンターでホストされているプライベートアプリへの安全なアクセスが不可欠となっています。エンタープライズ、SaaS、プライベートアプリケーションへの安全なアクセスを同時かつシームレスにサポートできる ZTNA ソリューションにより、摩擦の軽減、保護の強化、生産性の向上が実現します。

エンタープライズアプリケーション：モバイルデバイス

モバイルデバイスからアプリケーションへの、ZTNA 環境内での安全なプライベートアクセスによっても、ユーザーエクスペリエンスを大幅に向上させることができます。モバイルデバイスからのプライベートアクセスは、デバイス全体に安全なトンネルを確立するか、アプリごとのトンネルを構成して特定のアプリケーションからの安全なアクセスを可能にすることの、いずれかまたはその両方を行うことよって実現できます。当面では、従来の VPN ソリューションのモバイルへの再利用では、SaaS アプリケーションの迅速な採用と、ハイパースケーラープロバイダへのワークロードの移行に十分に対応できないことが実証されています。すべてのエンドポイントに対する一貫したアクセス制御を維持しながら安全なアクセスをサポートするには、トンネル（フル、スプリット、アプリごと）を選択できるZTNA ソリューションが理想的です。

アプリとしてのブラウザー

プライベートアプリ、パブリックアプリ、SaaS アプリへのブラウザーアクセスも、ゼロトラストフレームワーク内に実装できるもう 1 つのアプリケーションアクセスタイプです。企業ポリシーとして Safari® や Chrome™ など特定のブラウザーからのアクセスを制限することが必要な場合がありますが、アプリごとのトンネルを使用すれば、このような制限を実現する設定をデバイスに加えることが可能です。Windows® デスクトップや macOS® のエンドポイントで同様の結果を得られる ZTNA ソリューションがあれば、スタンドアロンのブラウザーベースのソリューションは必要なくなります。

今後の展開

この記事に続くパート 4 では、ユーザーアプリケーションのマイクロセグメンテーションに使用するアクセス制御リストポリシーについて説明します。これにより、ネットワークアーキテクチャを変革および最新化しながらネットワークセキュリティを強化できます。

関連記事

• Five Steps to Zero Trust Network Access: Creating Your First Use Cases, Part 1（ゼロトラストネットワークアクセスを実現する5つのステップ：最初のユースケースの作成）
• Five Steps to Zero Trust Network Access: How to Identify User Personas for Zero Trust Network Access, Part 2（ゼロトラストネットワークアクセスを実現する5つのステップ：ユーザーペルソナを特定する方法）
• なぜ ZTNA なのか、なぜ今なのか―　ゼロトラスト・ネットワーク・アクセス（ZTNA）によるネットワークセキュリティの変革

• 製品のお問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
  
• AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
  
• BlackBerry Japan：https://www.blackberry.com/ja/jp
  
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
  
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
  
• LinkedIn: https://www.linkedin.com/company/blackberry/
  
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos