エンドポイントセキュリティを向上させるためにゼロトラストを使用する理由

ゼロトラストは、あらゆる規模の組織で実施される哲学として急速に 人気を集めています 。人やデバイスを信頼しないという考えはやや厳しく聞こえるかもしれないので、「常に検証する」という概念がよく適用されます。ただし、ソースを検証できない時は必然的に発生するため、「できるところは検証し、できないところはブロックする」というマントラが当てはまります。

ゼロトラストは、DAASアプローチを使用して最も貴重な資産(データ、アプリケーション、資産、サービス)を保護するという概念として始まり、そのほとんどがデータセンターまたはクラウドに存在していましたが、最近では、データやアプリケーションを保持し、資産であり、さまざまなサービスを使用するエンドポイントがますます含まれるようになりました。

とはいえ、エンドポイントの課題は、エンドポイントが常に安全なエリアに安全にロックされているとは限らず、移動できることです。多くの場合、エンドポイントは、ホーム ネットワークなど、潜在的に非常に危険な環境に移動します。私たちは一般的に家で非常に安全だと感じていますが、誰が出入りするかを追跡するドアエントリーシステムはありません。私たちは、ゲーム機、CCTV、音楽システム、その他の保護されていないワークステーションとネットワークとワークスペースを共有し、その結果、多くの潜在的な脅威を共有しています。

理想的には、在宅勤務者は仕事用のラップトップを施錠された部屋に置き、安全なVPNを介して接続された別のブロードバンド接続で独自のネットワークに有線接続します。しかし、ご存知のとおり、これは一般的にはそうではないため、 エンドポイントセキュリティ のゼロトラストの概念は、誰もが信じているよりも関連性があります。

ここで疑問が生じます: キャンパス内だけでなく、膨大な数の(そして増え続ける)リモートワーカーのために、エンドポイントセキュリティのためにゼロトラストをどのように実装し、適用できるのでしょうか?

まず、潜在的な脅威が何であるかを理解する必要があります。

1. ホームネットワーク – これは、2台または3台のPCから、ITとOTの幅広い組み合わせに成長しました。ネットワーク上のデバイスの数は約 20 台に増加し、それぞれがリモート サービスに独自の接続を持ちます。高品質のファイアウォールを備えた家庭はほとんどなく、クラウドベースの次世代ファイアウォール サービスを提供するサービス プロバイダーはほとんどありません。同様に、ホームユーザーが利用できるエンドポイントセキュリティはレガシーであり、多くの場合、重く、遅く、多くの人がエンドポイントをオフにしたり、そもそもインストールしなかったりします。
2. 公衆 WiFi – ホテルからバスまで、私たちが行くほぼすべての場所で WiFi サービスが提供されるようになりました。偽のアクセスポイントや中間者(MitM)攻撃の可能性は計り知れません。
3. 企業ネットワークへの接続 – 企業ネットワーク自体が他の環境のために脅威になるべきではありませんが、私たちは脅威になります。私たちのラップトップが感染している可能性があり、企業ネットワークに直接またはリモートで接続するとすぐに、マルウェアを自分の組織に仕掛けることができます。

では、ゼロトラストアプローチに準拠するために検証またはブロックをどのように使用できるのでしょうか?以下に留意すべき点がいくつかあります。

1. 機械と人が言うとおりであることを確認します。多要素認証 (MFA) を使用して、ユーザーとデバイスを確認します。アイデンティティはネットワークの究極の境界として説明されることが多く、これはある程度真実です。ほとんどのシステムでは、 セキュリティをネットワークから切り離 すことが最善であり、ID も例外ではなく、すべての環境に完全に移植可能になります。
2. リモートでは、VDIまたはVPNを介してすべてのユーザーを接続します。
3. 仮想デスクトップ またはリモートデスクトップは、ほとんどのユーザーに安全でシンプルな接続を提供できます。アプリケーションはエンドポイント上に存在しないため、マルウェアが企業ネットワークに伝播することは困難です。ただし、より広範なシステムにアクセスする脅威を阻止するために、バックエンド環境が適切にセグメント化されていることを確認することが重要です。
4. VPN は、企業ネットワークを複製する安全な接続を提供するために組織で広く使用されています。ほとんどのユーザーは、接続を許可する前に、エンドポイントに最新のパッチとセキュリティ署名があることを確認します。VPN はすべてをホーム ネットワークにバックホールする必要がある場合、パフォーマンスの問題を引き起こす可能性があります。これを解決するために、ローカル クラウド アクセスを使用して安全なリモート接続を提供する Secure Access Service Edge (SASE) と呼ばれる新しいクラスのシステムが登場しました。
7. すべてのエンドポイントに、次世代のエンドポイント保護プラットフォーム (EPP) とエンドポイント検出および対応 (EDR) ソリューションがインストールされていることを確認します。最新の軽量システムは、脅威分析と行動分析を組み合わせて、既知および未知のマルウェアを特定して阻止します。
8. エンドポイントのセグメンテーションを適用します。ゼロトラストの重要な信条の1つはマイクロセグメンテーションであり、これはエンドポイントにも同様に当てはまります。エンドポイントのマイクロセグメンテーションは、必要なアプリケーションのみを許可することで、ピアツーピアの脅威の伝播を阻止します。

これらのシステムを組み合わせることで、エンドポイントとキャンパス環境またはリモート環境の他のユーザーの両方を保護する必要があります。MFAとVPNはすべて検証を目的としていますが、EPPとマイクロセグメンテーションの組み合わせにより脅威を阻止できます。ユーザーが自宅にいる間にマルウェアを入手した場合、何週間も何もせずに座っている可能性があります。何もしない場合、検出は非常に困難です。ただし、デバイスが企業環境に接続されると、マルウェアは、保護されていない、またはパッチが適用されていないシステムを探して、他のホストまたはエンドポイントに移動しようとする可能性があります。

マルウェアが発信元のシステムから逃げ出し、逃亡したら、封 じ込めが鍵となります。最高のエンドポイントセキュリティシステムでさえ、脅威を検出するのに数分かかる場合があり、この間、マルウェアは広範囲に移動する可能性があります。

Illumio Edgeのようなエンドポイントセグメンテーションを使用すると、システム間の通信にゼロトラストホワイトリストルールを適用し、許可されたアプリケーションとシステムのみが通信できるようにすることで、マルウェアの大規模な伝播を防ぎます。これには、セキュリティインフラストラクチャの残りの部分が攻撃を特定して修復する間、あらゆる脅威が含まれます。

イルミオエッジの仕組みの詳細については、以下をご覧ください。

• 主な機能の詳細
• このアーキテクチャの概要を確認してください
• このデータシートをダウンロード
• このデモビデオを見る