請負業者のリモートアクセスにゼロトラストを選ぶ理由

請負業者との接続性

現代の労働力の接続性の向上により、契約社員は常に成長を続けています。現在、3分の2近く(63%)の企業がリモートワーカーを擁しています。例えばGoogleでは、2018年に初めて契約社員の数が直接雇用の社員の数を上回りました。

リモート契約労働は、意図的にリモートに配慮していない企業も含め、あらゆる規模の企業で広まっています。「この競争が激化する人材環境の中で優位に立つためには、企業はオフィスや都市の枠を超えて考え、柔軟性のあるリモートワークを採用しなければなりません」と、最大のフリーランスサイトUpworkのCEOであるStephane Kasriel氏は述べています。

しかし、大半の企業では、効率的で安全なリモートワークをサポートするためのポリシーや技術的なインフラが不足しています。これはセキュリティリスクにさらされています。また、請負業者、フリーランサー、パートナー、リモート従業員の有効性を阻害しています。

この論文では、リモートの請負業者の作業のためのレガシーVPNに代わる、より安全で管理しやすいソフトウェアで定義された境界線(SDP)のソリューションを検討します。

Forrester社の用語を使うと、SDPソリューションでは、ZTX(Zero Trust eXtended)アプローチを採用しており、これは、「セキュリティチームが難読化技術を用いてデータセキュリティを強化し、過剰なユーザー権限とアクセスに関連するリスクを制限し、分析と自動化によってセキュリティの検出と対応を劇的に改善する方法のための概念的およびアーキテクチャモデル 」です。

VPNの崩壊

リモートの請負業者のネットワークアクセスは、従来のVPNが対処するために設計されたものではないリスクの高いユースケースです。主に、VPN は過剰な信頼を提供します。リモートユーザーが VPN によって認証されると、そのユーザーは信頼されているとみなされ、必要以上にネットワークへのアクセスが許可されます。その結果、ネットワーク・リソースは不必要に可視化され、過度に脆弱で、攻撃の対象となります。

VPNのもう一つの欠点は、運営と管理の複雑さです。多くの場合、リモートの請負業者は、複数のクラウドプロバイダーのインスタンスへのアクセスを数十台、時には数百台提供しなければなりません。これは、すべてのインスタンスに対してVPNの導入、設定、保守を行わなければならないことを意味します。さらに、IT 管理者は、VPN クライアントの設定やトラブルシューティングに貴重な時間を費やしています。

ソフトウェアで定義された境界線(SDP)の導入

SDPソリューションは、ゼロトラスト・ネットワーク・アクセスを実装し、リモートユーザーにVPNに代わる、より安全で柔軟性の高い代替手段を提供します。SDPソリューションは、オンプレミスとクラウドにあるアプリケーションへの正確なアクセスを可能にします。

Gartnerの言葉を借りれば、「ゼロトラスト・ネットワーク・アクセス(ZTNA)は、ソフトウェアで定義された境界線(SDP)としても知られており、アプリケーションまたはアプリケーションのセットの周囲に、アイデンティティとコンテキストベースの論理アクセス境界線を作成します。アプリケーションは発見されないように隠され、アクセスは信頼ブローカーを介して名前のついたエンティティのセットに制限されます。ブローカーは、アクセスを許可する前に、指定された参加者の身元、コンテキスト、ポリシーの遵守を検証します。これにより、アプリケーション資産が公開されていない状態から削除され、攻撃の表面積が大幅に減少します」

リモートの契約社員のコンテキストでは、SDPソリューションは、リモートの請負業者のデバイスごとにカスタマイズされたポリシーを強制することができます。特定のユーザーに許可されていないネットワーク上のリソースは、その個人からは見えなくなります。これにより、攻撃者の潜在的な可能性が大幅に減少します。

VPNからSDPへの切り替えを行う4つの理由

ゼロトラスト・アプローチは、請負業者やフリーランサーの安全なリモートアクセスのための具体的な利点を提供します。

1. リスクの軽減

「絶対に信頼せず、常に検証する」というゼロトラストの義務は、請負業者の場合ほど重要なものではありません。厳密に認証、検証、ログ、監査されたアイデンティティベースのアクセスは、許可されていない資産の分離と隠蔽と組み合わせることで、請負業者に企業リソースへのアクセスを提供するリスクを大幅に低減します。アダプティブ・コントロールにより、デバイスの姿勢チェック、ジオロケーション、およびユーザーの行動の結果としてポリシーを適用することができます。例えば、請負業者のデバイスがロシアから突然接続しようとした場合や、アンチウイルスが最新でない場合、アクセスが制限される可能性があります。

2.アプリケーション固有のアクセス

細かくセキュリティポリシーを定義することで、ネットワークセグメント全体へのアクセスを提供するのではなく、特定のアプリケーションやサービスに請負業者を関連付けることができます。

3.効率的な管理を実現

中央のクラウドベースの管理コンソールにより、アプライアンスの設定や同期を行うことなく、大規模なユーザーグループ、ロール、個人に対して動的な権限を設定することができます。これにより、新規のリモート請負業者へのオンボーディングがVPNと比較してはるかにシンプルになります。管理者は、新しいユーザーの役割に基づいてセキュリティポリシーを割り当て、ユーザーのブラウザからアプリケーションにアクセスするためのリンクを送信したり、SDPクライアントをインストールしたりすることができます。

4. 一貫したエンドユーザー体験の提供

SDPクライアントを使用しても、プラグインやエージェントのないブラウザを使用しても、あらゆるタイプの請負業者に優れたユーザー体験を提供します。SDPクライアントを使用することで、リモート請負業者は、場所に関係なく複数のアプリケーションへの同時接続を維持することができます。一時的な請負業者は、指定されたアプリケーションに安全にアクセスするために、自身の管理されていないデバイスを使用することができます。


「私たちは、すべてのアプリケーションとデータ、そして従業員、請負業者、顧客をカバーするゼロトラスト・ネットワークを一元的に管理しています。当社は急速に成長していますが、このソリューションは、当社の成長に合わせて十分に堅牢で柔軟性があり、新規顧客の導入も簡単で、必要なきめ細かなセキュリティを保証してくれます」

「新しいシステムでは、どのデータセンターにあるかに関係なく、各ユーザーが必要とする特定のアプリケーションにのみアクセスできます」

「Proofpoint Meta SDP ソリューションは、導入が非常に簡単で、以前の VPN ソリューションよりも管理がはるかに簡単でした。さらに重要なことは、従業員が喜んで使用していることです」


SDPへの5つのステップ

SDP ソリューションを設定して、既存のリモートアクセス VPN を置き換えるには、5 つの重要な手順が必要です。

セットアップのプロセスは、まず組織のアクセス要件を分析することから始まります (ステップ 1 と 2)。次に、SDP 管理コンソール内にこれらのポリシーを実装し、ユーザーとリソースをオンボーディングします (ステップ 3~5)。

1. 対象となるアプリケーションを指定する

これまで VPN を使用していた場合、VLAN または IP の範囲にネットワークアクセスを提供するのが一般的でしたが、SDP を使用して、ユーザーのニーズに基づいたきめ細かなアクセスを提供することを目標としています。したがって、最初のステップは、各ユーザーグループが選択的に利用できるようにする、特定のエンタープライズアプリケーションとサービスのリストを作成することです。完全修飾ドメイン名(FQDN)、ローカルドメイン名、または IP アドレスとポートを使用して、公開するアプリケーションのリストを特定することから始めます。

2.ユーザーをオンボードしてアクセスを定義する

必要な接続性と認証方法を含め、各アプリケーション/リソースにアクセスするリモートの請負業者を定義します。アクセス要件に基づいてユーザーをグループに分類します(例えば、研究開発に従事する請負業者は Jira にアクセスできますが、セールス/マーケティングのファイルサーバーにはアクセスできません)。

また、サービスやアプリケーションごとに、ブラウザからのアクセスに必要なアクセスタイプ(エージェントベースのアクセスやクライアントレスなど)を定義します。次に、ユーザーデバイスに対して実施したい認証方法(ユーザー名/パスワード、2FA、IdPを使用したシングルサインオンなど)を定義します。

3. SDP コネクタの設定

軽量のコネクタは、既存のサーバーとSDPクラウドの間に安全な認証済みインターフェイスを提供します。コネクタを設定すると、ユーザーはSDPを介してアプリケーションにアクセスできるようになります。SDPコネクタは、ローカルのDMZやAWSセキュリティグループの変更など、既存のトポロジーに変更を加える必要がないことに注意してください。

4.SDPポリシーの設定

この段階では、SDP 管理コンソールを使用して、前の手順で計画したアクセスポリシーを実装します。以下に、Proofpoint Meta 管理コンソールの例を示します。ここでは、管理者は IPv4 MAC アドレスではなく、グループとユーザー ID を使用してアクセスポリシーを定義します。すべてのアクセスはホワイトリスト化され、特定のプロトコルを含め、企業リソースに対してポリシーを明示的に定義する必要があります。

5. アラートと監査手順の定義

最後に、CISO、CIO、その他のIT/セキュリティ管理者は、リモートユーザーの活動を簡単に追跡し、監査できるようにしたいと考えています。SDPは、システム全体のアクセスとネットワークアクティビティを追跡するための一枚のガラスを提供します。

内蔵のアクセスログとアラートにより、ネットワークトラフィックやSDPシステム内でのアクティビティ、パスワードのリセットや証明書の紛失など、さまざまなセキュリティイベントを含むデータを監視することができます。

さようなら、VPN。こんにちは、SDP。

ソフトウェアで定義された境界線ソリューションとゼロトラスト・ネットワーク・アクセスは、リモートの請負業者の作業の課題を解決し、データの分類、職務の分離、コミュニケーション、ジョブチェンジ、イベントの特定、リスクの軽減など、さまざまな物流上の問題に効率的に対処するのに役立ちます。

Gartner社の推奨事項は、「リスクの高いユースケースでは従来の VPN ベースのアクセスを段階的に廃止し、ZTNA (Zero Trust Network Access) の段階的導入を開始することです。これにより、広く展開された VPN クライアントをサポートする必要性が減り、クライアントレスの ID やデバイスを意識したアクセスを導入することができます」

コメント

タイトルとURLをコピーしました