.png)
ゼロトラストがエンドポイントのセキュリティを向上させる理由
ゼロトラストは急速に進んでいます 人気を博す あらゆる規模の組織で実践されている理念として人やデバイスを信頼しないという考えは、いくぶん厳しいように思えるかもしれません。そのため、「常に検証する」という概念がよく使われています。ただし、ソースを検証できない場合が必ずあるため、「できるところは検証して、できないところはブロックする」というモットーが当てはまります。
ゼロトラストは、最も貴重な資産(データ、アプリケーション、資産、サービス)のほとんどがデータセンターまたはクラウドに存在していたDAASアプローチを使用して保護するという概念として始まりましたが、最近ではエンドポイントが含まれるようになりました。データやアプリケーションを保持するエンドポイントは資産であり、さまざまなサービスを使用するため、最近ではエンドポイントが含まれるようになりました。
とはいえ、エンドポイントの課題は、常に安全な場所に安全にロックされているわけではなく、移動できることです。多くの場合、エンドポイントはホームネットワークなど、非常に危険な環境に移動してしまいます。通常、私たちは自宅にいると非常に安全だと感じていますが、出入り者を追跡するドアエントリーシステムはありません。私たちはネットワークとワークスペースをゲーム機、CCTV、音楽システム、その他の保護されていないワークステーションと共有しているため、多くの潜在的な脅威にさらされています。
理想的には、在宅勤務者が仕事用のラップトップを鍵のかかった部屋に置き、安全なVPN経由で別のブロードバンド接続を介して自分のネットワークにハードワイヤード接続するのが理想的です。しかし、ご存知のとおり、一般的にはそうではないため、ゼロトラストのコンセプトは エンドポイントセキュリティ みんなが思っている以上に関連性があります。
ここで疑問が生じます: キャンパスだけでなく、膨大な(そして増え続ける)リモートワーカーに対して、エンドポイントセキュリティのためにゼロトラストを実装し、適用するにはどうすればよいでしょうか。
まず、潜在的な脅威が何であるかを理解する必要があります。
- ホームネットワーク — これは 2 台または 3 台の PC から IT と OT の幅広い組み合わせにまで拡大しました。ネットワーク上のデバイスの数は約 20 台に増え、それぞれがリモートサービスに独自に接続されるようになります。高品質のファイアウォールを導入している家庭はほとんどなく、クラウドベースの次世代ファイアウォールサービスを提供するサービスプロバイダーはほとんどありません。同様に、ホームユーザーが利用できるエンドポイントセキュリティはレガシーです。つまり、多くの場合、重くて遅く、多くの人が最初にオフにしたり、インストールしなかったりします。
- パブリック WiFi —ホテルからバスまで、私たちが行くほとんどすべての場所でWiFiサービスが提供されるようになりました。偽のアクセスポイントや中間者 (MitM) 攻撃の可能性は計り知れません。
- 企業ネットワークへの接続 —企業ネットワーク自体が脅威になるのは他の環境ではないはずですが、脅威になるのは私たちです。ラップトップが感染している可能性があり、企業ネットワークに直接またはリモートで接続すると、すぐにマルウェアが組織に侵入する可能性があります。
では、検証やブロックを使用してゼロトラストアプローチに準拠するにはどうすればよいのでしょうか。 覚えておくべきことがいくつかあります。
- 機械と人が本来の姿であることを確認しましょう。多要素認証 (MFA) を使用してユーザーとデバイスを検証します。ID はネットワークの究極の境界とよく言われますが、ある程度はそうです。ほとんどのシステムでは、次の方法が最適です。 セキュリティをネットワークから切り離す そしてアイデンティティも例外ではありません。そうすれば、すべての環境に完全に移植できるようになります。
- リモート状態で、すべてのユーザーを VDI または VPN 経由で接続します。
- 仮想デスクトップ またはリモートデスクトップを使用すると、ほとんどのユーザーに安全で簡単な接続を提供できます。アプリケーションはエンドポイントには存在しないため、マルウェアが企業ネットワークに伝播することは困難です。ただし、脅威が広範囲のシステムに侵入するのを防ぐために、バックエンド環境が適切にセグメント化されていることを確認することが重要です。
- VPNは、企業ネットワークを複製する安全な接続を提供するために組織で広く使用されています。ほとんどの場合、接続を許可する前に、エンドポイントに最新のパッチとセキュリティ署名があることを確認します。すべてをホームネットワークにバックホールする必要がある場合、VPN はパフォーマンス上の問題を引き起こす可能性があります。これを解決するために、ローカルクラウドアクセスを使用して安全なリモート接続を提供するセキュアアクセスサービスエッジ (SASE) と呼ばれる新しいクラスのシステムが登場しました。
- すべてのエンドポイントに次世代のエンドポイント保護プラットフォーム(EPP)とエンドポイント検出および対応(EDR)ソリューションがインストールされていることを確認してください。最新の軽量システムでは、脅威分析と行動分析を組み合わせて、既知および未知のマルウェアを特定して阻止します。
- 申し込む エンドポイントセグメンテーション。ゼロトラストの重要な信条の 1 つはマイクロセグメンテーションであり、これはエンドポイントにも同様に当てはまります。エンドポイントのマイクロセグメンテーションは、必要なアプリケーションのみを許可することで、ピアツーピアの脅威の拡散を阻止します。
これらのシステムを組み合わせることで、キャンパス環境でもリモート環境でも、エンドポイントと他のユーザーの両方を保護できるはずです。MFA と VPN はすべて検証に関するものですが、EPP とマイクロセグメンテーションを組み合わせることで脅威を阻止できます。ユーザーが自宅にいる間に何らかのマルウェアに感染した場合、何週間も放置されて何も起こらないことがあります。何もしなければ、検出するのは非常に困難です。しかし、いったんデバイスが企業環境に接続されると、マルウェアは、保護されていない、またはパッチが適用されていないシステムを探して、他のホストやエンドポイントに移動しようとする可能性があります。
マルウェアが発信元のシステムから侵入して逃亡すると、 封じ込めがカギ。最高のエンドポイントセキュリティシステムであっても、脅威の検出には数分かかることがあり、その間にマルウェアが広範囲に移動する可能性があります。
Illumio Edgeのようなエンドポイントセグメンテーションを使用すると、システム間の通信にゼロトラストホワイトリストルールを適用し、許可されたアプリケーションとシステムのみが通信できるようにすることで、マルウェアの大規模な拡散を防ぎます。これにはあらゆる脅威が封じ込められ、残りのセキュリティインフラストラクチャは攻撃を特定して修復します。
イルミオエッジの仕組みの詳細については、以下をご覧ください。
.webp)
