20年以上変わらない
従来型ネットワークセキュリティ
VPNとファイアウォールに代表される従来型ネットワークセキュリティは、企業ネットワークの「内」と「外」の「境界」を守る、という考え方に基づいています。
守るべき企業の情報資産はネットワーク境界の「内」にあるという前提のもと、外部からの企業ネットワークへの接続を監視します。いったんVPNを経由して社内ネットワークの内側に一度入ることに成功したデバイスからの接続は、常に安全であると認識され、社内にある全てのサーバーへのアクセスが可能になります。管理者は、サーバーのインフラ/ミドルウェア層やアプリケーション側で個別にアクセス権を設定することで、ユーザーのアクセス範囲を制限しています。
1.境界「内」へのアクセス可否を
IPアドレスで確認
ファイアウォールとVPNが、通信をYES/NOで許可
許可された後は、社内ネットワークの全てのサーバーが露呈
2.一度内部にアクセスした
デバイスは信頼される
インフラ/ミドルウェア層やアプリ側でアクセス制御。制御されていないサーバーには自由にアクセス
次世代型は、全てのアクセスを
信用せず
必ず確認する
「ゼロトラスト」モデル
シグマクシスが推奨する次世代ネットワークセキュリティは、ネットワークの内外を区別せず、接続者、接続端末を問わず常に全ての通信を必ず接続前に確認する「ゼロトラスト」モデルです。
ゼロトラストの原則を実装した新しいネットワークセキュリティ技術「SDP(Software Defined Perimeter)」は、全ての通信について、事前の登録情報に加えて、リアルタイムにその通信の状況を動的に判断し、アクセス先への接続を許可します。アクセス権限のないサーバーへアクセスできないことはもちろん、サーバーの存在を認識することもできないため、ハッカーなど悪意を持った第三者からの攻撃による被害拡大リスクを低減させることができます。
ゼロトラスト3つの原則
- ①いつでも、どこからでも、全てのネットワークリソースに安全にアクセスできることを保証すること
- ②全てのネットワークトラフィックログを調査できること
- ③最少権限の原理を維持、強化すること
1.SDPコントローラーで
アクセス先を一元管理
SDPコントローラーが、社内ユーザーのコンテキストを
動的に判断し、接続先サーバーごとにアクセス可否を判断
2.利用権限のある
リソースしか見えない
最小権限の原理に基づき、接続先へ直接アクセス、他のネットワーク情報は見えない。ミドルウェアやアプリケーション側でのアクセス制御は不要。
従来、サーバー、アプリケーションに分散していたアクセス権限管理も、SDPのもとで一元管理することが可能となるため、権限設定、変更等の作業工数が大幅に削減されます。将来的なクラウド追加、デバイス追加等、企業のビジネスやITリソース拡大にも、柔軟に、且つセキュアに対応が可能です。このような利点があるにもかかわらず、費用はVPNと大きく変わらないこともメリットの一つです。
活用シーン
開発環境のマルチクラウド化多様化した開発環境に安全にアクセスするには…
Agile(アジャイル)やDevOps(デブオプス)など開発手法が多様化し、社内の開発担当者や運用担当者、システム開発ベンダーやAIベンチャーなどのビジネスパートナーや技術者が、国内外のリモート環境に分散してクラウド上で開発。
開発参画者の多様化により、複数IaaS、プライベートクラウドなど、開発環境もマルチクラウド化。
モバイルアプリやWEBアプリケーションだけでなく、基幹系システムについても、多様な開発手法の広がりをうけて開発時の接続数が増加。
マルチクラウドに対応し、迅速、柔軟かつ安全なセキュリティ環境を構築できるSDPで、いつでもどこからでも、安全に開発環境にアクセス。
IoT(Internet of Things) データ活用のために空いた「穴」を守るには…
IoTによるデータ活用ニーズの高まりを受け、これまで個別環境でクローズドに完結していた機械制御系のシステムも、 企業ネットワークに繋げてデータを送受信することに。
元来セキュリティレベルが高くないIoTとの接続で、企業ネットワーク内に脆弱性などを持ち込むリスクが増加。
IoT機器からの接続や、制御系ネットワークへの保守要員等、社員やサードパーティからの接続を、SDPで一括してアクセスコントロール。脆弱性のある機器からの接続や、なりすましによる攻撃者からの接続を拒否し、リスクを低減。
働き方改革ロケーション×デバイス×時間帯×ユーザー。組み合わせが無限に…
場所や時間に囚われない自由な働き方が広がる中、BYOD(Bring your own device)やマルチデバイス利用など、企業ネットワークにアクセスするパターンは無限に。これにともない、PCやスマホの紛失・盗難、乗っ取りなどのリスクも増加。
『ゼロトラスト』の考え方により、ネットワークの内外を区別せず、接続者、接続端末を問わず、常に全ての通信を確認。厳密な最小限のアクセス管理を徹底し、リスクを低減。
シグマクシスは
企業のSDP導入を支援します
シグマクシスはビジネスパートナーとともに、SDPの導入を通じて、企業のデジタル・トランスフォーメーションを支援する次世代ネットワークセキュリティ環境の構築を支援しています。
パートナー企業・
ソリューションのご紹介
appgate『App Gate SDP』
-
-
特徴1SDP自身に対するハッカーの攻撃への対策
接続設定の最初に、シングルパケット認証を利用し、認証されていない端末からのアクセスは全て破棄します。 その後の接続は、この認証を通過したアクセスのみが対象となり、コントローラ側にかかる負荷は非常に小さく、テラバイト級の攻撃にも耐えることができます。
-
特徴2信頼できないネットワークからの
アクセスを隔離・保護App Gate SDPでは、信頼できないネットワーク(カフェ、ホテル、外部Wi-Fi等)からのアクセスを保護するためのデバイス隔離機能(リング・フェンス)を有しています。信頼できないネットワークから内部情報に社員がアクセスしている場合、他のローカルネットワークにいる悪意あるユーザーからのアクセス(横入り)を遮断します。
-
特徴3マルチプロトコル対応で
既存製品との連携がスムーズ企業の多くは、既に多層防御のためのセキュリティアプライアンスや、インシデント対応、システム運用のための機器を導入しています。APP Gate SDPは、各製品で異なるプロトコルのほぼ全てに対応可能なため、既に導入している製品と繋ぎ、より強力で有効なアクセス制御を簡単に実現することが出来ます。
AppGate SDPのご紹介 (02:44)
-