ゼロトラストネットワークはスモールスタートで(小規模でも実現可能なゼロトラストネットワークとは)

blog

ゼロトラストネットワークのデファクトスタンダードといえばZscalerだったりNetskopeを思い浮かべ、色々と情報を収集をされる方が多いと思います。実際に自分自身も情報収集や機能のスキルアップをしてきました。

ただ、どちらの製品もインタネットアクセスと社内システムアクセスを統合的に行おうとするといくつかのサービスやオプションが必要になります。拡張性を考えれば当然の事かもしれませんがサイバー攻撃が日々高度化し、リモートワークが日常化する中では、じっくり時間をかけてでなく、スモールスタートから始める選択も有効と考えます。

BlackBerryでは、Cylance Gatewayというゼロトラストネットワークの実現をサポートするソリューションサービスがあります。現時点で機能比較をすると当然ZcalerやNetskopeの方が高いですが、恐らく2023年上期にはほぼ同等の機能になる計画となっています。

月額1,000円でゼロトラストへの移行が出来るところは大きなポイントだと思います。例えばSWG(Secure Web Gateway)の機能を利用すれば、i-filterなどのセキュアブラウザーやWebアクセスフィルタリングの代替となります。これらのツールは月額500円程度なのでリプレースを考えれば更にコストが下がります。カテゴリー化されたWebフィルタリング以外に更新されるDBには悪意のあるサイト情報が常に更新されます。

ゼロトラストネットワークを考える上での主な要素としては、ZTNA、SWG、CASB、FWaasSおります。要素と実際の環境でのセキュリティ要件がイコールではありません。それぞれの現状のネットワークアクセス環境での防御施策を要件とすれば、その代替施策をゼロトラストで考えた場合に機能の中の必要要件と拡張要件に分類が可能です。この要件整理をすることで、安価なソリューションでもゼロトラストネットワーク環境への切り替えが可能です。こうしてスモールスタートすることで次世代のサイバーセキュリティへの対応が可能な基盤へアップグレードが一つの移行モデルと言えます。もちろん、最初からしっかり細部までを検討そして設計をして作り上げる従来の構築手法もあります。ただ、多くのソリューションはクラウドベースであり、仮にスモールスタートの環境に限界があればユーザ影響を最小化した別ソリューションへの移行も可能です。その際に設計したポリシーなどは流用することも可能であり、最適化されたエンハンス計画で推進することも可能です。

大事なことは、リモートワークが一般化し多くのクラウドサービスを利用する中でいかに早く確実にゼロトラストへ基盤を移行させられるかです。

Cylance Gatewayの特徴は、サイバーセキュリティに特化したAIをフル活用して利用者の行動分析から不審な挙動を発見し動的に対応するPersonaを有していることです。このAIの利用方法はZscalerやNetskopeなど他の製品にはありません。また、インタネットアクセスとプライベートアクセス制御でエディション分けされていなのでライセンスコストは一律ということもポイントになります。そしてプライベートアクセスにおいては、社内ネットワークのFW(ファイヤーウォール)にインバンド通信の穴あけが不要です。これはオンプレ資産の保護をする上では極めて重要なことです。外部からの如何なる直接的な不正アクセスを完全にシャットアウトするということになります。

2023年は、ゼロトラストネットワークへの移行を考えてみませんか?