SASEだけでは不十分、ゼロトラストが深く根ざすことが必要=米NetFoundryのCEO
2021年に起きた大規模なサイバーセキュリティインシデントを振り返ってみると、2つのことが分かるという。SASE(Secure Access Service Edge)はユーザー・アプリケーション間の通信を保護するのに有効であること、その一方で脅威アクターを排除するのには不十分だということだ。米NetFoundryのCEO、Galeal Zino氏が語った
「2021年の大きなサイバー攻撃はいずれもユーザー・アプリケーション間ではなく、氷山の水面下の本体とでも言うべき部分、サーバとサーバの間やWebサーバとデータベースの間など、そういった部分のあらゆる箇所で起きています」。氏はSDxCentralに語った。
だからといって、SASEが不要であるとか効果がないというわけではない、とZino氏は言う。「それだけでは十分ではないということです」
問題なのは、攻撃者が企業の既存のインフラや開発環境を悪用する手段が他にもたくさんあることだという。SASEでアプリケーションのフロントエンドを保護することはできるかもしれないが、背後にある依存関係やデータベース、APIは依然として攻撃に対して脆弱なままだ。この問題に対処するには、「セキュリティを開発サイクルの中心に据える」ことが必要となる。
アプリケーション、APIレイヤーでのゼロトラスト
NetFoundry社ではオープンソースのゼロトラストネットワークオーバーレイ「Ziti」を開発、課題解決に取り組んでいる。
Zitiではアプリケーションへのインバウンド通信に対して全ファイアウォールポートを閉鎖、必要な数の軽量コンテナ化ルータを配置することでフロントエンドやバックエンドデータベースといったアプリケーションコンポーネント間、アプリケーションと外部 API 間のトラフィックフローを制御する。
このルータはワークロード間の接続に対し、最小限のアクセス権限に基づいて適切に識別・許可されたものだけを受け入れる。これによって相互通信することが明確に意図されたワークロードのみが通信可能になり、攻撃対象領域を大幅に縮小することができるという。「このアプリケーションにはこのデータベースとの通信が必要だが、それ以外のものと通信する必要はない、という具合です」。
Zino氏の説明によると、これは有料道路のようなもので、全ての流入ランプ・流出ランプで料金所のオペレータが身元を確認、目的地への通行が許可されているかどうかを判断している状態と考えることができるという。つまり、攻撃者がシェルスクリプトで書かれたランサムウェアをネットワークに侵入させることに成功したとしても、本体部分をロードする通信が不可能なため、事実上隔離された状態になるということだ。仮に通信ができたとしても、ネットワーク上を横方向に移動することはできない。
「要は、当社がやろうとしているのは攻撃者にとって企業を狙うのは非常にコストが高くつく状態にすることなのです」と氏は言う。「現在私たちが苦労しているのは、企業が格好の標的になっているからです。あまりにもたやすいのです……(中略)……コストや時間がかかり、手の届かない標的になることができれば、攻撃者は他の獲物を探しに行くでしょう」
APIセキュリティの課題
社内に導入する場合、Zitiの導入は比較的簡単だ。コンテナや仮想マシンによってデバイスレベルで展開、あるいはZiti SDKを利用してアプリケーションレベルで展開できる。
Zino氏によると、複雑になるのは顧客が自社でコントロールしていないサービス上にZitiを導入したい場合だという、例えばサードパーティ製品とのAPI統合だ。
Zitiを利用するには、APIプロバイダがNetFoundry社のSDKを統合する必要がある。プライベートAPIプロバイダ数社から同意を得ている一方で、パブリックAPIに関しては遅々として進んでいないという。
自社のプライベートAPIにZitiを利用している例として、英Ozone APIがある。これによって自社のコントロールプレーンと顧客のKubernetes環境の間でのセキュアな通信を保証している。
APIレベルでの導入に必要な労力を最小化する手段も講じてきた。「ターンキー方式にするために全力を尽くしています」とZino氏は言う。「一般的なWebアプリケーションがドライバや仮想NICにパケットを送るためにネットワークアドレスを指定する際の仕組みは、ほとんどの場合、おおむね共通したものになっています」。「当社のコードはそのラッパーにすぎません」
「これは界隈にとって非常に魅力的な話だと言えます。デバイスにクライアントやエージェントをインストールするように依頼する必要がなくなるのです」。氏は補足している。
Tobias Mann is an editor at SDxCentral covering the SD-WAN, SASE, and semiconductor industries. He can be reached at tmann@sdxcentral.com
Tobias Mann is an editor at SDxCentral covering the SD-WAN, SASE, and semiconductor industries. He can be reached at tmann@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
セキュリティ Jeff Vance2024.08.01
SASEの選び方:質問すべき事と避けるべき落とし穴
市場背景 セキュアアクセスサービスエッジ(SASE)…
-
セキュリティ Nancy Liu2024.07.24
マイクロソフトが参入、激変するSSE市場=中小ベンダーが退避へ
マイクロソフトが「Microsoft Entraスイ…
-
セキュリティ Nancy Liu2024.06.24
SASE市場が急成長=第1四半期、首位はZscaler
米調査会社デローログループ(Dell’Oro Gro…
-
セキュリティ Dan Muse2024.05.30
サイバー攻撃のリスクが最も高い10の業界
サイバー攻撃のリスクにさらされているのは、どのような…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Broadcomは「脅迫者」=米AT&Tが酷評
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点