ゼロトラストネットワークセキュリティでインターネットアクセスを安全に

This post is also available in: English (英語)

Lee Klarichが最近の投稿で概説したように、ゼロトラストはサイバーセキュリティには欠かせないアプローチです。パロアルトネットワークスは、このアプローチでインターネットアクセスを安全にしていく理想的なソリューションをご提供しています。ゼロトラストの成果達成には包括的アプローチが不可欠で、弊社のソリューションを使うとこのアプローチがとてもシンプルになります。その特徴は次の 3 点です。

1. コンテキストに基づいたネットワークアクセスを可能にする
2. アクセスを安全にする
3. 場所を問わず一貫したセキュリティでアクセスを提供する

さまざまな場所でさまざまなヒト、データ、デバイスを保護していく必要があるいま、インターネットへのアクセスを安全なものにすることは、企業にとってはかつてないほどむずかしい課題となっています。アプリケーションがクラウドに移行し、ユーザーがどこでも仕事ができるようになったことで、インターネットアクセスのセキュリティ確保は、サイバー犯罪者との戦いの最前線となっているのです。

進化したフィッシング、コマンド＆コントロール、Webベースエクスプロイトなど、現代の脅威から自組織を保護していくには、Webトラフィックを保護し、DNSトラフィックの安全を確保し、SaaSアプリケーションの爆発的増加にも対応できる、そんなリアルタイム防止策が必要です。そしてもちろん、これらすべてを一か所にまとめて管理できることや、全拠点を保護するセキュリティ機能とポリシーを持つことも重要です。さらには、物理アプライアンス環境、完全なクラウド型環境、プライベートクラウド環境、いずれの環境においてもこれらが一貫している必要があります。

パロアルトネットワークスは、ベスト・オブ・ブリードのネイティブに統合されたソリューションを提供できる唯一のベンダーで、インターネットアクセスに包括的セキュリティを実現しています。

毎日、15万件以上もの悪意のあるWebページが新たに作成されています。つまり事実上すべての攻撃用URLはゼロデイURLです。このため、もっぱらクローラー技術を使った従来型Webセキュリティソリューションでは攻撃側に追随していくことができません。

パロアルトネットワークスはクラス最高のWebセキュリティを提供する、新しいAdvanced URL Filteringを搭載しています。Advanced URL Filteringは、もっぱらデータベースにたよって既知の悪質URLをブロックするテクノロジの先を行くもので、インライン機械学習を利用してWebベースで行われる未知かつ捕捉の難しい標的型脅威でもリアルタイムで分析・検出・防止することができます。他社のソリューションでも機械学習をURL分類やファイルベース攻撃の防止に利用する例はありますが、Webベース脅威をリアルタイムで防止するインライン機械学習（ML）を提供するのはパロアルトネットワークスのソリューションのみです。検出されたものの40%以上は検出時点ではほかのベンダには把握されていません。これはつまり、商用ツールを使う攻撃の防止はもちろん、企業や組織に最も大きなダメージを与えがちなきわめて捕捉の難しい標的型攻撃をも防止可能ということです。

DNSを安全に

パロアルトネットワークスのDNSセキュリティはWebセキュリティの最大の盲点であるDNSを保護します。最近では80％にのぼる攻撃が目標の達成にDNSを使用しています。ところがほとんどの企業は、DNSトラフィックを検査するセキュリティツールを導入していないか、DNSの設定を変更するだけで容易に回避されてしまうような汎用ソリューションを使用しています。

これに対して弊社のDNSセキュリティは業界でももっとも包括的なソリューションです。最新リリースにはネットワークを悪用して密かにデータを盗み出す新手のDNS攻撃も防止する業界初の保護機能を備え、DNSベースの攻撃に対するカバー率を約3倍に伸ばしています。さらに新規に登録されたドメイン（NRD）が攻撃に利用される前に、将来の悪用を予測するという問題も解決しています。このソリューションでは、他社との比較で数では5倍多く、日数では9日間早く、悪質なNRDを検出することができます。この予測機能によりお客様には、悪意のあるドメインを目にすることもなく、知らない間に保護されている、という経験が増えるでしょう。しかもこのソリューションはリゾルバを意識せずにすむクラウド提供型なので、お客様側でDNS構成を変更する必要もありませんし、DNS設定を変更してセキュリティを逃れることもできません。また、サブスクリプションを有効化するだけでシンプルに導入できるのもその大きな魅力のひとつです。

SaaSアプリケーションを安全に

既存のクラウドアクセスセキュリティブローカー（CASB）はアーキテクチャの制限や運用上の制約に左右されることが多くなっています。

パロアルトネットワークスのSaaSセキュリティではSaaSの爆発的普及にも対応することができ、既存のワークフローに組み込みつつ、発見と保護の自動化をしていくのが容易になります。Mario Espinozaが「Palo Alto Networks Introduces SaaS Security with Integrated CASB（パロアルトネットワークスがCASB統合型のSaaSセキュリティを提供）」という記事でたくみに表現したように、このSaaSセキュリティは、CASB市場にまったく新機軸といえる使いやすさ、シンプルさ、効率の良さをもたらしてくれます。

すべてを安全に

パロアルトネットワークス製品で脅威を検出する最大のメリットの1つが、すべての製品がその恩恵を受けている「ネットワーク効果」にあります。私たちは脅威防御、WildFire、Advanced URL Filtering、DNS セキュリティなどの製品にくわえてパッシブDNS、ハニーポット、Unit 42の脅威インテリジェンスチームなどを情報源として使い、日々脅威の特定を行っています。要するに、あるお客様が脅威を検出すれば、ほかのすべてのお客様がその脅威に対する保護の恩恵を受けられるようになるということです。集めた情報はすべて機械学習に反映され、常に検出能力が磨かれます。さらに弊社のセキュリティはクラウドベースですから、お客様環境への影響は最小限に抑えつつ、新たな検出機能を追加することができ、これによってお客様の投資の保護を実現することができるのです。

ここで説明した新機能はPAN-OS 9.1または以降をお使いのすべてのお客様にご利用いただけます。

パロアルトネットワークスは、単一プラットフォームでインターネットエッジに完全な保護を提供します。いまお使いのセキュリティベンダは、はたして同じことを言ってくれるでしょうか? すべての攻撃ベクトルをリアルタイムにインラインで保護するセキュリティ機能がなければ、真の意味でのゼロトラストを達成することはできません。パロアルトネットワークス製品はまだ使ったことがない、という場合は、いまお使いのセキュリティベンダに「Webベース脅威に対するリアルタイム保護機能を提供していますか」と問い合わせてみてください。そして、台頭しつつある段階でDNSベース脅威を検出できるのか、新しいSaaSアプリケーションを自動検出・制御できるのかについても、ぜひ確かめてみてください。「それは無理」と言われたのであれば、ぜひ私たちにお話をさせてください。

ゼロトラストのためのインターネットセキュリティについてもっと詳しく知りたい方は、イベントシリーズ「Complete Zero Trust Network Security」をご覧いただき、どこでも生産性を確保できるように準備していきましょう。