リソースソリューション ガイド

アプリケーション中心の世界におけるゼロトラスト

ゼロ トラストは、ビジネスをより迅速かつ安全に推進するのに役立つ強力で総合的なセキュリティ戦略です。 企業アプリケーションのセキュリティを確保することは、データ侵害を防ぐ上で非常に重要です。 これをうまく行うことで、ビジネス プロセスの効率とユーザーの生産性も向上します。 ゼロ トラスト セキュリティ モデルはこのようなビジネス価値を提供できますが、ゼロ トラストは製品ではありません。 むしろ、これは安全なネットワークとアプリケーションのアーキテクチャにつながるアプローチであり、原則です。 本質的には、ネットワークの内外を問わず、どのユーザーやデバイスもデフォルトで信頼されないようにし、アプリケーションにアクセスする前に検証が必要であることを確認するために連携して動作するソリューションのエコシステムです。

ゼロトラストは新しい概念ではありませんが、近年大きな注目を集めています。 しかし、特に世界中の企業がパンデミックやその他の自然災害や人為的緊急事態の際にどのように事業を運営し、対応するかに取り組んでいる今日、この概念はこれまで以上に関連性が高く、重要になっています。 世界中の組織がデジタル変革の取り組みを加速させる中、ゼロ トラストはすべての組織がより深く理解する必要がある重要な概念です。

従来のネットワーク境界セキュリティの確立された「堀と城」アプローチ(既知の信頼できる個人のみが「堀」を越えて「城壁」に入り、アクセスを許可されたアプリケーションやリソースにアクセスできるようにする)は、もはや十分ではありません。 オンプレミス、複数のクラウド環境、SaaS (Software-as-a-Service) アプリケーションに展開または移行されるアプリケーションの増加、およびモバイルおよびリモート ワーカーの増加により、ネットワーク境界はほぼ消滅しました。

ゼロ トラストは、定義された境界内の信頼できるネットワークという概念を排除します。 今日では、攻撃者はすでにネットワーク上にいて、隠れて潜伏し、攻撃を開始する適切な瞬間を待っていると想定する必要があります。 最小限の権限のユーザー アクセスを適用し、ユーザー、ユーザーのデバイス、ユーザーのアクセスなどを可能な限り精査し、内部および外部の制御ポイントからより多くのコンテキストと可視性を取得する必要があります。

ゼロ トラストを実現するには、「信頼するが検証する」アプローチを放棄し、次の原則に従う必要があります。

  • 決して信じない
  • 常に確認する

現在、ゼロ トラスト環境を実現するために必要なすべてを提供できるベンダーはありません。 ただし、F5 は価値を付加し、包括的なゼロ トラスト アプローチの導入に必要な主要コンポーネントを提供します。 F5 は、堅牢なアプリケーション セキュリティ ポートフォリオとゼロ トラスト環境における新しい制御ポイントのセキュリティ保護機能により、今日のアプリケーションを保護するための「決して信頼せず、常に検証する」アプローチに対応するために必要な構成要素を提供し、ゼロ トラストに 3 番目の原則である「継続的な監視」を追加します。

F5 の観点から見ると、保護する必要がある 4 つの制御ポイントは次のとおりです。

  • アプリケーションにアクセスするエンドポイント
  • アプリケーション(ネイティブ クラウドまたは SaaS アプリ、またはクラシック アプリケーションとカスタム アプリケーションであるかどうかに関係なく)
  • アイデンティティサービス
  • ネットワークインフラストラクチャ

では、F5 は各コントロール ポイントのセキュリティ保護にどのように役立つのでしょうか?

  • アプリケーションにアクセスするエンドポイントに対して、F5 の Trusted Application Access ソリューションは、最新の認証と、すべてのアプリケーションへの集中的なアクセスと制御を提供します。
  • ネットワーク インフラストラクチャについては、F5 のアプリケーション インフラストラクチャ セキュリティ ソリューションが、攻撃や侵入からネットワークを保護するのに役立ちます。
  • F5 は、アプリケーション向けにアプリケーション層セキュリティ ソリューションを提供しており、アプリケーションまたはその近くでセキュリティを実現し、レイヤー 4 から 7 までのアプリケーション スタックを保護します。
  • アイデンティティサービスに関しては、 MicrosoftOktaPingなどと緊密なパートナーシップを結んでいます。 F5 は、Trusted Application Access ソリューションをこれらの Identity-as-a-Service (IDaaS) プロバイダーと統合することで、ネイティブ クラウドおよび SaaS アプリケーションとミッション クリティカルな従来のアプリケーションおよびカスタム アプリケーション間の ID と認証のギャップを埋め、すべてのユーザーがあらゆるアプリケーションに統一された安全なアクセス エクスペリエンスを得られるよう支援します。

F5 は、Trusted Application Access、Application Infrastructure Security、Application Layer Security の各ソリューションを活用して、ゼロ トラスト モデルの導入を具体的に支援します。  

信頼できるアプリケーション アクセス

アプリケーション アクセスに関しては、組織はサイトにアクセスするすべてのユーザーが悪意のあるユーザーであると想定する必要があります。 アクセス関連の侵害は増加し続けており、すぐに減少する兆候は見られません。

F5 BIG-IP アクセス ポリシー マネージャ (APM) は、ユーザーとアプリケーションがどこにあっても、アプリケーション、API、データへのアクセスを保護、簡素化、集中化します。 BIG-IP APM は、Identity Aware Proxy (IAP) 機能を使用して、きめ細かなコンテキストと ID 認識に基づくゼロ トラスト モデル検証を展開し、すべてのアプリケーション アクセス要求を保護します。 また、アプリケーション アクセス セッション全体を通じて、各ユーザーのデバイスの整合性、場所、その他のアプリケーション アクセス パラメータを継続的に監視します。

BIG-IP APM は、ホストされている場所や、必要な認証方法の種類 (最新認証または従来認証) に関係なく、ユーザーがアクセスを許可されているすべてのアプリケーションへのシングル サインオン (SSO) を介してユーザー エクスペリエンスを強化し、すべてのアプリケーションで共通のユーザー エクスペリエンスを実現します。 IAP を採用することで、アプリケーションとそれへのアクセスがより安全になり、ゼロ トラスト アプリケーション アクセスが可能になります。  BIG-IP APM はハイブリッド環境向けの共通アーキテクチャも提供し、複数のクラウドにわたるアプリケーションにアクセスするための共通アクセス ポリシーを作成して適用できるようにします。

Shape Securityの追加と、詐欺を働く悪質な人物を特定する機能により、F5 は正当なユーザーをより適切に識別し、ユーザーがパスワードを入力する回数を減らすことができるようになりました。  これにより、ユーザーは追加のユーザー名/パスワードのペアを作成する必要がなくなり、認証されたサービスへのアクセスを増やすことができます。追加のユーザー名/パスワードのペアは、認証情報の盗難や認証情報の詰め込み攻撃、パスワードの忘れ、サポート コストの削減、売上の増加の主な原因となります。

アプリケーション インフラストラクチャ セキュリティ

ネットワーク境界は縮小していますが、近い将来になくなることはありません。 ネットワーク インフラストラクチャは、ゼロ トラストを実現するために、オンプレミス、データ センター、またはプライベート クラウド内のアプリの安全性と可用性を確保する上で重要な役割を果たします。 ネットワーク、ユーザー、データに重大な影響を及ぼす可能性がある危険の 1 つは、暗号化されたトラフィックに隠れた脅威です。 

暗号化は今や新たな標準です。 現在、ほとんどの Web ページの読み込みは暗号化されています。 これはプライバシー保護には最適ですが、攻撃者は暗号化されたトラフィックを使用してマルウェアやその他の悪意のあるペイロードを隠し、セキュリティ制御を回避できるようになります。 今日では、受信する暗号化されたトラフィックにマルウェアが潜んでいると想定する必要があります。 また、送信する暗号化トラフィックには、流出した機密データや、より多くの攻撃やより大規模な攻撃を仕掛ける準備が整った悪意のあるコマンド アンド コントロール サーバーと通信している機密データが含まれていることも想定する必要があります。

F5 SSL Orchestrator は、ネットワークにアクセスしようとする暗号化されたトラフィックの危険性を解決します。 暗号化されたトラフィックに隠れているマルウェアを検出し、盗まれたデータの流出を阻止することで、セキュリティの盲点を排除します。 これは、受信および送信の暗号化トラフィックのオーケストレーション専用のソリューションです。  コンテキスト認識型ポリシー エンジンとポリシーベースのトラフィック ステアリングを活用して動的なセキュリティ サービス チェーンを作成できるため、セキュリティ スタック内のソリューションを手動でデイジー チェーン接続する必要がなくなります。 また、インテリジェントなバイパスも保証し、業界や政府のプライバシー コンプライアンス規制に違反することを防ぎます。 SSL Orchestrator は、既存のセキュリティ ソリューションの監視、負荷分散、健全性の確保を行います。 また、暗号化制御を集中化することで、管理者の時間と労力を節約します。

アプリケーション層セキュリティ

現実には、どの組織でもアプリケーションは脆弱です。 アプリケーションは、依然として侵害の最初の標的となっています。 攻撃者は、アプリケーションが企業にとっていかに重要であるかを認識しており、アプリケーションはすべて貴重な知的財産やデータへの裏口(または正面玄関)になる可能性があるため、積極的にアプリケーションを侵害しようとします。 ゼロ トラスト戦略の一環として、アプリを継続的に保護することが重要です。

F5 はゼロ トラスト アーキテクチャでアプリケーション スタックを保護します。 Advanced WAFEssential App ProtectSilverline WAFなどの当社の Web アプリケーション ファイアウォール (WAF) ソリューションは、OWASP Top 10 や SQL / PHP インジェクションなどの一般的な脆弱性や悪用を防ぎます。 さらに、F5 の先進的な WAF テクノロジーを基盤とし、NGINX Plus ソフトウェア上で実行されるNGINX App Protect は、最新のアプリケーション環境向けの軽量で高性能な WAF です。

当社の WAF ソリューションは、アプリケーションの健全性を継続的に監視する動作分析機能を通じて、レイヤー 7 DoS 攻撃からも保護します。 F5 は、攻撃者によるユーザー アカウントへの不正アクセスを防ぐための資格情報保護も提供します。 さらに、API の使用が増えるにつれて、F5 は API を保護し、アプリケーションを API 攻撃から保護します。

F5 は WAF および API セキュリティ ソリューションでアプリケーションの脆弱性を保護すると同時に、Shape セキュリティ ソリューションでビジネス ロジックを詐欺や不正使用から保護します。

さらに、F5 は、組織のゼロ トラスト導入戦略に合わせて、セルフ管理、サービスとしての、または Silverline と Shape Security を介した完全管理サービスとしてセキュリティ サービスを提供します。