ユースケース | セキュリティ手法 | 具体例 |
---|---|---|
インターネット接続 | SWG Secure Web Gateway 上でのL7/DNSフィルタ | フィッシングサイトに代表される不正なドメインへのアクセスを遮断 |
インターネット接続 | SWG上でのGEOIPフィルタ | 業務上アクセス不要な特定国(例:中国・北朝鮮)との相互通信を遮断 |
インターネット接続 | SWG上でのWeb広告フィルタ | スパイウェアを含む不要なWeb広告を遮断 |
業務系サービス利用 | CASB Cloud Access Security Broker によるSaaS利用統制 | 未許可SaaSの利用制限と情報漏洩の抑止 |
自社アプリケーションの利用 | ZTNA Zero Trust Network Access による通信経路の隠蔽 | 認証済みの従業員のみが本社サーバーに接続(サーバー自体はインターネット空間から隔離) |
社外へのデータ送信 | DLP Data Loss Prevention による機密情報流出の抑止 | 指定された機密情報の外部送信を検知し遮断 |
リモート接続 | ワンタイムVPN(従来手法)またはZTNAによるアクセス制御 | ZTNAによる「従業員」対「アプリケーション」の一対一の接続許可(従来型VPNのようにLAN全体にアクセスさせない) |
拠点間接続 | 拠点間VPN(従来手法)またはZTNAによるアクセス制御 | ZTNAによる「従業員」対「アプリケーション」の一対一の接続許可 |
アプリケーションサーバーの保護 | インターネット空間からの隠蔽 | アプリケーションサーバーはZTNA用エッジサーバーに常時トンネリングし、インターネットからIPを隠蔽(脅威アクターからの保護) |
従業員端末の接続 | 802.1X認証によるアクセス制御 WPA2/3-Enterprise | 各OSでサポートされているEAP Extensible Authentication Protocol とネットワーク認証サーバー RADIUS/CA を用いて不正侵入からLANを保護 |
IoT端末の接続 | WPA2-PPSKによるアクセス制御 | PPSK Private Pre-Shared Key モードのWi-Fiにより、EAPを喋れないIoT端末をLAN上で個別に認識し、そのPSKが流出しても他の端末を保護(横方向侵害の抑止) |
ゲスト端末の接続 | 利用者特定性レベルを確保したログイン手段の提供 |
UAM Universal Access Method によるSMS認証等によるログイン〜接続許可
物理トークンを一時貸与し、ワンタイムパスによるログイン〜接続許可 |
用途別にネットワークを分離 | VLAN毎セグメンテーション(従来手法) | VLANにより用途別のネットワークを定義し、RADIUS認証時に従業員を目的のVLANに振り分ける |
用途別にネットワークを分離 | アプリケーション毎セグメンテーション | ZTNAによる「従業員」対「アプリケーション」の一対一の接続許可 |
例えば、社内で利用されるあらゆるデジタルデバイス(アプリケーション端末)へのリモート管理を支援します。
アクセス先のリソース例 | アクセス先のインターフェース | リモートからのアクセス方法 | アクセス認証とセキュリティ |
---|---|---|---|
アプリケーションサーバー | GUI, CLI | ブラウザまたはクライアントエージェント | IdP認証とアクセスポリシー |
パソコンやタブレット | RDP, CLI | ブラウザまたはクライアントエージェント | IdP認証とアクセスポリシー |
ネットワークデバイス | GUI, CLI, SMB | ブラウザまたはクライアントエージェント | IdP認証とアクセスポリシー |
IoTデバイス | GUI, CLI, API | ブラウザまたはクライアントエージェント | 相互TLS認証またはAPI認証 |
入口対策として従来型のVPNアクセスをゼロトラストネットワークアクセスへ置き換えつつ、利便性を向上させる例。
目的 | 社内に設置されたWindows PCに対し、外部から安全に接続する。 |
方法 | 在宅や出張の際のリモートPCから分散エッジサーバー(ゼロトラストネットワーク)を介して、Remote Desktop Protocol (RDP) を用いて社内PCに接続する。 |
手順 | 社内PCで、事前にRDPを有効化。 リモートPC(Windows OS, macOS, etc)に、ゼロトラストネットワークとのトンネリング用エージェント、およびRDPクライアントエージェントをインストールする。 wiffyのゼロトラストダッシュボードから、適切なアクセスルールを設定する。 |
合理性 | 通常、社内のPCごとにエージェントをインストールしてゼロトラストネットワークとトンネリングを行う必要があるが、wiffyルーターに搭載されたエージェントがRDP通信を中継する。 このため、PC本体にはエージェントをインストールする必要がなく、エージェントレスでゼロトラストセキュリティを享受できる。 |
結果 | 社内PCのRDP接続用エンドポイントはインターネット空間から隠蔽され、第三者による不正アクセスのリスクが排除される。 |
目的 | 社内ネットワーク内のRaspberry Pi(小型のコンピューター)に対し、外部から安全に接続する。 |
方法 | リモートPCから分散型エッジサーバー(ゼロトラストネットワーク)を介して、Virtual Network Computing (VNC) を利用して社内のRaspberry Piに接続する。 |
手順 | 接続対象のRaspberry Piで、VNCサーバーを事前に有効化する。 リモートPCに、ゼロトラストネットワークとのトンネリング用エージェントおよびVNCクライアントエージェントをインストールする。 wiffyのゼロトラストダッシュボードから、適切なアクセスルールを設定する。 |
合理性 | 通常、社内のコンピューターごとにエージェントをインストールしてゼロトラストネットワークとトンネリングする必要があるが、wiffyルーター上に搭載されたエージェントがVNC通信を中継する。 このため、Raspberry Pi本体にはエージェントをインストールする必要がなく、エージェントレスでゼロトラストセキュリティを享受できる。 |
結果 | Raspberry PiのVNC接続用エンドポイントはインターネット空間から隠蔽され、第三者による不正アクセスのリスクが排除される。 |
目的 | 社内ネットワーク内のRaspberry Pi(小型のコンピューター)に対し、外部から安全に接続する。 |
方法 | リモートPCから分散型エッジサーバー(ゼロトラストネットワーク)を介して、一般的なブラウザを介して社内のRaspberry PiにSSHで接続する(Browser Rendering SSH)。 |
手順 | 接続対象のRaspberry Piで、SSHを事前に有効化する。 wiffyのゼロトラストダッシュボードから、適切なアクセスルールを設定する。 |
合理性 | 通常、社内のコンピューターごとにエージェントをインストールしてゼロトラストネットワークとトンネリングする必要があるが、wiffyルーター上に搭載されたエージェントがSSH通信を中継する。 このため、Raspberry Pi本体にはエージェントをインストールする必要がなく、エージェントレスでゼロトラストセキュリティを享受できる。 |
結果 | Raspberry PiのSSH接続用エンドポイントはインターネット空間から隠蔽され、第三者による不正アクセスのリスクが排除される。SSH接続用の踏み台サーバーの維持運用から解放され、シャドーITを撲滅できる。 |