パロアルトネットワークスは6月27日、セキュアアクセスサービスエッジ(SASE)ソリューション「Prisma Access」の新機能に関する報道向け説明会を開催した。
シニアリージョナルセールスマネージャの和田一寿氏は、コロナ禍を経た現在の状況を踏まえて「もはや“仕事”は活動であり、場所ではない」と指摘。リモートワークとオフィス勤務を組み合わせたハイブリッドワークが一般化したことで、データセンターにITリソースを集約して防御する従来のセキュリティ戦略が有効性を失いつつある。その結果、ゼロトラストネットワークアクセス(ZTNA)の重要性が高まっている。
和田氏は、既存のZTNAソリューションは本来のゼロトラストアーキテクチャーに照らすと実装に不十分なところがあったとし、“要注意ポイント”として、「過剰権限付与」「認可後放置」「セキュリティチェック欠如」「データ保護欠如」「全App非対応」の5点を挙げた。
「過剰権限付与」は、既存のZTNAソリューションがアプリケーションをIPアドレスやポート番号といったL3/L4の情報だけで判断していることに起因するもので、アプリケーションごとの細かな挙動に基づいたきめ細かな権限付与ではなく、大雑把な権限付与を行うことで結果として過剰な権限を与えてしまっている可能性があるというものだ。
「認可後放置」は、ユーザーからのアクセスリクエストをチェックして権限を付与した後は全ての操作を信頼してしまう実装になっているZTNAソリューションが多いという指摘だ。
「セキュリティチェック欠如」は、既存のZTNAソリューションは認可や権限付与といった動作の一方で、通信そのもののチェックは行わないため、マルウェアの拡散やラテラルムーブを阻止できないという。
「データ保護欠如」はデータ損失防止(DLP)機能のことで、前述のセキュリティチェックと同様、実際にやりとりされるデータの内容の確認をしていないため、情報漏えいなどの阻止はできないという。
「全App非対応」とは、ユーザーが利用する全てのアプリケーションに対応しているわけではない、ということを意味する。前述の通り一般的なZTNAソリューションではIPアドレスやポート番号といったネットワーク層の情報に基づいてアプリケーションを判断しているために、クラウドネイティブなアプリケーションやポートが動的に変化するアプリケーション、サーバー起動型のアプリケーションには対応できなかったり、SaaSの識別ができなかったりなどの問題があるという。
同社では既存のZTNAソリューションを「ZTNA 1.0」、上記5つの課題を解決した第2世代製品を「ZTNA 2.0」と呼び、Prisma Accessは「ZTNA 2.0の要件を満たすSASEソリューション」(和田氏)だとしている。ただし、これはあくまでもZTNA製品/ソリューションの世代と考えるべきであり、ゼロトラストアーキテクチャーの考え方自体は特に変わっていない。
同社の言う「ZTNA 1.0」と「ZTNA 2.0」の違い。どちらかと言えば、ZTNA 1.0と言われる既存ソリューションではゼロトラストアーキテクチャーのコンセプトが十分なレベルで実装されてはいなかったという指摘のように聞こえる
実のところ、最小権限の原則や全てを疑い継続的にチェックするという考え方は最初から一貫して提唱されていることであり、むしろそれが不十分な状態でしか実装できていなかったのが既存のZTNAソリューションの現実であり、その実装レベルが向上したものが出てきたということだと理解するのが良さそうだ。
続いて、2022年秋以降に追加される予定の新機能について、ソリューションコンサルタントの石橋 寛憲氏がデモを交えて説明した。Prisma Accessにネイティブに組み込まれたデジタルエクスペリエンス監視(DEM、同社は頭にAutonomousを足して自律型デジタルエクスペリエンス管理:ADEMと呼ぶ)によるユーザー体験(UX)の可視化機能やSASE製品の統合、新しいZTNAコネクターについて紹介した。
2022年秋以降に実装予定の新機能