パルスセキュア、ゼロトラストを実現するセキュアアクセスサービス

©株式会社マイナビ

SSL VPN製品の「Pulse Connect Secure」など、セキュアアクセスサービスを提供するパルスセキュアジャパンは8月6日、オンラインによる記者説明会を開催し、クラウドベースのセキュアアクセスサービス「Pulse Zero Trust Access(PZTA)」を国内において同日に提供開始すると発表した。

PZTAは、同社がホストし、管理するPZTAコントローラとユーザーのオンプレミスとクラウド(IaaS)双方に展開が可能な仮想ゲートウェイ、Microsoft Windows、MacOSとiOS、Androidなどのデバイス上で稼働するPZTAクライアントで構成されている。

冒頭、パルスセキュアジャパン 社長の脇本亜紀氏は、新型コロナウイルスの感染拡大を踏まえて、ITが直面する課題として「在宅勤務、リモートユーザーの増加や会社支給デバイス、BYOD(Bring Your Own Device)の多様化、クラウド化とSaaS利用の増加、脅威の巧妙化に伴うコンプライアンスの強化、ポリシーの乱立により、社内外の境界モデルは限界に達している」と指摘。

また、パルスセキュアジャパン リージョナルテクニカルマネージャーの山田晃嗣氏は、境界型モデルの限界について「境界型セキュリティモデルは社内は安全だが社外は危険であるという基本的な考え方に基づき、『壁』を作って社内ネットワークを防御する。また、昨今の在宅勤務の増加に伴い、社外デバイスやクラウドも社内の一部として壁を拡張していた。しかし、メール経由のマルウェア侵入や社内に持ち込まる種々のデバイス、マルチクラウド、全社在宅勤務時のVPNリソースの圧迫などで限界を迎えつつある」との認識を示す。

そのような状況を鑑みて、同社ではゼロトラストの考え方に基づくセキュアアクセスを提供するサービスとして、PZTAを提供する。

脇本氏は「アーキテクチャは、クラウドセキュリティアライアンスのゼロトラスト/SDP(Software Defined Perimeter)に準拠していることに加え、ガートナーが提唱するエンドポイント向けのセキュリティ手法であるCARTA(Continuous Adaptive Risk and Trust Assessment)により、アクセス中も監査を続けることができる。また、ゲートウェイを無制限に拡張できるスケーラビリティを有しているためパフォーマンスを最適化することが可能だ」と説明する。

その上で、山田氏は「ゼロトラストに必要な5つの要素として『高度なユーザー認証とSSO』『端末のコンプライアンス評価』『コンテキスト(利用者のふるまい)の確認』『継続的な監視と動的なアクセス制限』『最小限のアクセスとダーククラウド』が挙げられる」と話しており、これらすべてに対応しているのがPZTAだという。

高度なユーザー認証とSSOでは、Azure AD、OktaなどのIDaaSやオンプレミスのAD(Active Directory)、LDAP(Lightweight Directory Access Protocol)と連携し、各種多要素認証に対応するとともにアプリケーションポータルの提供と各アプリへのSSOを可能としている。

端末のコンプライアンス評価は、アンチウイルスの状況など端末コンプライアンスを確認し、結果に応じてアクセス可能な範囲を制御し、アンチウイルス定義ファイルの更新やフルスキャンの頻度も指定できる。また、会社支給端末とBYODを識別し、違いに応じたアクセス権限を付与する。

コンテキストの確認に関しては、利用者のふるまいに基づきたリスクの状況を確認し、場所・時間・利用端末などの情報に基づきリスクをスコア化(地理的に離れた場所からの利用、深夜時間での利用、普段と異なる端末からの利用など)する。

継続的な監視と動的なアクセス制限については、デバイスの状況やふるまいに基づき、アクセス開始前だけでなく、アクセス中も継続的に監視し、状況によりアクセス中でも動的に接続を拒否するという。

最小限のアクセスとダーククラウドでは、正規のユーザーでも権限のないリソースにはアクセスを不可とし、万一のセキュリティ侵害時も被害範囲を最小限にするためアクセスを制限。さらに、ユーザーから見てアプリケーションなどリソースの場所を意識する必要がないダーククラウドを実現している。

山田氏は「PZTAの動作は、ユーザーがリソースにアクセスする際にクライアントはコントローラに対してアクセス要求を行い、コントローラはユーザーの資格、デバイス状況、ふるまいなどを総合的に確認し、適切なゲートウェイに対し、暗号化通信を許可する。その上で、クライアントはゲートウェイを介してリソースとの暗号化通信を確立し、これらのフローはデバイスが社内外か、リソースがオンプレミスかSaaSかに関わらず共通して行われる」と説く。

また、同氏は「ゼロトラストの本来の狙いであるセキュリティの向上はもちろんのことながら、それ以外のベネフィットとして全社在宅勤務時のVPN圧迫を解決することに加え、VPNに頼らず社外からのSaaS利用時の端末制限を実現できる。さらに、既存のVPNとの共存を含めた段階的な移行を可能としている。目の前にある課題を解決しつつ、段階的かつ容易な移行ができることが、われわれのゼロトラストの大きな特徴だ」と力を込めていた。

価格は、ユーザー1人あたりの年間サブスクリプションで1万9440円(税込、1000ユーザー利用のボリュームディスカウントの場合)、エディションは1つとなり、課金対象は指名ユーザーのみ、コントローラやゲートウェイに課金はなく、今後1年間で100件の受注を目指す。