ニュース

パルス・セキュア、“ゼロトラスト”に基づいたセキュアアクセスサービス「Pulse ZTA」

ゼロトラストに必要な5つの要素をカバー

 パルス・セキュア・ジャパン株式会社(以下、パルス・セキュア)は6日、ゼロトラストに基づいたセキュアアクセスを実現するクラウドサービス「Pulse Zero Trust Access(Pulse ZTA)」の提供を開始すると発表した。

 今年に入り在宅勤務を行う人が急増するなど、社外から会社のシステムにアクセスする人が急増。従来にも増して、社内と社外という“境界”を守るセキュリティ対策ではカバーできないセキュリティ被害が増えている。

 Pulse ZTAでは、ユーザー認証、デバイスのコンプライアンスチェック、コンテキストの確認を行ったうえでアクセスを許可するが、認証後も継続的なチェックを行うほか、許可されたアプリケーションのみアクセス可能にするといった最小権限のみを付与することで、セキュリティの担保を図る。

 同社の脇本亜紀社長は、「認知度向上のためのマーケティング活動を強化し、新規パートナー開拓とパートナートレーニング、当社のVPNユーザーに対するマイグレーションなどの施策を実施。初年度100件の受注を目指す」との目標を掲げている。

脇本亜紀社長

すべてを信用せず継続的にアクセスを評価するセキュリティソリューション

 Pulse ZTAは、ゼロトラストモデルを実現するために、すべてを信用せず、継続的にアクセスを評価するセキュリティソリューションだ。

ゼロトラストモデル

 「大前提として、境界型セキュリティでは、一度侵入されてしまうと、信用できないものまで信頼できるものとされてしまう。これに対してPTZAでは、ゼロトラストに求められる5つの要素すべてに対応している」(パルス・セキュア リージョナル テクニカルマネージャーの山田晃嗣氏)。

リージョナル テクニカルマネージャーの山田晃嗣氏
ゼロトラストに必要な5つの要素

 5つの要素の1点目は、高度なユーザー認証とシングルサインオン(SSO)で、Azure AD、OktaなどのiDaaSやオンプレミスのAD、LDAPとの連携を実現。さらにアプリケーションポータルの提供と、各アプリへのSSOを実現していることで利用者の利便性を確保する。

 2点目の要素は、同社のVPNでも提供されていた、アクセスしてきた端末のコンプライアンス評価。「利用している端末がきちんとウイルス対策ソフトを利用しているのか、といった点だけにとどまらず、正しく定義ファイルを更新しているのか、フルスキャンを行ったのはいつなのかといった点まで含めて、評価を行う。また、利用している端末が会社支給のものなのか、BYODなのかを識別。それぞれに認められているアクセス権限だけを付与するといった、端末のコンプライアンスに応じた対応を行う」(山田氏)。

高度なユーザー認証とSSO
端末のコンプライアンス評価

 3点目は、利用している場所や利用時間などコンテキストの確認。利用者のふるまいに基づいたリスク状況を確認するために、利用場所、利用時間、利用端末などの情報に基づいてリスクをスコア化する。「急に、普段いる場所とは遠く離れた場所からアクセスがあった、普段は活動していない時間帯にアクセスがあった、などの点まで含めてリスクをスコア化していく」(山田氏)。

 4点目は、継続的な監視と動的なアクセス制御だ。「ゼロトラストに必要な要素として、アクセスが認められた後でも継続的な監視を行う」(山田氏)としており、場合によっては、アクセス中であっても動的な接続を拒否することができる。

コンテキストの確認
継続的な監視と動的なアクセス制御

 5点目は、最小限度のアクセスとダーククラウド。正規のユーザーであっても権限のないリソースにはアクセス不可とするなど、最小限度のアクセスにのみ絞り込むことで、万一セキュリティ侵害が起こった際にも被害範囲を最小限にとどめる。また、利用者はアプリがどこにあるのかなどの情報を知る必要がない(ダーククラウド)。

 「利用者は、自分が社内システムにダイレクトにアクセスしているのか、VPNを介してアクセスをしているのかといった意識を全くする必要がないことが、ゼロトラストモデル。コストを抑えるために、オンプレミスからIaaSなどのアプリへと移行することも容易となる」(山田氏)。

最小限度のアクセスとダーククラウド

 Pulse ZTAでは、NIST等が示しているゼロトラストモデルの教科書に準拠し、アクセス可否を判断するゲートウェイは仮想化されているので、オンプレミスであってもIaaSであっても、どこにでも実装できることが特徴となっている。

 Pulse ZTAの動作は、以下のような手順となる。

 ユーザーがリソースにアクセスする都度、Pulse ZTA ClientはPulse ZTA Controllerに対してアクセス要求を行う。次にPulse ZTA Controllerは、ユーザーの資格・デバイス状況、ふるまいなどを確認し、適切なPulse ZTA Gatewayに対して暗号通信を許可する。続いて、PTZA Clientは、Pulse ZTA Gatewayを介してリソースとの暗号化通信を確立する。

 以上のフローは、デバイスが社内でも社外でも、リソースがオンプレミスでもSaaSでも共通して行われる。

Pulse ZTAの動作

 「導入した際、すぐにメリットを感じるのはマルチデータセンター、マルチクラウドを利用しているお客さま。現在、VPNへアクセスする人が増えたためリソースを圧迫しているが、その対策としてこれまではVPN利用のみだったSaaSへのダイレクトアクセスを認めるケースが出てきているが、その際には複数のゲートウェイを管理することで起こる負荷の増加、利用者がゲートウェイを切り替えることの負担が増している。さらに、デバイス確認が不十分という問題も起こっているが、Pulse ZTAを利用してもらうことで、既存VPNと共存しながら、デバイス確認、複数ゲートウェイの一括管理が可能。利用者側ではゲートウェイを意識することが不要となる。さらに、そこから進化して、Pulse ZTAを利用することで、あらゆる場面でのゼロトラストアクセス実現へと進化させることを推奨したい」(山田氏)。

 価格は、「現在日本での価格を設定している最中だが、米国では1人当たり年間180ドルが最大の利用額。そこからボリュームライセンスなどで割り引く計画で、日本でも同程度の価格となる見込み」(脇本氏)という。

 今後は既存のパートナーに加え、新たにサービスプロバイダーとのパートナーシップなどを結ぶことや、エコシステムベンダーとの連携プロモーションを結ぶことも計画している。2021年からはパートナー向けインセンティブプログラム導入も予定している。