ソフォスは Sophos ZTNA をいち早く採用しましたが、その理由と方法についてソフォス専属エキスパートでシニア IT インフラストラクチャエンジニアの Matt Welch に率直に語ってもらいました。この動画の中で Matt は、ソフォス社内での ZTNA への移行を管理した経験から、リモートアクセス VPN の課題と Sophos ZTNA のメリットについて知見を述べています。
主な内容は以下のとおりです。
以前のリモートアクセス VPN でソフォスが抱えていた課題:
- 不満のつのるユーザーエクスペリエンス。信頼性が低く、ホテルやホットスポットでブロックされることが多かった。
- 契約社員やコンサルタント、買収した会社のチームなど、第三者にアクセスを提供することが非常に困難だった。
- セキュリティ上のリスクがあった。
ソフォスにとっての ZTNA のメリット:
- ゲスト (コンサルタントや契約社員) や新規ユーザー、買収した企業にアクセスをわずか数分で提供できます。ZTNA を導入することで、契約社員や新たに買収した企業に対して複雑なサイト間 VPN を設定する必要がなくなります (この作業は通常、数日を要します)。ゲストアクセスは、独自の企業 ID を使用して提供できるようになり、ID プロバイダーへの複製やインポートは必要ありません。これにより、新規に企業を買収した場合のアクセスが非常に迅速かつ容易になりました。
- セルフプロビジョニングが容易になります。ZTNA は、クラウドベースの MDM や最新の ID プロバイダーと組み合わせることで、「ノート PC がユーザーの自宅に配送され、ユーザーは IT の関与なしに自分でセットアップできる」という完全なゼロタッチ展開を可能にします。これにより、ユーザーエクスペリエンスを向上させると同時に、IT 部門の作業負荷を軽減することができます。
- セキュリティが向上します。ZTNA により、侵入されたデバイスからのラテラルムーブメントのリスクが排除され、アプリケーションのセキュリティが強化されます。ユーザーとゲストは必要なものだけに接続し、それ以外には接続できません。アプリケーションに脆弱性が発見された場合、インターネットに公開されないため、攻撃対象領域が狭まります。
ソフォスにおける ZTNA の主なユースケース:
- アプリケーション、ラボ、テスト環境、リモートシステムへのアクセスを保護
- ゲスト (契約社員、コンサルタント) は必要なものだけに簡単かつセキュアにアクセス
- 新たに買収した企業が、既存の企業 ID を使用してソフォスのシステムに迅速かつ容易にアクセスできる
- シングルサインオン (SSO) や多要素認証 (MFA) に対応していないアプリケーションやポータルのセキュリティ向上
- サードパーティアプリケーションを潜在的なエクスプロイトから保護し、脆弱性が発見された場合でもインターネットに公開されないようにする
他の組織へのアドバイス:
- 全ユーザーを対象とした広範な VPN ネットワークアクセスから、ユーザー/グループ/アプリケーションに特化したアクセスモデルへのマインドセットの転換を理解してください。この転換により、IT 部門の作業負荷が軽減されると同時に、セキュリティを強化させユーザーエクスペリエンスを向上させる大きなメリットが得られます。
- アイデンティティ戦略を策定します。Microsoft Azure AD や Okta などの最新の ID プロバイダーが不可欠です。
- ZTNA の価値を実証できるよう、最も使用されているアプリから小規模に開始します。
- アプリケーションのエコシステムを理解し、カタログ化します。ユーザーが他のビジネスユニットと連携するためにはどのアプリケーションにアクセスする必要があるのかを把握することで、ユーザーニーズをより正確に理解できるようになります。
SophSkills のセッションや FAQ の回答を見逃した方は、こちらでご確認ください。