エッジを超えて考える:エンドポイントDLPなしではSASEが不完全な理由

コロナ禍により分散した労働力への移行は、突然かつ迅速に行われました。2020年2月の時点では、大半の従業員が週に1日以上在宅勤務を行うことを許可していた企業は40%未満でしたが、4月までに、企業の77%が在宅勤務を導入するようになりました。

組織は何年にもわたってデジタルトランスフォーメーションプロジェクトの真っ只中にありましたが、大規模なテストを行うことになりました。ほとんどの組織は、クラウド移行プロジェクトの成功とさまざまなモビリティおよびリモートアクセステクノロジーの採用により、従業員が在宅勤務中に生産性を維持できることに驚き安堵していますが、一方で、システムがリモートで動作している場合、従業員のデータの可視性がはるかに低いことを懸念しています。従来のネットワークDLPは、ネットワークを通過して企業のエッジに到達するまでデータを保護できますが、企業ネットワークから外れるとデータの可視性がほとんどなくなり、従業員が分散している場合はその有効性がさらに制限されるため、可視性が低下するのです。

図1:クラウドへの直接アクセスに起因するデータ保護のギャップ

CIOの4分の3以上が、このデータの無秩序な増加がセキュリティに与える影響を懸念しています。昨年、すべての企業データの約半分がクラウドに保存されていたにもかかわらず、そこでデータ保護ポリシーを実施できたのはわずか36%の企業でした。そのため、多くの組織は、在宅勤務のユーザーにVPN経由ですべてのトラフィックを企業データセンターにヘアピンで戻すように強制し、ネットワークデータ損失防止(DLP)システムで保護できるようにしました。これによりセキュリティは維持されましたが、パフォーマンスが低下し、生産性が低下しました。

クラウドネイティブセキュリティはソリューションの一部

Cloud Access Security Broker(CASB)、DLP、Secure Web Gateway(SWG)などのクラウドベースのセキュリティテクノロジーを採用している組織は、ユーザーが高速で安全なクラウドへの直接アクセスでジョブを実行できるようにすることができます。ただし、これは依然として頭痛の種になります。IT組織は複数の異なるソリューションを管理する必要があり、データにアクセスする前にトラフィックが複数のサイロ化されたテクノロジー間でバウンスする必要がある一方で、ユーザーは遅延に直面します。

セキュアアクセスサービスエッジ(SASE)は、組織がこれらすべてのテクノロジーを1つの統合クラウドサービスにまとめるためのフレームワークを提供することにより、このジレンマに対するソリューションを提供します。 エンドユーザーは、クラウドへの低遅延アクセスを享受しながら、IT管理とコストを簡素化できます。よって誰もが利点を得られるのですが、それでもまだ完全ではありません。

多くのSASE支持者は、分散型の在宅勤務環境を設計する最善の方法は、クラウド内のすべてのセキュリティ機能を「サービスエッジ」に配置することですが、エンドユーザーデバイスにはトラフィックをそのサービスエッジにリダイレクトする小さなエージェントしかないと考えています。ただし、このモデルにはデータ保護のジレンマがあります。クラウドで提供されるサービスは、データ保護をデータセンター、クラウドアプリケーション、およびWebトラフィックに拡張できますが、いくつかの盲点があります。

  • 現在、すべてのリモートワーカーの自宅は、プリンタ、ストレージドライブ、周辺機器など、データの漏洩やデータの盗用に使用される可能性のある、管理されていない、セキュリティで保護されていないさまざまなデバイスを備えたリモートオフィスになっています。
  • USBキーなどの接続されたデバイスを使用して、企業のデバイスからデータを取得したり、データ保護制御の範囲を超えたりすることができます。
  • Webex、Dropbox、Zoomなどのクラウドアプリケーションにはすべて、ファイル同期や画面/ファイル共有などのアクションを可能にするデスクトップコンパニオンアプリがあります。これらのWebSocketアプリは、ユーザーのシステム上でローカルに実行され、クラウドベースのデータ保護ポリシーの対象ではありません。

これらの死角は、ユーザーのデバイスにデータ保護ポリシーを適用するエンドポイントベースのデータ損失防止(DLP)によってのみ対処できます。これは、SASEフレームワークがブランチオフィスの場所で重要なネットワークフロー機能を実行するSD-WAN顧客宅内機器(CPE)に依存する方法と同じです。したがって、エンドポイントDLPカバレッジを含むSASEソリューションを探すことが不可欠です。

図2:エンドポイントDLPがホームオフィスのセキュリティギャップに独自に対処する方法

すべてまとめることが鍵

クラウドの変革とリモートワーカーの課題に対処するには、専用の管理インターフェイス、データ分類、ポリシーワークフローを備えた既存のネットワークDLPソリューションに、クラウドとエンドポイントで同様の機能を搭載する必要があると言っても過言ではありません。もちろん、限られた予算と熟練した人員のためにIT組織が現状に対処するのにすでに苦労している場合、これは完全に非現実的です。それは非現実的であるだけでなく、デジタルトランスフォーメーションとSASEフレームワークの両方によって約束された統合、簡素化、およびコスト削減を損ないます。

このジレンマへの答えは、ネットワーク、デバイス、およびクラウドを網羅する包括的なデータ保護ソリューションです。これは、McAfee MVISION Unified Cloud Edge (UCE)によって独自に提供されるものです。MVISION UCEは、データ損失防止(DLP)、クラウドアクセスセキュリティブローカー(CASB)、次世代のセキュアWebゲートウェイ(SWG)などのコアセキュリティテクノロジーをシームレスに統合して、SASEの採用を加速するクラウドネイティブソリューションです。MVISION UCEは、ネットワーク全体で統一されたデータ分類とインシデント管理、認可および非認可のシャドーITクラウドアプリケーション、Webトラフィック、および同様に重要なエンドポイントDLPを特徴とするマルチベクターデータ保護を備えています。これにより、企業の情報セキュリティチームは、在宅およびモバイルワーカーがどこからでもデータにアクセスするときに、必要な可視性、制御、および管理機能を保護できます。

図3:統合されたマルチベクトルデータ保護

分散した従業員のデータセキュリティを管理するには、デバイスのセキュリティを企業ポリシーにリンクすることが非常に重要になります。デバイス上のマネージドDLPエージェントを使用すると、ITセキュリティは機密データの存在を認識し、信頼できないサービスとリムーバブルメディアをブロックし、クラウドサービスとデスクトップアプリから保護し、潜在的な危険について従業員を教育できます。

これまで、データ保護は、デバイスに実装することが困難であったため、ネットワークやクラウドなどの中心点に焦点を合わせてきました。ただし、McAfeeのUnified Cloud Edge(UCE)を使用すると、DLPは簡単に提供できる機能になります。

McAfee MVISION ePOによって一元管理されるMcAfee DLPは、エンドポイントに簡単に展開が可能です。独自のデバイスからクラウドへのDLP機能により、オンプレミスのDLPポリシーは、ワンクリックで1分未満の速さでクラウドに簡単に拡張できます。共有データ分類タグは、エンドポイント、ネットワーク、クラウド全体で最も機密性の高いデータに対して一貫したマルチ環境保護を保証します。

クラウドとエッジにセキュリティを組み込み、エンドポイントでデータ保護を提供することが、SASEが約束することを実際に実現し、リモートの従業員を保護しながら生産性を維持する唯一の方法です。今後も、オフィス外に広く分散した労働力が継続することになるでしょう。将来を見据え、どこにいてもデバイスとデータを保護するための措置を講じることが企業に求められています。

詳細については、www.mcafee.com/unifiedcloudをご参照ください。

※本ページの内容は2020年12月3日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Think Beyond the Edge: Why SASE is Incomplete Without Endpoint DLP
著者: