- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
テレワーク環境のためにVPNやSWG、SASEやIAPなどのソリューションの検討が増加しています。これらの多くの検討ポイントは、CASB機能と内部アクセスであることが多いですが、テレワーク環境=自宅などでのインターネット環境に端末を接続してネットワークを利用しますので、そもそもCASBだけではなく、端末をマルウェア感染や不正アクセスを受けない状態を維持することが重要です。
もしテレワーク環境で端末に潜伏型マルウェアが感染した場合、VPN経由での内部への不正アクセスや、その端末を社内や内部ネットワークに接続することで、ラテラルムーブメント(横感染)して、内部にもマルウェア感染が拡大してしまいます。
従いまして、組織が支給している業務用端末をテレワークで利用する場合、とにかく不要なネットワーク利用をさせないようにする措置が重要だと言えます。もし自宅から業務時間外に私的な目的でインターネットアクセスしてしまうと、そこでマルウェア感染してしまいますし、個人のクラウドのメールサービスでメール受信することで、マルウェア感染してしまうリスクがあります。
昨今SWGやIAPなどのプロキシ型のソリューションは、端末にエージェントのインストールが不要であり、フルトンネル型のソリューションよりも負荷が軽い(?)などということを言われるケースもありますが、エージェントがなければ、端末のネットワーク利用に関する制御やプロキシ経由以外の通信の可視化や制御が全くできず、テレワーク環境での利用はリスクが高いと言わざるを得ません。
これらの課題を解決するためには、以下の点や機能が重要ポイントだと考えられます。
また、内部とテレワークの兼用のモバイル端末の場合、さらに以下の要件も有用です。
上述するソリューションを提供するのが、安全なテレワーク環境を実現するGlobalProtectエージェントです。GlobalProtectエージェントは、PAシリーズのGlobalProtectとSASE/Prisma Accessの共通のアプリケーションであり、VPN接続を行うだけではなく、様々な認証機能や端末のネットワーク利用に関する制御、端末の状態の検査に伴うポリシー制御を実現するものです。
以下にGlobalProtectエージェントが提供する有用な機能をご紹介します。
上記でご紹介した各機能については、以下の資料にGlobalProtectエージェントの機能および動作の説明、PAN-OSおよびPrisma Access/Cloud-managedの管理GUIでの設定方法について解説しております。
尚、昨今の市場でのよく聞こえてくる端末にエージェントを必要としないSWGやIAPなどでは、単純にプロキシを経由するWeb通信に対してのアクセス制御のみであり、上記のような端末やユーザ認証、さらにWeb通信以外の端末のネットワーク制限ができず、セキュアなテレワーク環境であるとは言いにくいと考えられます。
GlobalProtectエージェントの豊富な機能で端末自身を保護しつつ、VPN経由でのアクセスはPAN-OSの豊富なトラフィック可視化/制御や脅威検知機能など実績豊富な機能が利用可能です。さらにCortex XDRと組み合わせることで、トラフィックに対しての機械学習と挙動分析にも対応し、より高度なセキュリティ対策も可能となります。
セキュアなリモートアクセス/テレワーク環境構築の検討および導入のお役に立てば幸いです。