世界中で、リモートワークの採用が継続され、クラウド アプリケーションの導入が加速する中で、「人」がセキュリティの新たな境界となっています。その境界を脅威、データ損失、コンプライアンス リスクから守るには、リモートワーカーによる以下のような危険な行動を可視化することが、組織に求められます。
- IT 部門が承認したアプリケーションで機密データをダウンロードする
- 会社のデータを個人のクラウド ストレージに保存する
- チャット アプリや会議アプリなど、未承認のクラウド アプリケーションを使用する
- 悪意のあるコンテンツや不適切なコンテンツを閲覧する
このような問題に対処するには、当初からインライン アクセス制御と情報漏えい対策 (DLP) が必要となります。プルーフポイントが Proofpoint CASB Proxy を再設計し、Proofpoint Web Security (クラウドネイティブなセキュア ウェブゲートウェイ) を Proofpoint Protect 2021 で発表した理由はそこにあります。
プルーフポイントは、このようなプロキシベースのクラウド セキュリティ ソリューションを、クラウドネイティブでありながら成熟した Proofpoint ZTNA (Zero Trust Network Access) インフラ上に構築しました。これらのソリューションには、Proofpoint CASB (Cloud App Security Broker)、リモートブラウザ アイソレーション、Proofpoint ZTNA ソリューションを組み合わせており、新しい Proofpoint SASE (Secure Access Service Edge) セキュリティ アーキテクチャを提供し、インターネットのサイト、クラウドサービス、個人のアプリケーションにアクセスするユーザーへの脅威対策とデータ保護により、アクセスを確実に制御できるようにしています。
承認済みまたは許容されているクラウド アプリをリアルタイムで管理する Proofpoint CASB Proxy
会社のデバイスからのクラウド アプリへのアクセスを管理し、クラウドでの機密データ損失を防ぐには、フォワード プロキシが必要です。Proofpoint CASB Proxy は、クラウドで行われるファイルのアップロードとダウンロードに機密データがないか監視して、DLP ポリシーを徹底します。また、保護されるべき医療情報 (PHI)、個人を特定できる情報 (PII)、ペイメント カード インダストリー データ (PCI)、さらに知的財産や機密ドキュメント (ソースコードや設計、法務、技術的ドキュメントなど) のような規制対象データの識別と分類も行います。
Proofpoint SaaS Isolation と組み合わせた Proofpoint CASB Proxy では、読み取り専用アクセスや、承認済みと許容されているアプリ両方に対するリアルタイム DLP などのアクセス制御を細かく指定できます。Proofpoint SaaS Isolation は、ブラウザー セッションをセキュアなコンテナに分離することで、クラウド上のアプリやデータに対するユーザーのアクセスを保護します。
プルーフポイントによるプロキシのコンテキストに基づく People-Centric なポリシーを活用して、クラウド アクティビティにリアルタイムのデータ制御を適用することが可能となり、データ損失とコンプライアンス違反を防ぐことができます。軽量エンドポイント エージェントで、ユーザー トラフィックをプルーフポイントのクラウドネイティブ ソリューションに転送して、危険なアプリをブロックし、承認済みまたは許容されているアプリケーションへのアクセスとデータ制御を実現します。Proofpoint CASB Proxy は、プルーフポイントの情報防護クラウドセキュリティ プラットフォームに欠かせない Proofpoint CASB ソリューションへのアドオンです。
クラウド セキュリティを採用する際、まず Proofpoint CASB を API モードで導入すると、クラウド アカウント侵害、過度のファイル共有、悪意のある、または危険なサードパーティ OAuth (オープン認証) アプリなどのクラウド リスクを詳細に可視化できます。また、プルーフポイントのクラウド アプリケーション カタログとトラフィック監査機能を使用して、シャドー IT のリスクを評価することも可能です。
人、アプリケーション、データ、それぞれのリスクへの理解が深まれば、管理対象外デバイスに対する適応型アクセス制御とデータ制御、および管理対象デバイスに対するフォワード プロキシ制御と分離ベースの制御など、リアルタイム制御で CASB ソリューションを強化できます。そして、アクセス制御、脅威対策、DLP をクラウド アプリケーションから全インターネット トラフィックに拡張する必要が生じた場合には、Proofpoint Web Security へのアップグレードが可能です。
業界最高の脅威インテリジェンスによる Web セキュリティ
組織がハイブリッド型勤務のためのセキュリティを再検討している今、セキュリティのスタックについても同じく再検討する必要があります。これには、インターネット トラフィックを保護するツールも含まれます。
Web ゲートウェイ型のアプライアンスを集中型データセンターに設置する従来のアプローチは、あらゆる場所から接続するユーザーが、さまざまな場所にある会社のデータにアクセスする状況では役に立ちません。Web を閲覧するユーザーの安全を守り、攻撃者が組織の重要なデータや資産に不正アクセスするのを防ぐには、クラウドベースのセキュリティ アプローチが不可欠です。
Proofpoint Web Security は、Web にアクセスするエンドユーザーに対する制御と分離を可能にします。このソリューションはグローバルで高度に柔軟なクラウド フレームワーク上に構築されており、組織の規模や場所にかかわらず、究極の拡張性を提供します。また、暗号化されたトラフィックをはじめ、すべてのインターネット トラフィックを検査し、全ユーザーに対するアクセス制御をシームレスに実現します。特定のサイトに対する使用制御と、Web アプリの使用状況に対する可視性と制御を十分に提供して、シャドー IT の問題に対応できるようにします。
インターネットを閲覧するユーザーに最高レベルのセキュリティを保証するために、Proofpoint Web Security は業界をリードする脅威インテリジェンスを実装して、組織が非常に高度な Web 上にあるセキュリティ脅威を簡単に阻止できるようにしています。
図 1
Proofpoint Web Security は、従来の Web ゲートウェイ機能のように、単にサイトへのアクセスをブロックしたり許可したりするものとは異なります。Proofpoint Browser Isolation とシームレスに統合しているため、ユーザーが未知のサイトや個人的なサイト (メールや医療関連など) のような特定のカテゴリに属するサイトを閲覧している場合に、ブラウザセッションを分離することが可能になります。
アイソレーション中も、ユーザーはサイトにアクセスできますが、サイトのページに何らかの脅威が見られる際に、脅威の「分離状態」を維持することで、ユーザーへの影響を防ぎます。この統合により、組織の攻撃対象領域を大幅に減らすことができます。また、ユーザー エクスペリエンスにも優れており、個人的な閲覧をしている間も、従業員のプライバシーを保護することができます。Proofpoint Web Security と Proofpoint Browser Isolation はプルーフポイントの情報防護クラウドセキュリティ プラットフォームの一部です。
すべてを支配する統合コンソールを備えた強力なプラットフォーム
プルーフポイントの情報防護クラウドセキュリティ プラットフォームは、Proofpoint Enterprise DLP、Proofpoint ITM (Insider Threat Management)、Proofpoint CASB、Proofpoint ZTNA、Proofpoint Browser Isolation、Proofpoint Web Security を 1 つに束ねたソリューションです。この強力なクラウドネイティブの単一プラットフォームは、業界の持つ SASE アーキテクチャの展望と一致しています。場所やデバイスの種類にかかわらず、従業員がアプリケーションやデータにアクセスする中で、組織がセキュア アクセスと脅威保護を適用できるようにするというものです。
図 2
プルーフポイントのプラットフォームは独自の「人」を基点としてセキュリティを構築する People-Centric アプローチで、インターネット、クラウドサービス、個人のアプリケーションに対するアクセス ガバナンス、またメール、クラウド アプリ、Web、エンドポイントにわたる情報漏えい対策 (DLP) を実現します。以下のような特長を備えています。
- 情報保護とクラウドセキュリティ ソリューションの包括的なパッケージ
- 管理と対応が統合されたコンソール
- インテリジェント リスク モデリング
- ワールドクラスの脅威、コンテンツ、行動検知
- People-Centric な可視性と制御
プルーフポイントのクラウド セキュリティは、グローバルなクラウドネイティブなプラットフォーム内でインターネット、クラウドおよび個人のアプリケーションを使用するユーザーの People-Centric なアクセス制限と脅威保護を統合しています。企業全体で適応型の People-Centric なセキュア アクセスを実現するために、以下を組み合わせています。
- リスクベースの認証、読み取り専用アクセス、マイクロセグメント化したアプリケーション アクセスなどのきめ細やかな制御
- ユーザーリスクに関する豊富でさまざまな経路を考慮した脅威インテリジェンス
- 高度な脅威対策
DLP チャネルのすべてと、共通データ分類フレームワークをカバーするプルーフポイントの情報保護は、コンテンツ、行動、脅威ベースのテレメトリーを高度な分析と組み合わせています。世界中のセキュリティ チームが、悪意のあるユーザー、不注意なユーザー、侵害を受けたユーザーにかかわるデータ損失シナリオのあらゆる面での対処に、プルーフポイントのサービスを利用しています。内蔵されている統合アラートもまた、警告の優先順位付け改善、迅速な対応、短時間での効果の実現をサポートします。
管理と対応が統合されたプルーフポイントのコンソールを使うと、日々のセキュリティ業務が簡素化し、以下の高度なツールを組み合わせることで、対応速度が改善します。
図 3
ポリシー管理:
- クラウドとデータのアクセス ポリシーをすべて単一のコンソールで管理します
- 共通データ分類フレームワークと高度な脅威インテリジェンスおよび検知を使用して、複数のチャネルにわたる高度なルールを作成します
インシデントおよび調査ワークフロー:
- 脅威、DLP、ユーザー行動に関するアラートを統合アラート マネージャーで一元管理し、ユーザーの包括的なリスクプロファイルを取得します
- ユーザー行動を調査して、リスクの意図と程度を判断します
- 発見から解決まで、アラートのステータスを部門の枠を越えて管理します
脅威ハンティングと探索:
- クラウド アカウント侵害、個人のクラウド ストレージへの大量のデータ転送、未承認アプリケーションの使用などの新たな脅威に対するプロアクティブなハンティング
- ユーザーをリスクプロファイル (役員、Very Attacked People™ (VAP)、特権ユーザー、人事スタッフ、コントラクターなど) で整理および優先順位付けするウォッチリストを作成
- 強力なフィルターと検索機能で、事前設定されている探索をカスタマイズ
レポートおよび分析:
- 複数のチャネルにわたるユーザーアクティビティとデータアクティビティの直観的なタイムラインビュー
- ユーザーの意図に基づくリスクの高いアクティビティのレポートをビジネス パートナーと共有
- SIEM (セキュリティ情報およびイベント管理システム)、SOAR (セキュリティ オーケストレーション、自動化、対応)、およびチケッティングシステムのシームレスな統合により、複数チャネルのアクティビティとアラートを別のセキュリティ ツールのデータと相関分析
管理とデータ プライバシーのコントロール:
- 職務ベースのアクセス コントロールで部門の枠を越えてアラートと調査を管理
- きめ細やかな属性ベースのアクセス制御でデータ プライバシーの懸念に対処
プルーフポイントのプラットフォームはグローバルでありながら、データをローカルに保存してデータ コンプライアンス要件を満たすことができます。
詳細情報
プルーフポイントの情報防護クラウドセキュリティ ソリューションの詳細は以下をご覧ください。