前回のブログ記事では、 ゼロトラスト・セキュリティの概念と、セキュリティモデルのCitrix製品を用いた実現方法について紹介しました。ブログでは、現実的なゼロトラスト・セキュリティ展開のために設計されているCitrix Workspaceの活用について、Citrix Analytics for SecurityとCitrix Access Controlを連携させることにより、様々な脅威からどのように企業を守ることができるのか解説しています。

今回のブログでは、企業のウェブアプリケーションへの安全なアクセスを、Citrixのソリューションがどのように実現できるかについてさらに詳細に説明します。これは、重要なユースケースのひとつであります。

セキュリティが懸念される一般的な事例のひとつに、テレワーク中の従業員による企業アプリケーションやデータへのアクセスがあります。多くの企業は、セキュリティ向上のために、仮想プライベートネットワーク(VPN)を使用していますが、脅威が進化し、アプリケーションとモビリティーの状況が変化している中においても適切ではないと言われています。

従来のVPNベースのソリューションが持つ限界

VPNは企業の外から企業アプリケーションやデータにアクセスするための手段として使用されてきました。このモデルはエンドユーザーが企業ネットワークにアクセス可能な場合に有効であり、一般には企業が管理する認証済みの機器からのアクセスが認められています。また、エンドユーザーに得られる信頼は、企業ネットワークにアクセスしているという点という条件が付いています。

しかし、アプリケーションがウェブベースに代わり、マルチクラウド環境での展開が進みました。これに伴い、従来のVPNモデルは進化するユースケースからのニーズに十分に応えられず、エンドユーザーの使用エクスペリエンスやセキュリティの要求も満たすことができません。この従来のVPNモデルを使ってゼロトラストソリューションを導入しようとした場合、いくつかの限界が生じます。VPNはユーザーが増えるほどに企業インフラの負荷が増え、帯域の増速やVPNハードウェア強化必要なことは知られていますが、安全性のために使っているVPNの安全性は確かなものではありません。またIT管理者への業務負担も問題になります。テレワーク の本格利用に見えてきた VPNの限界については、こちらのブログをご参照ください。

より良い手段

これらの制約を克服し、セキュリティの確保されたアクセスに伴うニーズの進化により即したソリューションを利用できるとすればどうでしょうか。あるいは、機器ベースのエージェントやクライアントに使用する証明書が不要になったしたらどうでしょうか。または、アプリケーションがデータセンターやパブリッククラウドのどこに置かれているかにかかわらず、エンドユーザーからのアクセスをウェブブラウザー経由で必要なアプリケーションのみに限ることができたとしたら、状況はどのように変わるでしょうか。

アクセスは単にネットワーク経由で行われるだけでなく、エンドユーザーと機器に基づくコンテキスト情報に基づいてコントロールされるようになります。またシステムがエンドユーザーの活動を継続的に監視し、認証情報の確認に加えてユーザーの挙動やパターンを検証することも可能となります。Citrix Access ControlCitrix Analytics for Securityの組み合わせがこのソリューションです。

ソリューションの概要

Citrix Workspaceとは、Citrix Access ControlとCitrix Analytics for Securityをエンジンとして機能するCitrixが管理するSaaSソリューションです。Citrix Workspace上では、企業ネットワーク内にあるオンプレ環境の仮想アプリケーションへのアクセスや、認証されたウェブベースのアプリケーションへのアクセスが可能となります。

セキュリティ管理者は、Citrix Access Controlを使用することで、従業員にネットワーク全体へのアクセスを許可する必要はなくなり、オンプレ環境のアプリケーションでは、適切なレベルのアクセスの提供が可能となり、またコンテキストベースのセキュリティポリシーを施行することが可能となります。

このモデルは、従来のVPN機器配置の代替案ともなり、オンプレミスに置く設備の削減にも貢献します。Citrix Analytics for Securityを使用することにより、セキュリティ管理者は当初のログイン検証の後も、ユーザーのリスク評価とその軽減を継続的に実施できます。ポリシーの設定や、ユーザーとCitrix Workspaceコンポーネントとの間のさまざまな証跡を監視するためのポリシー作成も容易に行えます。ポリシーに設定された閾値を超えたときには、クローズドループの対応を開始できます。

機能の仕組み

このソリューションの仕組みはこちらのデモをご覧ください。

https://youtu.be/jJ069pxDNHA

Citrix Workspaceは、企業のウェブアプリケーションに加え、他のSaaSや仮想アプリケーションとデスクトップへのアクセスも含めて設定することが可能です。これによりトラストモデルの重要な要素である、エンドユーザーが仕事に必要とするアプリケーションに対してのみのアクセス許可が実現します。ネットワーク自体へのアクセスは提供されず、したがってアタックサーフェスが縮小するため企業のセキュリティが大きく改善されます。エンドユーザーはどの機器からも容易にCitrix Workspaceに容易にアクセスでき、また必要なウェブアプリケーションへのアクセスもCitrix Workspace内のアプリケーションアイコンから認証と起動を行うだけで行えます。

Citrix Workspaceからのエンドユーザーのトラフィックは、Citrix Access Controlのグローバルに分散したクラウドサービスPoP(Point of Presence)を経由して自動的にプロキシ化され、オンプレミスのデータセンターに置かれたウェブアプリケーションに安全に接続されます。パフォーマンスを最適化するため、ユーザーからのアクセスはCitrix WorkspaceとCitrix Access Controlから接続可能な、最も近くにあるPoPに誘導されます。オンプレミスで展開されている企業ウェブアプリケーションと、クラウド内のCitrix Access Controlサービスとの橋渡しは、データセンター内でオンプレミスに展開されているコネクターソフトウェアが行います。このコネクターはHA(ハイ・アベイラビリティ)ペアとして展開でき、アウトバウンドの接続のみしか必要としません。インバウンドの接続は必要なく、ポートを開く必要もありません。

コネクターとクラウド内のCitrix Access Controlサービスの間にはTLS接続が行われ、クラウドサービス内に再現されるオンプレミスアプリケーションにセキュリティが確保されます。ウェブアプリケーションへのアクセスとその提供は、Citrix Workspaceを通じてVPNを使用しない接続により行われます。このモデルではウェブアプリケーションの実際のインフラストラクチャが外部から隠されるためアタックサーフェスが縮小します。

エンドユーザーからの、Citrix WorkspaceとCitrix Access Controlを使用したウェブアプリケーションへのアクセス手順を下図に示しています。

アクセスの制御とセキュリティコントロールの実施

Citrix Access Controlポリシーコンソールからはまた、それぞれのウェブアプリケーションへのアクセスポリシーを容易に定義し、それらを施行することができます。この強化されたセキュリティコントロールには、ウォーターマーキングの強制や、ダウンロード、印刷、ナビゲーション、クリップボードへのアクセスなど、許可されたウェブアプリケーションへのトラストベースのアクセスをさらに高める機能が含まれています。

Citrix Analytics for Securityによる継続的監視と認証

Citrix Analyticsを使用することにより、継続的な監視を通じて一貫性に欠ける、あるいは疑わしい行動を特定し、ユーザーの行動と使用状況に関して対応するためのインサイトが得られます。具体的には、Citrix Analytics for Securityは悪意ある、危険な、あるいは未知のウェブサイト訪問、消費された帯域、およびリスクを伴うダウンロードとアップロードを継続的に監視し、それらに基づくインサイトを提供します。ユーザーがダウンロードしているデータの量が多すぎる場合には、ユーザーに対して身元を明らかにするよう要求できます。ユーザーからの回答に基づき、次の対応を実施することも可能です。

ユーザーのリスクスコアを継続的に監視し、閾値を超えた場合にはそのユーザーのアカウントに対して特定の行動を実施するようCitrix Analytics内でルールを設定できます。たとえばエンドユーザーによるCitrix Workspaceへの認証済みセッションについては、リスクスコアの変化に応じてリアルタイムでそのアカウントからログオフさせることが可能です。ユーザーのリスクレベルが許容範囲内に低下した場合には、セキュリティ管理者はそのユーザーによるアクセスを再び許可することができます。

まとめ

Citrix WorkspaceはCitrix Access ControlとCitrix Analytics for Securityをエンジンとし、1か所に置かれた企業のウェブアプリケーション、SaaS、および仮想とモバイルアプリケーションを含む、許可されているすべてのアプリケーションへのアクセスを、どの機器からも、どの場所からも、ユーザーに提供します。これによりエンドユーザーのエクスペリエンスと生産性が向上し、ITの複雑さが減少するだけでなく、IT部門による管理や運用を簡素化する、より安全な環境を提供することにより、企業や組織によるゼロトラストのアクセスを実現します。

Citrixを通じたゼロトラスト導入

Citrix Access Controlサービスは、無料のCitrix Cloudアカウントを作成し、Citrix Access Controlへの「Request a Free Trial」タイルをクリックして無償トライアルを開始が可能です。Citrix Analytics for SecurityのトライアルはCitrix Cloud内でAnalyticsタイルをクリックしてください。

すでにCitrix Cloudアカウントをお持ちの場合は、アカウントにログインし、オンプレミスに置かれた企業ウェブアプリケーションへのシングルサインオン手順設定のガイドに従ってください。ウェブアプリケーションのコンフィグレーション設定の詳細については、オンラインの資料ページをご覧ください。