.jpeg){kind=logo}
この記事は、Vectra AIのプロダクトマネジメント担当シニアディレクターであるブラッド・ウッドバーグ氏と、Zscalerのプリンシパル・フィールド・プロダクトマネジメント担当であるアビシェク・グプタ氏による共同執筆です。
ネットワークは変化しました。
ユーザーはどこでも業務を行っています。アプリケーションはSaaS、クラウド、オンプレミス環境など、さまざまな場所に存在しています。通信の暗号化はますます進んでいます。そして、攻撃者は多くのセキュリティアーキテクチャよりも迅速に適応しています。
ここ数年、企業はZero Trust セキュリティ・サービス・エッジ(SSE)アーキテクチャを導入し、ユーザーがどこにいてもアプリケーションに安全に接続できるようにしています。この変化により、アクセスセキュリティが劇的に向上し、従来のVPNや境界防御への依存度が低下しました。
しかし、現代の攻撃者はアクセス層だけで止まることはない。
彼らは、暗号化されたセッションの中にコマンド&コントロール通信を隠蔽します。ハイブリッド環境内を横方向に移動し、ID情報を乗っ取り、正規のSaaSワークフローを悪用します。つまり、ネットワークチームが把握できる範囲と、セキュリティチームが調査できる範囲の間の隙間を突いてくるのです。
そのため、Vectra AIとZscalerは連携機能を拡充しました。
当社は、Zscalerの「Zero Trust とVectra AIのAI駆動型脅威検知・調査機能を統合し、インターネットトラフィック、プライベートアプリケーションへのアクセス、クラウド環境、そして最新のID管理を横断した一元的なビューを提供します。これにより、NetOpsとSecOpsの間に長年存在していた隔たりを埋めるのに役立つ、共有された運用状況の全体像が得られます。
「Hunt Club 」から「Zenith Live」Hunt Club :現代のネットワーク保護に向けた共通のビジョン
今年初め、私たちはVectraHunt Club にて共同でプレゼンテーションを行う機会を得ました。そこでは、「モダン・ネットワーク・プロテクション」に関する両社のビジョンについて共有しました。プレゼンテーションでは、ある単純な現実について焦点を当てました。それは、組織がZero Trust アクセスを近代化させた一方で、攻撃者たちはそれよりもさらに速いペースで進化しているという事実です。
今日の攻撃は、インターネットトラフィック、SaaSアプリケーション、ID、クラウドワークロード、およびプライベートアプリケーションに及んでいます。セキュリティチームには、アクセス制御以上の対策が求められています。つまり、攻撃のライフサイクル全体にわたる攻撃者の行動を継続的に可視化する必要があるのです。
Vectra AIとZscalerの提携は、以下の要素を組み合わせることで、この課題に対処します:
- Zscalerの「 Zero Trust 」:安全なアクセスと詳細なトラフィック可視化を実現
- Vectra AIAttack Signal Intelligence:AIを活用した脅威の検知、優先順位付け、および調査
- ユーザー、デバイス、ID、アプリケーション、ネットワークを横断した可視性の共有
- NetOpsチームとSecOpsチーム間の業務連携
統合の技術的な詳細にご興味のある方は、ぜひ当社の共同技術解説記事をご覧ください:
ZscalerとVectra AIの統合を徹底解説
https://www.zscaler.com/blogs/product-insights/deep-dive-inside-zscaler-and-vectra-ai-integration
Hunt Club :最新のネットワーク保護
本プレゼンテーションでは、このブログで紹介したアーキテクチャの概念をさらに掘り下げ、組織がZscalerとVectra AIを組み合わせて活用することで、現代のハイブリッド環境における死角をどのように削減できるかを解説します。
Vectra AIとZscalerがNetOpsとSecOpsの連携を促進する3つの方法
「Zenith Live」にご参加の建築家の皆様へ、本統合ソリューションがどのような価値をもたらすかを実例で示す3つのユースケースをご紹介します。
ユースケース 1:隠されたコマンド&コントロール通信の検知
セキュリティチームにとって最も困難な課題の一つは、正当なインターネットトラフィックに意図的に紛れ込ませた「低強度かつ緩慢な」コマンド&コントロール活動を特定することです。
現代の攻撃者は、従来のURLフィルタリングやレピュテーションベースの制御を回避するために、ドメイン・フロンティング、ファストフラックス・インフラストラクチャ、暗号化されたHTTPS通信といった手法を頻繁に利用しています。宛先が絶えず変化するため、検知が困難になっています。
Zscalerは、インターネット向けのトラフィックを詳細に可視化し、「Zero Trust 」を通じてユーザーの接続を安全に仲介します。その後、Vectra AIが行動分析と高度なフィンガープリンティング技術を用いて、攻撃者のインフラが変更されても一貫して現れる不審なパターンを特定します。
その結果、正当なクラウドサービスに支障をきたすことなく、正確な検知が可能となります。
SOCにとっては、これにより脅威の検知が迅速化され、より確信を持って調査を行うことが可能になります。NetOpsにとっては、セキュリティチームが対応に必要な証拠を収集している間も、ユーザーの接続性を維持できることを意味します。
何よりも重要なのは、チームが攻撃者の行動を可視化できる点です。単なる標的や指標にとどまらず、暗号化が普及する現代において、これはますます重要になっています。
このユースケースを詳しく見てみましょう: https://www.zscaler.com/blogs/product-insights/deep-dive-inside-zscaler-and-vectra-ai-integration
ユースケース 2:インターネット上の活動と横方向の移動の関連付け
多くの攻撃は、ランサムウェアから始まるわけではありません。まずは情報収集から始まります。
不審なダウンロード。異常な認証の試み。内部システムを調査するユーザー。個々の事象だけを見れば、一見無害に見えるかもしれません。しかし、これらを総合すると、攻撃の初期段階であることが明らかになることがよくあります。
ここでこそ、Vectra AIとZscalerが提供する統合的な可視化機能が真価を発揮します。
Vectra AIは、Zscaler Internet Access(ZIA)のインターネットアクティビティと、Zscaler Private Access(ZPA)のプライベートアプリケーションアクセスデータを照合することで、環境をまたいだ攻撃の進行状況を特定できます。セキュリティチームは、不審なインターネットアクティビティを引き起こしたデバイスが、いつ内部リソースのスキャンを開始したり、SMB接続を試みたり、機密性の高いシステムを列挙し始めたりしたかを把握できます。
チームは、個別のアラートに対応するのではなく、攻撃の進行状況に関するコンテキストを把握できるようになります。
これにより、SOCアナリストはアラートの数ではなく、攻撃者の行動に基づいて調査の優先順位を決定できるようになります。同時に、ネットワークチームも同じ証拠に基づいて作業を行い、影響を受けた資産を特定し、脅威が拡散する前に封じ込めることができます。
その結果、現代の組織がまさに必要としているもの、すなわち、仮定ではなく事実に基づいて構築された、NetOpsとSecOps間の共有ワークフローが実現します。
このユースケースを詳しく見てみましょう: https://www.zscaler.com/blogs/product-insights/deep-dive-inside-zscaler-and-vectra-ai-integration
ユースケース 3:不正利用されたIDの検知とSaaSの悪用
今日の攻撃者は、malware 回避するケースが増えている。
侵入するのではなく、ログインする。
攻撃者は、盗んだ認証情報、セッションハイジャック、あるいは高度なphishing を用いて、信頼されているSaaSアプリケーションへのアクセス権を取得し、その後、正当な管理機能を利用して環境内を目立たずに移動する。
こうした攻撃は、その活動が正当なものに見えることが多いため、検知が困難です。
Vectra AIは、異常なアクセスパターン、権限昇格の試み、不審なSaaSアクティビティなど、IDに関する異常な行動を検知します。Zscalerは、どのアプリケーションにアクセスされているか、またそのアプリケーションへのアクセスが当該ユーザーにとって通常とは異なるものかどうかといった、重要なコンテキスト情報を提供します。
セキュリティチームは連携することで、アイデンティティとアクティビティの両方について可視性を確保できます。
これにより、組織は侵害されたアカウントをより早期に検知し、リスクのあるセッションを終了させ、追加の認証要件を適用し、データ漏洩が発生する前に未然に防ぐことができます。
アイデンティティが新たな境界線となった現代において、この可視性は極めて重要である。
このユースケースを詳しく見てみましょう: https://www.zscaler.com/blogs/product-insights/deep-dive-inside-zscaler-and-vectra-ai-integration
ネットワークおよびセキュリティアーキテクトにとって、なぜこれが重要なのか
Hunt Club 重要なテーマの一つは、ネットワーク運用とセキュリティ運用の間の従来の境界線が薄れつつあるという点でした。
ネットワークアーキテクトは、分散したユーザー、アプリケーション、クラウド環境間で安全な接続を実現する役割をますます担うようになっています。一方、セキュリティアーキテクトは、攻撃者の行動を把握するために、ネットワークのテレメトリやコンテキストへの依存度を高めています。
Vectra AIとZscalerの連携により、両チームが重要な課題に答えられる共通の運用フレームワークが構築されます:
- このユーザーの行動は普通ですか?
- このアプリケーションへのアクセスは想定されていますか?
- この暗号化された通信は正当なものですか?
- このIDは漏洩していますか?
- この活動は、より大規模な攻撃キャンペーンの一環なのでしょうか?
Zero Trust とAIを活用した攻撃検知を組み合わせることで、組織は「予防」と「可視化」という、ますます切り離せなくなっている2つの機能を手に入れることができます。
NetOpsとSecOpsの共通ビジョン
従来、ネットワークチームは接続性とパフォーマンスに重点を置いてきたのに対し、セキュリティチームはリスクの低減と脅威への対応に重点を置いてきた。
現実には、現代の攻撃は組織の境界を無視するものです。
攻撃者は、クラウド、SaaS、ID管理、インターネット、およびプライベートアプリケーション環境を横断して、単一のキャンペーンとして活動します。防御側も、これと同様の統合的な視点を持つ必要があります。
Vectra AIとZscalerの連携により、組織は監視の死角を解消し、調査を迅速化し、運用上の連携を強化することができます。これにより、NetOpsチームとSecOpsチームは、現代の企業が求めるパフォーマンス、ユーザーエクスペリエンス、およびZero Trust を維持しつつ、共通の信頼できる情報源に基づいて業務を行うことが可能になります。
企業がデジタルトランスフォーメーションの道を歩み続ける中、その成功は単なるセキュアなアクセスだけでは決まりません。どこで発生しても、最新の攻撃を可視化し、理解し、阻止する能力が求められます。これこそが、Vectra AIとZscalerのパートナーシップの根底にあるビジョンであり、Zenith Liveにおいてお客様と共にこの取り組みを推進できることを大変嬉しく思います。
技術的な統合の詳細については、Zscalerの詳細解説ブログをご覧ください:https://www.zscaler.com/blogs/product-insights/deep-dive-inside-zscaler-and-vectra-ai-integration
Vectra AI および Zscaler に関するその他のリソース:
Vectra AI:エンドツーエンドの可視性を実現 — 南北および東西
Vectra AI:Vectra AI と Zscaler によるセキュアなZero Trust
Zscaler:マジック・クアドラント™の2大リーダーが提携へ――ZscalerとVectra AIが力を合わせる
Zscaler:NetOpsとSecOpsの橋渡し