Ivanti と F5: ゼロトラストモデルでの安全なマルチクラウドアクセス

かつては、従業員は現場で、通常は個室内の同じ固定 PC を使用して単一の企業イントラネットにログインし、業務に必要なものすべてにアクセスしていました。 徐々に、そのプロセスは進化し、自宅からイントラネットにアクセスするために企業の VPN 経由でログインするラップトップや自宅の PC も含まれるようになりました。 当時、ITセキュリティ戦略はネットワークのみに重点が置かれていました。 正面玄関に入るにはユーザーにパスワードを入力させますが、中に入ると、必要に応じて自由に動き回ることができます。

今ではそのアプローチは古風に見えます。 今日の包括的なセキュリティ戦略は、ネットワーク セキュリティをはるかに超えて、ユーザー、資産、リソースにも重点を置いています。 ゼロトラスト サイバーセキュリティとして知られるこのモデルは、スマートフォンやタブレットなどの最新のデバイスを考慮するだけでなく、今日の従業員が企業イントラネット外の多くのコンテンツに安全にアクセスする必要があることも認識しています。 F5 と Ivanti は協力して、組織のすべてのクラウドapplicationsにわたるゼロ トラスト サイバーセキュリティを強化します。 これには、Azure や AWS などのパブリック クラウド サービスに展開されたエンタープライズapplicationsや、Box、G Suite、Microsoft Office 365、Salesforce などのクラウドベースのサービスが含まれます。

組織は、すべてのユーザー (リモート、モバイル、分散) とすべてのapplications(オンプレミスおよびマルチクラウド) の安全なアクセスを制御できる必要があります。 F5 BIG-IPアクセス ポリシー マネージャ(APM) はまさにそれを実現します。 ユーザーやアプリがどこにあっても、アプリ、API、データへのアクセスを保護、簡素化、一元化します。 BIG-IP APM を使用すると、デバイス レベルに至るまで、誰がアクセスできるか、どのapplicationsにアクセスできるか、どのネットワークからアクセスできるかを簡単に制御できます。 BIG-IP APM では、企業ネットワークからのシングル サインオン (SSO) も可能になります。 詳細なコンテキストに基づいて検証を提供し、アプリへのアクセスに対するすべてのリクエストを保護することで、BIG-IP APM は多くの組織のゼロ トラスト セキュリティ モデルの重要な部分となります。

BIG-IP APM には、ビジュアル ポリシー エディター (VPE)グラフィカル ユーザー インターフェイスが含まれており、どのユーザーがどのクラウドのどのapplicationsにアクセスできるかを決定するポリシーなど、アイデンティティ認識型のコンテキストベースのポリシーを簡単に作成、編集、管理できます。

ゼロトラスト モバイル セキュリティでは、ユーザー ID の検証に加えて、デバイスの状態とアプリの承認ステータスを確認できる統合エンドポイント管理 (UEM) フレームワークが必要です。 これにより、信頼できるユーザー、デバイス、アプリのみがクラウドから企業リソースにアクセスできるようになります。 Ivanti の Zero Sign-On は、モバイル アプリやブラウザーからクラウド サービスへの条件付きアクセスを提供することで、この役割を果たします。 従来のセキュリティ アプローチとは異なり、Zero Sign-On (旧称 MobileIron Access) は、ユーザー ID をデバイスの状態やアプリの状態などの固有の情報フィードと関連付けます。 Ivanti Zero Sign-On により、次のことが保証されます。

• ビジネスデータは安全でないデバイスに保存できません
• ユーザーは管理されていないアプリに接続できません
• 許可されていないクラウドサービスを介して情報を共有することはできません

Ivanti Zero Sign-On は、クラウド アクセスを許可する前にユーザー、デバイス、アプリ、ネットワークのセキュリティを検証する条件付きアクセスを提供するだけでなく、IT 組織が一般的なゼロ サインオン (ZSO) や多要素認証 (MFA) などの最先端のソリューションを簡単に導入できるようにします。 仕組みは次のとおりです。

Ivanti Zero Sign-On は、クラウド アクセスを許可する前にユーザー、デバイス、アプリ、ネットワークのセキュリティを検証する条件付きアクセスを提供するだけでなく、IT 組織が一般的なゼロ サインオン (ZSO) や多要素認証 (MFA) などの最先端のソリューションを簡単に導入できるようにします。 仕組みは次のとおりです。

• ゼロ サインオンは、モバイル デバイス自体を安全なエンタープライズ ID にすることでパスワードの必要性をなくし、生産性アプリやコンテンツへのシームレスなアクセスを可能にします。 ある例では、Ivanti の顧客は、ZSO によってフィッシング攻撃のリスクが軽減されただけでなく、applicationの平均ログイン時間が 70% (7 秒から 2 秒) 短縮されたと報告しました。 毎月 100,000 回のログインで、約 140 時間の時間の節約になります。
• デバイスが認識されない場合やコンプライアンス違反の場合、多要素認証が介入し、ユーザーはプッシュ通知を介して自分の身元を迅速に確認し、デバイスを保護できるようになります。 このテクノロジーは、ワンタッチ登録による新しいデバイスやユーザーの迅速かつ簡単なセットアップにも使用されます。 Ivanti は、MFA と ZSO を統合してパスワードレス MFA を実現し、生体認証、証明書、デバイスの状態など複数の要素を利用してユーザー ID を認証します。

モバイル UEM プラットフォームの一部として F5 BIG-IP APM を導入している Ivanti のお客様は、委任 IDP (または IDP チェーン) モードで Ivanti Zero Sign-On を導入しながら、BIG-IP APM を ID プロバイダー (IDP) として使用できます。 このシナリオでは、BIG-IP APM はプライマリ IDP として機能しますが、独自の認証機能のために Ivanti Zero-Sign-On に依存しています。 たとえば、Salesforce や Office365 などのクラウドapplicationsにリクエストが送信されると、それらのリクエストは BIG-IP APM によって認証され、次に Ivanti Zero Sign-On にリクエストが中継されて、ソース デバイスが実際に管理されているかどうかが確認されます。 管理されていないデバイスの場合、Ivanti Zero Sign-On は、ブロック、ブラックリストへの追加などの修正アクションを実行するために、リクエストを BIG-IP APM に返します。

企業がクラウド サービス、モバイル アプリ、スマート デバイスを組み合わせて導入するケースが増えるにつれ、IT 部門ではポリシーを適用し、コンプライアンスを追跡、監視、レポートするためのスケーラブルで集中化された方法が必要になります。 Ivanti Zero Sign-On と BIG-IP APM は連携して、独自の統合を必要とせずに組織のすべてのクラウド サービスを保護する標準ベースのアプローチを提供します。

Ivanti は「グローバル企業がモバイル デバイスとアプリを保護および管理できるように特別に構築されました」と、Ivanti のサービス管理ソリューション担当社長兼最高製品責任者である Nayaki Nayyar 氏は述べています。 「F5 と提携することで、application配信を改善し、重要なセキュリティ ポリシーを適用し、最終的にはモバイルの生産性を向上させながら、お客様に最適な従業員エクスペリエンスを提供できます。」

Ivanti Zero Sign-On と BIG-IP APM を導入した統合ソリューションにより、承認されたデバイス上の信頼できる管理対象ユーザーのみが企業リソースにアクセスできるようになります。また、管理対象外のデバイス全体にわたって IT 部門に高度な可視性、制御、セキュリティが提供されます。 この統合ソリューションは、エンドユーザーと IT マネージャーの両方にシームレスなエクスペリエンスを提供し、従業員が作業場所や使用するデバイスを問わず重要なデータに簡単にアクセスし、重要なビジネス上の意思決定を行えるようにします。

ウェビナー： ゼロサインオンでパスワードを廃止

F5 ソリューション: アクセス制御と認証