SASEとゼロトラスト：組織のセキュリティ戦略の探求

オンプレミスのユーザーやアプリケーションと並行して、世界中の組織がリモート ワークやクラウド リソースの活用を積極的に進めています。Gartnerは、74%の組織がリモート ワークまたはハイブリッド ワークを今後も恒久的に維持すると予測しています。IDCも、80%以上の組織がハイブリッド クラウド環境の採用を長期的に継続するという予測を報告しています。

従来、ほとんどの組織はハブ＆スポーク ネットワークを使用してユーザー、拠点、アプリを接続し、ファイアウォールとVPNで構築された「城と堀」のセキュリティでそのネットワークを防御しようとしてきました。データ センターに展開された物理アプライアンスのスタックが、ネットワークとセキュリティの両方を担っているのです。

しかし、リモート ワークやクラウド アプリを採用している組織では、こうした方法によってコストやリスクなどに関する課題が生じます。ネットワークをより多くのユーザー、拠点、クラウドに拡張しながら、境界を拡大し続けることでネットワークを保護しようとすれば、そのプロセスは複雑なものになり、無数の課題を引き起こすことになります。

このように、従来のアーキテクチャーでは現代の働き方に対応できないため、「SASE」と「ゼロトラスト」に注目する組織が増えています。では、この2つのバズワードは、本当に注目に値するものなのでしょうか？

SASE:分散型の組織のためのセキュア アクセス サービス エッジ

セキュア アクセス サービス エッジ(SASE)は、ネットワークとセキュリティを統合したモデルです。広域エリア ネットワーク(WAN)の機能とさまざまなセキュリティ ソリューションを組み合わせ、その両方をエッジ(ユーザーにできるだけ近い場所)で提供します。したがって、このモデルでは、データ センターのハードウェアにトラフィックをバックホールする必要はありません。SASEは、あらゆる場所のすべてのユーザーをあらゆるアプリケーションやサービスに安全かつ効率的に接続することを目指しています。さらに、高度なSASEでは、ユーザーだけでなく他のエンティティーも保護することが可能です。詳細はこちらのブログ(英語)をご覧ください。

SASEは、主に2つの要素で構成されています。ネットワーク面の機能を担うのはソフトウェア定義型広域ネットワーク(SD-WAN)です。これによって従来のWAN (MPLSなど)よりも効率的にトラフィックのルーティングを最適化します。セキュリティ面はセキュリティ サービス エッジ(SSE)が担い、Security as a Serviceをエッジで提供します。この点を知っておくと、SASEというエッジで提供されるサービスの概念についても理解しやすいでしょう。SSEは、主に以下のようなセキュリティ ソリューションを統合して提供します。

• セキュアWebゲートウェイ(SWG): Webの利用に伴うセキュリティを確保します。
• クラウド アクセス セキュリティ ブローカー(CASB): SaaSの利用に伴うセキュリティを確保します。
• ゼロトラスト ネットワーク アクセス(ZTNA):プライベート アプリケーションの使用に伴うセキュリティを確保します。
• Firewall as a Service (FWaaS):あらゆるポートとプロトコルを保護します。
• 情報漏洩防止(DLP):データを分類して保護します。
• その他

エッジで提供されるこの統合アプローチによって、以下のことを実現できます。

1. セキュリティ態勢の改善とリスク軽減：単一のプラットフォームで、高度で一貫した柔軟なポリシーを施行できます。
2. ユーザー エクスペリエンスと生産性の向上：トラフィックをバックホールしてレイテンシーを発生させることなく、エッジで安全な接続を提供します。
3. 複雑さの軽減：セキュリティのポイント製品を排除します。これによって、テクノロジー コストを最小限に抑えるとともに、運用効率の向上などのメリットを得られます(Forresterによると、このアプローチは平均で20〜30%のコスト削減につながります)。

ゼロトラスト：サイバーセキュリティに対する理想的なアプローチ

ゼロトラストは、ある種のフレームワークや概念、手法と呼ばれることも多いですが、これは「アーキテクチャー」であると考えるのが最も適切でしょう。ゼロトラストでは、すべてのアクセス試行に対して「決して信頼せず、常に検証する」というロジックを適用することで、過剰なアクセス許可を排除します。

アクセスのコンテキストによってリスクを判断し、それに応じてアクセスを制御します。また、継続的な監視によってコンテキストやリスクの変化を捉え、自動化されたポリシー決定にリアル タイムで反映します。これによって最小特権アクセスを実現し、許可されたユーザーが必要なときに必要なリソースにのみ接続できるようになります。それ以外のアクセスは許可されません。

きめ細かい制御の下でアプリへの直接接続を提供するゼロトラストのこの仕組みは、ユーザーやその他のエンティティーにネットワーク全体へのアクセスを許可して過剰な権限を与える境界ベースのアーキテクチャーとは相反するものです。ネットワーク中心のアプローチのリスクについては、こちらをご覧ください。

ゼロトラスト アーキテクチャーのプラットフォーム(Zscaler Zero Trust Exchangeなど)は、1対1の安全なAny-to-Any接続を提供します。対象のユーザーやエンティティー以外にネットワークを拡張する必要はありません。ゼロトラスト プラットフォームはインテリジェントな交換機のようなものだと考えるとよいでしょう。この直接接続は、ゼロトラストのSecurity as a Serviceをエッジで提供するクラウド ネイティブ プロキシ アーキテクチャーによって実現されます。ネットワークの保護に重点を置く従来の境界ベースのアーキテクチャーとは異なり、ゼロトラスト アーキテクチャーでは以下のことが可能になります。

• 攻撃対象領域の最小化：脅威アクターがインターネット上で発見し標的にするファイアウォールとそのパブリックIPアドレスを排除します。リスクの高いインバウンド接続をインサイドアウト接続に置き換え、アプリケーションをゼロトラスト クラウドの背後に隠します。
• 不正侵入の防止：インラインで完全なトラフィック検査を行い、脅威をリアル タイムで特定し、ブロックします。静的なハードウェアや仮想アプライアンスとは異なり、高パフォーマンスなクラウドによって暗号化されたトラフィックも大規模に検査できます。脅威の87%以上が暗号化されたトラフィックに潜伏している今、この特長は非常に重要です。
• 脅威のラテラル ムーブメントの排除：最小特権の原則に基づいて、ユーザーやその他のエンティティーに対して、承認されたアプリケーションへの直接アクセスを許可します。ネットワーク全体に接続すると、ネットワークに接続されたすべてのリソースへのアクセスが可能になるため、このような接続は一切許可しません。
• 情報漏洩の防止(悪意によるものおよび偶発的なもの):前述のクラウドを活用して、暗号化されたトラフィックの検査を行います。さらに、ゼロトラスト プラットフォームはAny-to-Any接続を保護するため、機密データへの最小特権アクセスを提供するとともに、情報漏洩の原因となるあらゆる経路を保護できます。
• デジタル エクスペリエンスと生産性の向上：高パフォーマンスのグローバル セキュリティ クラウドでユーザーをアプリに直接接続します。離れた場所にあるデータ センターにトラフィックをバックホールする必要がなくなり、レイテンシーを最小化できます。
• 運用の複雑さの軽減：ポイント製品を1つの包括的なプラットフォームに統合し、複雑なネットワーク インフラをシンプルなゼロトラスト ネットワークに置き換えます。
• コストの削減：管理負荷の最小化、テクノロジー コストの最適化、データ侵害(IBMによると、1件あたり平均488万ドルの損失)の回避を実現します。その他の経済的価値についてはこちらをご覧ください。

SASEとゼロトラスト：共通点と相違点

以下のとおり、SASEとゼロトラストはいくつかの重要な点で共通しています。

• SASEはセキュリティと接続をサービスとしてエッジで統合的に提供します。
• ゼロトラスト アーキテクチャーはセキュリティが確保された最小特権のAny-to-Any接続をサービスとしてエッジで提供します。

いずれもセキュリティを強化し、ユーザー エクスペリエンスを改善しながら、複雑さとコストを低減します。ただし、このような共通点があるとはいえ、SASEとゼロトラストはまったく同じものではありません。2つの重要な相違点があり、区別する必要があります。

展開と提供

ほとんどのSASEは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)などのクラウドに仮想アプライアンスとして展開されます。一方、ゼロトラストは、専用のセキュリティ クラウドからクラウド ネイティブ サービスとして提供されます。

仮想アプライアンスとはいえ監視にはやはりメンテナンスが必要であり、管理者が時間を割く必要があります。管理負荷が増大するため、この違いは非常に重要です。一方、ゼロトラストでは、クラウドでの変更の実装はベンダー側で処理されるため、顧客側の負担が軽減されます。結果的に、SASEよりもゼロトラストの方が簡素化とコスト削減につながるといえます。

リスクの軽減

セキュリティの面でさらに重要なのは、SASEとゼロトラストがもたらすリスク軽減の効果には差があるということです。

ネットワーク中心の境界ベースのアーキテクチャーでは、ユーザー、デバイス、クラウド アプリ、拠点が信頼されたネットワークによって接続されます。また、セキュリティ対策においては、そのネットワークを防御のための境界によって保護することに重点が置かれます(そのため、城と塀のセキュリティと呼ばれます)。アプリはネットワーク上に存在し、アクセスするには各エンティティーがそのネットワークに直接接続されている必要があります。

このような性質から、4つの面でリスクが増加します。攻撃対象領域が拡大し、不正侵入が可能になるほか、脅威のラテラル ムーブメントを許すことになり、情報漏洩も防止できないのです(この4つのリスクの詳細はこちら)。ゼロトラストではセキュリティと接続がネットワークから切り離され、この4つの弱点が克服される一方で、SASEでは必ずしもリスクを軽減できません。

SASEは、安全なアクセスをサービスとしてエッジで提供することを目的としていますが、問題はその接続先です。残念ながら、ほとんどのSASEは現在もネットワーク中心です。ネットワークへのアクセスを伴い、ファイアウォールなどの従来のツールを利用しています(クラウドにアプライアンスとして展開される次世代ファイアウォール(NGFW)を利用する場合でも、同じく境界ベースのアプローチをとっているといえます)。

基本的に、ゼロトラストはSASEの要件を満たす一方、SASEを導入すればゼロトラストを実現できるわけではありません。ゼロトラストは、安全な(最小特権)アクセスをサービスとしてエッジで提供できますが、ほとんどのSASEは、ネットワーク中心のアーキテクチャーから脱却したゼロトラスト セキュリティを提供できないのです。

ゼロトラストSASE: SASEとゼロトラストの統合

結局のところ、ファイアウォール ベンダーが提供するSASEでは、セキュリティと接続を真のゼロトラストに変えることはできません。Gartnerによれば、SASEとゼロトラストの両方を導入しようとしている組織は60%に上ります。このようなニーズを抱えている組織では、ゼロトラストSASEを実現する包括的なゼロトラスト アーキテクチャーを導入するとよいでしょう。

ゼロトラストについては、3部構成のウェビナー シリーズ「Zero Trust, from Theory to Practice」で詳しく紹介しています。このシリーズでは、入門的な概念の学習からアーキテクチャーの実装まで、ゼロトラストの実現に向けた取り組みについて、包括的に学べます。ぜひご登録のうえ、ご視聴ください。

ゼロトラストSASEの詳細とZscalerがこれを実現する仕組みについては、データ シートでご確認ください。