Zero Trust for Users: ROI、レジリエンス、従業員のセキュリティの未来

2020年を境にオフィス勤務という形態は解体され、多くの人々が自宅やカフェ、空港のラウンジで仕事をするようになりました。そして、これは一時的な変化ではなく、新たな秩序の幕開けでもありました。ハイブリッド ワークによって、従業員の分散化が起こっただけでなく、グローバル組織の規模とスピードが再定義されることになりました。

組織は物理的なオフィスを立ち上げることなく新たな市場に進出できるようになり、地理的境界は曖昧なものになりました。そして、遠く離れた市場もグローバル サプライ チェーンの重要な拠点になりました。取引はよりスピーディーに成立するようになり、パートナーシップもわずかな期間で結ばれるようになりました。

しかし、この変化によって、多くのCISOは夜も眠れない日々を過ごすことになります。組織とつながるすべての人々(従業員、請負業者、パートナー)が組織のITエコシステムへのアクセスを必要とし、組織のデータに触れるようになったためです。

従来の境界はこの変化に対応できず、何年も前から破綻しています。

ハイブリッド ワークは、従来のセキュリティを負債に変えました。生産性を低下させ、M&Aの価値を損ない、攻撃者に侵入の糸口を与え続けています。

VPN/ファイアウォールと最新のセキュリティに対する誤解

パンデミックから5年が経過した現在でも、あまりに多くの組織が当時のその場しのぎのツールを使用しており、その欠陥は決して無視できるものではありません。

VPNは、「リモート ワーク」がたまの出張を意味していた時代を前提に設計されています。2025年に全従業員にVPNを使用させることは、メールを送信するためにタイプライターを改造するのと同じくらい無理があります。VPNは、従業員の生産性やSaaSのパフォーマンスの低下を招くほか、単一障害点を生み出します。さらに、資格情報が漏洩すれば、攻撃者はネットワーク全体を自由に動き回れるようになります。

ファイアウォールやアプライアンスベースのセキュアWebゲートウェイでは、可視性と制御を確保できる一方、レイテンシーや死角が発生します。これらは、暗号化通信やモバイル デバイスが多用されるクラウドファーストの組織を前提に設計されたものではありません。

現在では、Webトラフィックの95%以上が暗号化されています。しかし、従来のファイアウォールやSWGには、トラフィックを大規模に復号、検査、再暗号化する処理能力が不足しています。ほとんどはSSL/TLSセッションのごく一部のサンプリングしか行わないため、暗号化トンネルはコマンド＆コントロール通信、データの持ち出し、ゼロデイ マルウェアの配布に悪用される死角となります。

また、脅威は常に変化を遂げながら信頼されたクラウド サービスを悪用しており、静的なシグネチャーベースの検査も時代遅れなものとなっています。スループットに制約のあるハードウェア アプライアンスでは、インラインで復号する際に必ずアプリの動作を妨げたり、レイテンシーを増加させたりすることになります。

結果として、セキュリティ リーダーは苦渋の選択を迫られます。セキュリティ リスクを許容して復号の対象を一部に限定するか、パフォーマンスが大幅に低下するリスクを許容して広範な復号を行うかを決断しなければなりません。

こうした古いアプローチは、M&Aに伴う統合の停滞も招きます。ネットワークを統合してVPNをプロビジョニングする場合、新たに買収された側は初日にERP、CRM、コラボレーション ツールにアクセスできません。結果として生産性が低下し、価値創造は鈍化します。

サードパーティー アクセスにも同様の制約があります。ベンダーや請負業者は、未だに包括的なVPNアクセスを提供されるか、柔軟性に欠けるVDI環境に押し込まれています。いずれの場合もアクセス制御は粒度が低く、通常はアプリケーション単位ではなくネットワークレベルとなるため、最小特権アクセスの適用も、データの拡散防止も困難です。

境界はネットワークではなくユーザー

現在でも、ほとんどの組織はネットワークに対して防御策を施しています。問題の核心はこの点にあります。今や、ユーザーはネットワーク上に存在せず、アプリケーションもデータ センターだけに収まるものではありません。クラウドやSaaSに存在し、ハイブリッド環境全体に分散しています。

Zscalerが提供するZero Trust for Usersのエッセンスは、こうした問題意識にあります。Zero Trust for Usersは、すべてのユーザーを必要なリソースに安全かつ迅速に信頼性の高い形で接続するためのソリューションです。「ネットワーク上」にいる誰かにまで暗黙の信頼を拡張するのではなく、すべての接続をリアル タイムで検証します。ユーザー アイデンティティー、使用されているデバイス、接続元、必要なアプリといったシグナルに基づいて、1つのセッションに対して1つのアプリケーションへの必要最小限のアクセス権のみを付与します。

例えるなら、従来のセキュリティは入り口に立つ警備員のようなものです。一度身分証を確認した人物に対しては、建物の中を自由に歩き回ることを許可します。ゼロトラストは、ある種のホストです。建物内を案内し、どこかの部屋に入る際には入館証を都度確認し、入室する権限がある場合にのみ通します。そして、警備員とは違い、セキュリティ チェックの行列を作ることなく、建物全体のより安全かつスムーズな利用を可能にします。ゼロトラスト アクセス ソリューションは、次のようなツールにアクセスできるコンシェルジュにあたります。

Zscaler Internet Access (ZIA):あらゆるインターネットとSaaSトラフィックに対し、インライン検査と脅威対策を提供します。セキュリティと引き換えにレイテンシーを増やすことなく、SSL/TLSセッションを大規模に100%復号および検査し、高度なDLP、CASB、サンドボックスをインラインで適用します。分散したクラウド型のセキュリティ施行を通じて、バックホールやハードウェアのボトルネックを排除し、ユーザーの需要に合わせた柔軟な拡張を可能にします。

Zscaler Private Access (ZPA):ユーザーをネットワークに接続することなく、アイデンティティーベースでプライベート アプリへの安全なアクセスを提供します。アウトバウンド専用接続により、ラテラル ムーブメントやIPの露出を防止し、きめ細かなセグメンテーションにより、ハイブリッド環境全体で最小特権アクセスを施行します。

Zscaler Digital Experience (ZDX):デバイス、ISP、ネットワーク、アプリにわたるエンドツーエンドのユーザー エクスペリエンスを監視し、テレメトリーを関連付けてレイテンシーやネットワークの問題を数秒で特定します。合成トランザクション、パケット キャプチャー、パフォーマンスのベースラインに基づいて、セキュリティを損なうことなくデジタル エクスペリエンスを最適化します。

Zero Trust Browser: Webベースやサードパーティーのアクセス セッションを、制御された隔離環境で実行して保護します。インラインでのデータのマスキング、クリップボードとファイル転送の制御、ピクセル ストリーミングを通じて、データ漏洩を防止します。バックエンド アプリケーションを直接露出させることなくシームレスなユーザー エクスペリエンスを維持し、ブラウザーでそのまま利用できる互換性を提供します。

Privileged Remote Access: 管理者はVPNやジャンプ ホストを使用せずにSSH、RDP、VNC経由でエージェントレスのジャストインタイム アクセスを行うことが可能です。セッションを完全に分離、記録、コマンド制御し、資格情報の悪用やラテラル ムーブメントを防止します。

Zero Trust Firewall: すべてのポートとプロトコルに対し、レイヤー7インスペクション、DNSフィルタリング、IPSを適用します。AIを活用した関連付けにより、コマンド＆コントロール トラフィック、暗号化されたペイロード、回避型脅威をブロックし、従来のファイアウォール、IPS、DNSアプライアンスを廃止します。

Cloud Sandbox:未知のファイルをインラインで分析し、安全に実行して、ゼロデイ攻撃、ランサムウェア、ファイルレス マルウェアを検知します。ZIAやZPAと統合し、新たな脅威が実行されたり、ユーザーに到達したりする前にブロックします。

Zscaler Risk360: ZIA、ZPA、ZDXと統合し、ゼロトラスト ファブリックを継続的なリスク インテリジェンスに拡張します。ユーザー、デバイス、脅威テレメトリーを関連付けて、エクスポージャーを定量化し、Zero Trust Exchange内の動的なポリシー決定に反映します。

Zscalerのソリューションの真価は個々のツールではなくその統合性にあり、いずれのツールも1つのポリシー ファブリックと包括的な施行レイヤーで機能します。

初日から生産性を確保

たとえば、ある営業担当VPが空港ラウンジからSalesforceへの接続を試みているとします。VPNでは、トラフィックは組織のデータ センターまでヘアピンされ、通信速度はダイヤルアップ接続さながらの遅々としたものになります。Zero Trust for Usersでは、トラフィックはクラウドに直接接続され、インラインで検査されてスムーズに配信されます。競合の営業担当VPたちがダッシュボードの読み込み待ちで時間を浪費している間にも、このVPは案件の成約に向けた活動に時間を割くことができます。

次に、サードパーティー アクセスを考えてみましょう。ベンダーは、ERPやHRシステムではなくGitHubやJiraへのアクセスを必要としています。VPNを利用する場合は、何も問題が起こらないことを祈りながら必要以上のアクセス権を付与するか、使い勝手の悪いVDI経由で限定的なアクセスのみを許可するかという究極の選択を迫られます。Zero Trust for Usersでは、特定のアプリへの完全に監査可能な期限付きのアクセス権を付与できます。必要なツールへのアクセスのみが提供され、期限が来ればその瞬間にアクセス権が失われます。

同様に、グローバル組織では、限定的なIT機能しか持たない遠く離れた場所の企業を買収する際、その企業にメールやコラボレーション ツール、ERPシステムへのアクセスを提供する必要があります。従来のアプローチでは、何か月にもわたるネットワーク統合とリスクを伴う信頼拡大が必要となります。Zero Trust for Usersの場合、親会社は既存のゼロトラスト ポリシーを新しい従業員に瞬時に適用できます。

初日から生産性を確保し、価値を実現することが可能です。

Zero Trust for Usersはアクセスとパフォーマンスにとどまらず、ITスタック全体のフットプリントを削減します。そして、VPNコンセントレーター、ファイアウォール、SWG、プロキシ、DLPアプライアンス、VDIインフラを排除します。その結果、運用が簡素化され、運用コストは予測可能なものになり、総所有コストが目に見える形で低下します。

こうした効果は、M&Aに伴う統合の翌日朝にグローバル組織で実際に確認されているものであり、決して机上の空論ではありません。

優れたROIとレジリエンス

コスト削減は、あらゆるテクノロジー移行において検討される重要なポイントです。Zero Trust for Usersを導入した場合、テクノロジー コストの削減とあわせて、複雑さの軽減と俊敏性の向上を実現できます。

独立系の調査では、この移行に伴う効果が明確な数字で示されており、ROIはZscaler Internet Access (ZIA)で267%、Zscaler Private Access (ZPA)で289%となっています。

最大でIT運用負荷75%、侵害コスト65%、インフラ コスト年間175万ドルの削減がお客様から報告されています。また、場合によっては年間20,000時間のエンジニアリング工数が削減されるなど、数千時間単位の生産的な時間が別のことに振り向けられるようになっています。

総合的に評価すれば、ZscalerのZero Trust for Usersは、単に元が取れるだけではありません。ファイアウォールやVPN、オンプレミスのDLPやSWGアプライアンスまで、従来のあらゆるカテゴリーのツールの統合を可能にし、既存のツールの廃止によってコストを回避するとともに、冗長なライセンスを削減することで、その予算を別のことに充てられるようになります。

防御のための単なるツールではなく、いわば配当を生むシステムなのです。

ただし、ここでコスト削減の他にもう一つ重要な点があります。レジリエンスです。Zscalerを導入することで、IT統合がM&Aのボトルネックとなることはなくなり、責任転嫁し合うことなく本当の意味で協力し合うサプライ チェーンを構築し、CIOを煩わせることなくSaaS移行を完了できるようになります。

収益を上げるまでのスピードとリスクの両方が重視される取締役会において、ゼロトラストはもはや一議題の域を超えた存在になっています。ゼロトラストはセキュリティ戦略ではなく、成長戦略なのです。

すべてのポリシーとユーザーに対応する分散環境のセキュリティ

ボーダーレスの組織は過去5年間で大きく変化しており、今後5年間もその変化が止まることはないでしょう。多くの組織において、サイバーセキュリティの変革とガバナンスに関して取り組むべき課題が残っていることは明らかです。しかし、取締役会やCISOのガイドとなるような記事や助言は数多く提供されているにもかかわらず、戦略と実行の間には依然として「ギャップ」が存在することがわかっています。

今後のエンタープライズ セキュリティの評価を決めるのは、データ センターにあるアプライアンスの数ではありません。その評価は、正社員、契約社員、買収した企業の従業員など、あらゆるユーザーが初日からどれだけ安全に働けるかによって決まります。

そして、Zero Trust for Usersは、こうしたニーズに対応するセキュリティ環境を提供します。

• 従業員、サードパーティー、買収先に対応する一元的なファブリック
• SaaS、プライベート アプリ、インターネット トラフィックに対応する一元的なポリシー
• 場所を問わず、より速く安全かつ簡単な業務遂行を可能にする単の一プラットフォーム

これらを実現できないセキュリティ モデルは、時代遅れであるだけでなく、ビジネスのボトルネックになります。

移行を検討されている場合は、Zscalerのエキスパートに無料でご相いただけます：お問い合わせはこちら