/ SASEとゼロトラスト:本質的な違いとは
SASEとゼロトラスト:本質的な違いとは
SASEとゼロトラスト アーキテクチャーは、いずれもサイバー リスクを軽減し、ユーザー エクスペリエンスを向上させることを目的としていますが、目標に対する両者のアプローチは異なります。SASEは、ネットワークとセキュリティを統合し、ユーザーやクラウド アプリにできるだけ近い「エッジ」で提供されます。一方、ゼロトラストは、Any-to-Anyの通信に対し、コンテキストベースのセキュリティを最小特権の原則に基づいてエッジで提供します。
SASEとゼロトラストが重要な理由
SASEとゼロトラストが生まれた背景には、従来のセキュリティと接続方法につきまとう課題があります。従来の戦略は、クラウドベースのアプリとリモート ユーザーの間で安全な接続を提供できるような設計にはなっていなかったのです。
この問題の主な要因となっているのは、働き方の進化と環境の拡大です。従来、組織の従業員は主にオフィスで働き、オフィスのデータ センターにあるアプリケーションやデータにアクセスしていました。この場合、接続とセキュリティをデータ センターで提供し、出張先や他の場所で働く少数の従業員についてはVPNを使用してトラフィックをデータ センターにルーティングすることが合理的でした。
しかし、クラウドとリモート ワークの時代となった今、オフィス内よりもオフィス外でより多くの活動が行われており、ユーザー、データ、デバイス、アプリケーションはあらゆる場所に分散しています。データ センターでセキュリティと接続を提供する従来の方法を強引に適用すれば、世界中のトラフィックを中央に拠点にバックホールすることになってしまいます。このようにネットワーク中心のアーキテクチャーに固執すると、サイバー リスクが増加し、レイテンシーが発生するとともに、ユーザー エクスペリエンスが低下します。
リモート ワークとクラウドの導入が進むなか、SASEとゼロトラストは、組織が分散環境全体でセキュリティと接続を提供する方法を変革しつつあります。
ゼロトラストとは
ゼロトラストは、「決して信頼せず、常に検証する」という重要な前提に基づくアーキテクチャーです。デフォルトではいかなるエンティティー(ユーザー、ワークロード、コネクテッド デバイス)にも信頼を与えず、代わりにトラフィックを仲介して、コンテキストとリスクに基づいてエンティティーを継続的に検証したうえでアクセスを許可します。
ゼロトラスト アーキテクチャーでは、ITリソースへのアクセスのためにエンティティーを信頼されたネットワークに接続するのではなく、リソースに直接接続します。ネットワークへのアクセスをユーザーやエンティティーに拡張することは一切ありません。つまり、非常にきめ細かなマイクロセグメンテーションが適用されます。このゼロトラスト通信は、世界中の専用クラウドからサービスとしてエッジで提供されます。
ゼロトラスト アーキテクチャーにより、ネットワーク中心のアーキテクチャーのリスクを克服し、以下のことを実現できます。
- 攻撃対象領域の最小化:パブリックIPアドレスとインバウンド接続を排除します。
- 侵害の阻止:すべてのトラフィック(TLS/SSLを含む)を検査し、リアルタイムでポリシーを施行します。
- 脅威のラテラル ムーブメントの防止:アプリへの直接接続によってネットワーク内での不正な移動を防止します。
- データ流出の阻止:Web、SaaS、エンドポイントなど、あらゆる漏洩経路に対応します。
SASEとは
セキュア アクセス サービス エッジ(SASE)は、ソフトウェア定義型広域ネットワーク(SD-WAN)機能とセキュリティ サービス エッジ(SSE)を組み合わせたネットワークとセキュリティのパラダイムであり、以下のソリューションを統合するプラットフォームを構成します。
- SD-WAN:世界中の拠点を接続し、ネットワーク トラフィックを動的にルーティングします。
- セキュアWebゲートウェイ(SWG): Webトラフィックをフィルタリングして保護します。
- ゼロトラスト ネットワーク アクセス(ZTNA):プライベート アプリケーションへのアクセスを保護します。
- クラウド アクセス セキュリティ ブローカー(CASB): SaaSの利用を監視し、制御します。
- 情報漏洩防止(DLP):機密データへのアクセスを保護します。
- Firewall as a Service (FWaaS):他のトラフィックを検査し、脅威対策を適用します。
ゼロトラストとSASE:類似点と相違点
ゼロトラストとSASEは、セキュリティの強化、ユーザー エクスペリエンスの向上、複雑さの軽減などの目標を共有しています。両者の違いは、接続を提供する方法とリスクを軽減する方法にあります。ゼロトラストは、セキュリティと接続をネットワーク アクセスから切り離すことで、ほとんどのSASEソリューションが依然として利用しているネットワーク中心の境界ベースのアーキテクチャーに関連する課題を克服します。
以下の表は、ゼロトラストとSASEの重要な違いの一部をまとめたものです。
SASEとゼロトラスト:2つの重要な問い
SASEとゼロトラストの共通点についてはすでに見てきたとおりです。いずれもリモート ワークやクラウド アプリといった現代の働き方に必要な要素をより効果的に取り入れることを支援し、エッジで提供されるセキュリティと接続を統合します。SASEとゼロトラストの重要な違いを理解するうえで鍵となるのは、次の2つの問いです。
- 何のための安全な接続か
- 何に対する安全な接続か
何のための安全な接続か
SASEは主に従業員のアクセスの保護に重点を置いています。これはSASEが当初、ユーザーの保護に特化した3つの主なソリューション(SWG、CASB、ZTNA)を基盤に構築されたためです。これらの要素が中核となっているため、SASEのフレームワークはユーザー中心のまま発展してきました。
一方、ゼロトラスト アーキテクチャーは、組織のITエコシステム全体にわたるアクセスの保護を目的としており、従業員(ユーザー、請負業者、B2Bパートナー)、クラウド(さまざまなパブリック クラウドにまたがるワークロード)、拠点(その内部IoT/OTデバイスを含む)といったあらゆるエンティティーからあらゆる宛先へのアクセスを保護できます。つまり、ゼロトラストはSASEの要件を満たす一方、SASEを導入すればゼロトラストを実現できるわけではありません。
何に対する安全な接続か
SASEは通常、ユーザーをネットワークに接続し、そのネットワークに接続されたアプリケーションへのアクセスを提供します。この接続はSD-WAN経由で提供できますが、そのアーキテクチャーは依然として信頼された拠点を基盤に機能するネットワーク中心のものであり、ゼロトラストとは相反します。
さらに、ほとんどのSASE製品のSD-WANソリューションは、各拠点のファイアウォールによってセキュリティを確保しており、このアプローチもゼロトラストに則したものではありません。名目上「ゼロトラスト」ソリューションであるZTNAでさえ、多くの場合、ユーザーをルーティング可能なネットワークに接続してプライベート アプリへのアクセスを拡張する仕組みとなっています。
ほとんどのSASE製品は、最新のフレームワークとして位置づけられているにもかかわらず、従来のネットワーク中心のアーキテクチャーが持つ以下のような欠点を引き継いでいます。
- 攻撃対象領域の拡大:IPアドレスが公開されるため、サイバー犯罪者によって発見されやすくなります。また、インバウンド ネットワーク接続が可能です。
- 侵害の阻止が不可能:ファイアウォール(仮想アプライアンスやハードウェア アプライアンス)を利用しており、拡張性に限界があるため、暗号化されたトラフィックの検査と保護に課題が生じます。
- 脅威のラテラル ムーブメントの発生:アクセスを特定のアプリケーションに制限するのではなく、ユーザーに広範なネットワーク アクセスを許可します。
- 複雑なサイト間のルーティングが必要:従業員、拠点、クラウド間でネットワークが拡大し、管理や運用の課題が生じます。
つまり、SASE導入の一環として従来のSD-WANやその他のネットワーク指向ツールを利用することは、Any-to-Anyの最小特権アクセスというゼロトラストの原則に反します。ゼロトラストの要件を満たすSASEを導入したい場合は、異なる形態のSD-WANが必要になります。それがゼロトラストSD-WANです。
ゼロトラストSD-WANとゼロトラストSASE
ゼロトラストSD-WANは、ゼロトラスト アーキテクチャーに完全に則った形でのSASE導入を可能にする重要な結合要素です。ユーザー、デバイス、ワークロード全体にわたる最小特権アクセスを拠点、データ センター、クラウドに拡張することで、従来のSD-WANやSASEのネットワーク指向の弱点を克服します。また、リソースが存在するネットワークではなく、要求されたリソースへの直接接続を提供します。
ゼロトラストSD-WANの解説動画を見る
SASEとゼロトラストを組み合わせるメリット
ゼロトラストSD-WANを完全なSASEフレームワークに組み込むことで、真のゼロトラストSASEを実現し、以下のことを達成できます。
- セキュリティの強化:継続的な検証と暗黙の信頼の排除により、従業員、拠点、クラウド全体のサイバー リスクを軽減します。
- 生産性の向上:クラウドへの直接接続を提供するゼロトラスト接続は、分散したユーザーに高速かつ安全なアクセスとシームレスなエクスペリエンスを提供します。
- コストの削減:セキュリティ ツールとネットワーク ツールをクラウドネイティブのゼロトラスト プラットフォームに統合することで、複雑さ、テクノロジー コスト、運用負荷を削減します。
安全な未来を作るZscaler Zero Trust SASE
AIを活用したZscaler SASEは、セキュリティ、パフォーマンス、拡張性を考慮してゼロから構築されています。世界中の160か所以上のデータ センターで1日あたり5,000億件以上のトランザクションを処理し、世界中の主要なインターネット エクスチェンジで数百のパートナーとピアリングすることで、あらゆる場所に優れたゼロトラストを提供します。
- クラウドファーストのアーキテクチャー:ITを統合、簡素化することで、クラウド導入を加速させ、ユーザー エクスペリエンスを強化し、拠点全体で標準化します。
- 完全なインラインTLS/SSLインスペクション:AIを活用したプロキシ アーキテクチャーにより、トラフィックの100%に対して包括的な脅威対策と情報漏洩防止対策を適用します。
- パフォーマンスの最適化:主要なアプリケーションおよびサービス プロバイダーとの世界中のピアリングを介してトラフィック ルーティングを最適化し、優れたユーザー エクスペリエンスを確保します。
- ゼロトラスト通信:暗黙の信頼を付与することなく、従業員、拠点、クラウドを安全に接続します。エンティティーがネットワークそのものには接続されることはありせん。
- 攻撃対象領域の排除:IPアドレスやネットワークをインターネットや許可されていないユーザーから不可視化します。見えないものは攻撃できません。
ネットワークとセキュリティを簡素化
よくある質問
Zero Trust Exchange™は、ゼロトラストの原則をSASEアーキテクチャーと統合し、安全なユーザー アクセス、最適化されたネットワーク、包括的な脅威対策を提供します。アイデンティティー、コンテキスト、ポリシー制御を統合することで、分散環境全体でシームレスな保護を確保しながら、攻撃対象領域とラテラル ムーブメントのリスクを最小化します。
いいえ。SASEを導入しても自動的にゼロトラストにはなりません。SASEのアーキテクチャーはゼロトラストの原則をサポートはするものの、ゼロトラスト方式できめ細かなアクセス制御と検証を適用するためには明示的な構成が必要です。つまり、アイデンティティーとコンテキストを検証したうえで、許可されたエンティティーにネットワークではなくリソースへの直接接続を提供できるようにする必要があります。
いいえ。SASEはゼロトラストに代わるものではありません。どちらもセキュリティと接続の強化を目的としていますが、SASEは従来のネットワーク中心のアーキテクチャーを採用していることが多く、ネットワークへのアクセスの保護に特化しています。一方、ゼロトラストはITエコシステム全体のリソースへの直接接続を保護し、最小特権の原則に基づくAny-to-Anyの接続を優先します。ゼロトラストの原則はSASEを補完すると同時に、SASEの限界を克服するものです。
ゼロトラストは、各セッションのユーザー アイデンティティー、デバイス、コンテキストに基づいてアクセスを検証して許可します。一方、VPNは、暗号化されたトンネルを介して広範なアクセスを提供します。VPNはネットワークへの直接接続も提供しますが、ゼロトラストはネットワークへのアクセスは提供せずにアプリへの直接接続を提供します。VPNとは異なり、ゼロトラストはユーザーを継続的に検証するため、デバイスや脅威が分散した現代の環境により適しています。
