ゼロトラストと従来のセキュリティ モデルの比較

脅威環境の進化とパラダイム シフト

脅威環境は急速に進化しています。最近の報告によると、ランサムウェアのインシデントは前年比17.8%増加し、暗号化攻撃も前年比10.3%増加しています。また、92%の組織はパッチ未適用の脆弱性によりマルウェア攻撃を受けることを懸念しています。従来のセキュリティ モデルではこれらの課題に対応できないため、81%の組織が2026年までにゼロトラスト戦略を導入することを検討しています。

従来のセキュリティ モデルとゼロトラストの比較

従来のセキュリティ戦略はネットワーク境界内での暗黙の信頼に基づいており、ユーザーはITリソースが存在するネットワークに接続する必要があります。このアプローチでは、ファイアウォールや仮想プライベート ネットワーク(VPN)などのツールを利用して、悪意あるものをネットワーク外に、信頼できるものをネットワーク内に留めます。オンプレミス環境を保護するうえでは十分に機能していたものの、クラウドファーストのハイブリッド ワーク環境が一般的となった現代において、従来のネットワーク境界を超えてユーザー、デバイス、データを保護するにはこのモデルでは課題が残ります。

これに対してゼロトラストの核となる「決して信頼せず、常に検証する」という原則に従うと、ITリソースへのアクセスをネットワーク アクセスから切り離すことになります。信頼されているエリアを排除し、アクティビティーをリアルタイムで監視して、コンテキストとリスクに基づいてITリソースへの直接アクセスを提供します。ゼロトラスト アーキテクチャーはクラウドからサービスとして提供され、ポリシーは集中型のデータ センターではなくエッジで施行されます。組織が今日の脅威に先手を打つためには、このパラダイム シフトが不可欠です。

従来のセキュリティ モデルの欠点

ファイアウォールのような従来型の境界防御は、外部からの攻撃からネットワークを防御する一方で、内部のユーザーやデバイスは信頼しています。何かが別のものにアクセスするためには、その両者がネットワークに接続されている必要があるためです。このアプローチでは、リモートの従業員がVPNを使用してネットワークに接続するほか、拠点やクラウド アプリにも同様にネットワークを拡張する必要があります。

このアプローチは数十年前までは十分に機能していましたが、現在では重大な弱点を抱えています。

• 攻撃対象領域の拡大：ファイアウォールやVPNで構成された従来のアーキテクチャーは、サイバー犯罪者に発見および悪用される可能性のあるパブリックIPアドレスを持っています。
• 暗号化トラフィックの死角：従来のツールでは暗号化トラフィックの大規模な検査が困難であり、攻撃が防御をすり抜けることを許してしまいます。
• 脅威のラテラル ムーブメント：ひとたび境界を突破してネットワークにアクセスした攻撃者は、そのネットワークに接続されたITリソースにもアクセスすることが可能です。
• 情報漏洩：従来のツールは、暗号化トラフィック経由の情報漏洩を防げないだけでなく、SaaSアプリやBYODといった現代の漏洩経路を保護できるように設計されていません。
• コストと複雑性：ハブ＆スポークのネットワークや城と堀のセキュリティ モデルの構築と管理には、大きな複雑性とコストが伴います。
• ユーザー エクスペリエンスの低下：トラフィックのバックホールやセキュリティのポイント製品を介したルーティングを原因とする遅延により、デジタル エクスペリエンスが損なわれ、結果的に生産性が低下します。

ゼロトラストの概要

ゼロトラストは、従来モデルの前提となっていた「信頼」を根本から見直すものです。あらゆる接続を潜在的な脅威と見なし、継続的に信頼を検証することで、あらゆるエンティティーとあらゆる宛先の間で通信の安全性を確保します。

ゼロトラストの基本原則

• コンテキストベースの検証：ユーザーのアイデンティティーや場所、デバイスの正常性、リクエストされた宛先、リスクなどのコンテキスト要素に基づき、すべてのアクセス試行に対して認証を行います。
• ゼロトラスト セグメンテーション：ユーザーなどのエンティティーはネットワーク全体ではなく、アプリやITリソースに直接接続されます。
• 最小特権アクセス：各エンティティーには必要最低限のアクセスのみが許可され、許可されていない資産やネットワークにはアクセスできません。
• リアルタイムの監視：継続的な監視により不審なアクティビティーを検知し、新たな脅威へのリアルタイムの対応を可能にします。
• 人工知能：AI/MLによって、大規模な環境におけるコンテキストベースの継続的な検証、インテリジェントなデータ保護や脅威対策などが可能になります。

従来のセキュリティ モデルと比較したゼロトラストのメリット

ゼロトラストは、ビジネスの保護、簡素化、変革を目指す組織に大きなメリットをもたらします。

保護

• 攻撃対象領域の最小化：パブリックIPアドレスや悪意あるインバウンド接続を排除し、インサイドアウト接続に置き換えることで攻撃対象領域を不可視化します。
• 侵害の防止：暗号化トラフィックを含むすべてのトラフィックを大規模に検査できる高パフォーマンスのクラウドを活用し、リアルタイムのポリシーを施行することでサイバー攻撃を阻止します。
• ラテラル ムーブメントの防止：ユーザーをネットワークではなくアプリに直接接続するゼロトラスト セグメンテーションを活用し、ネットワーク上での過剰な権限の悪用を防ぎます。
• 情報漏洩の防止：暗号化トラフィックのほか、SaaSアプリでの共有からBYODまで、あらゆる経路での情報漏洩を防止します。

簡素化

ゼロトラスト アーキテクチャーを採用することで、VPN、ファイアウォール、VDIといった従来のツールを置き換え、インフラを合理化できます。パブリック インターネットを通じた安全なプライベート アクセスを実現し、高額なMPLSへの依存を低減することが可能です。このアプローチは、テクノロジー コストを削減し、運用効率を向上させ、全体として大きな節約効果をもたらします。

変革

ゼロトラスト アーキテクチャーによって、組織は柔軟かつシンプルな環境を構築して、現代的な働き方に安全に対応し、ユーザーは高速かつ信頼性の高い安全な形でリソースにアクセスできるようになります。また、データ センター経由でトラフィックをバックホールすることなく、新しいクラウド プラットフォームやサービスを導入できるようになります。

実際のユース ケース

業界を問わず多くの組織がゼロトラストを導入し、セキュリティの向上と運用の改善を実現しています。

シアトル チルドレンズ病院はトラフィックをバックホールせずに100%検査し、可視性とユーザー エクスペリエンスを向上させています。
動画を見る(英語) →

Hastings Directは従来のVPNをリプレースし、あらゆる場所で働く従業員に生産的で安全な環境を提供しています。
動画を見る(英語) →

AutoNationは360台以上の拠点のファイアウォール アプライアンスを、完全なクラウドベースのゼロトラスト セキュリティ スタックでリプレースしました。
動画を見る(英語) →

Siemensは192か国の35万人以上の従業員にゼロトラストを適用し、インフラ コストを最大70%削減しました。
動画を見る(英語) →

従来のセキュリティからゼロトラストへの移行

あらゆる変革と同様、ゼロトラストへの移行も難しいものだと感じるかもしれません。しかし、それほど懸念する必要はありません。プロセスを簡素化するために、Zscalerは以下の4つの実行可能なステップに基づく段階的なアプローチを推奨しています。

1. 場所を問わない働き方におけるセキュリティの確保
2. クラウドとその中のデータの保護
3. IoT/OTデバイス向けのセキュリティの最新化
4. サード パーティーからアプリケーションへの安全なアクセスの確立

ゼロトラストの実装にあたっての主な検討事項とベスト プラクティスの詳細は、ゼロトラストを実装するにはをご確認ください。

Zscalerのソリューション

Zscalerは、世界最大のセキュリティ プラットフォームであるZscaler Zero Trust Exchangeを通じてゼロトラストを提供しています。このクラウド ネイティブ プラットフォームは、あらゆるネットワークや場所のユーザー、デバイス、アプリケーションを、ビジネス ポリシーに基づいてシームレスに接続します。Zscalerは、独自のアプローチによって以下のことを実現します。

• 攻撃対象領域の最小化
• 不正侵入のリアルタイムでの阻止
• 脅威のラテラル ムーブメントの防止
• すべての経路にわたる情報漏洩の阻止
• ビジネスの成長に合わせた保護の拡張
• 優れたユーザー エクスペリエンスの提供
• コストと複雑さの軽減

ゼロトラスト アーキテクチャーのリーダーとして、Zscalerは数千社のお客様に対して、ITリソースへの高速かつ安全な直接アクセスの実現を支援してきました。Zscalerを導入してゼロトラストの取り組みを推進することが、組織の未来を守り、より良いものにすることにつながります。