ゼロトラストとSASEが連携して機能するしくみ

ゼロトラストとは、ネットワークから信頼という概念を完全に排除し、企業のネットワークやデータへのアクセス権を付与する前にコンテンツ インスペクションを求めるセキュリティ戦略です。主要な業界調査会社のForrester Research社は、ゼロトラスト ソリューションが以下の要件を満たす必要があるとしています。  

  1. 場所に関係なく、すべてのリソースにセキュアにアクセスできるようにする
  2. 最小権限のアクセス戦略を活用し、厳格にアクセス制御を適用する
  3. すべてのトラフィックを検査し、ログに記録する

組織がクラウドを導入する際に、セキュリティ適用する手段を適応させる必要があります。ゼロトラスト ネットワーク アクセス(ZTNA)は、アプリケーションに対するゼロトラストの原則の遵守を、クラウドを含めそれらが存在する場所にかかわらず強調するモデルです。

クラウドとモビリティにおける課題

今日、アプリケーション、データ、ユーザーはどこにでも存在し、その範囲はデータセンターから、複数のSoftware as a Service (SaaS)アプリ、モバイル デバイスなど、多岐にわたります。そのため企業では、アプリケーションやデータに対する完全な可視性を確保するのに苦戦しています(それらの資産へのアクセス権を持つユーザーの制御と管理は言うまでもありません)。  

多くの企業が、セキュアWebゲートウェイファイアウォールリモート アクセスVPNといった複数のポイント製品を利用して、こうした問題の克服を試みてきましたが、クラウドへのアプリケーションの移行に伴い、トラフィックがVPNを経由する必要がなくなると、プロキシやセキュアWebゲートウェイがプライベート アプリケーションにトラフィックをトンネルすることができなくなり、矛盾が生まれます。その結果、組織はクラウドとデータセンターの両方のアプリケーションに対応できるリモート アクセスVPNの代替ソリューションを探すようになっています。

そこでZTNAは、これらの要件を踏まえて、プロキシを補完するソフトウェア定義境界のポイント製品の開発を主導しました。それらの製品はプライベート アプリケーションへのアクセスの使用例に対応しますが、導入されるポイント製品の数も増加します。一部には、通常インターネット方向へのトラフィックに適用される検査をすり抜けることから、セキュリティ ポリシーの適用を回避するものもあります。

SASEとゼロトラスト ネットワーク アクセスの利点

世界有数の調査およびアドバイザリ企業Gartner社は、「セキュア アクセス サービス エッジ」(SASE、「サッシー」と発音)と呼ばれるセキュリティ モデルを定義しています。このモデルでは、ネットワーキングとネットワーク セキュリティ サービス(ZTNA、クラウド アクセス セキュリティ ブローカー(CASB)、サービスとしてのファイアウォール(FWaaS)、データ損失防止(DLP)など)を、1つの包括的な統合ソリューションにまとめることで、あらゆるトラフィック、アプリケーション、ユーザーをサポートします。またこのモデルでは、企業はユーザーの迅速な認証、潜在的なセキュリティ脅威の検出と軽減、完全なコンテンツ インスペクションを実行できます。SASEによって組織は、かつてのプロキシ定義境界製品やソフトウェア定義境界製品の場合と同様、インターネット アプリケーションとプライベート アプリケーションの両方に対応するために個別のインフラストラクチャを立ち上げる必要がありません。

つまり、SASEとゼロトラストの原則を組み合わせることで、企業は、ネットワーク全体に一貫してセキュリティ ポリシーを適用し実施するための単一のソリューションによって、ZTNAを実現できるということです。

このアプローチの利点:

  • より強力なネットワーク セキュリティ
  • 合理化されたネットワーク管理
  • セキュリティの大規模な導入に伴うコストの大幅な削減
  • ネットワーク全体に対する一元化された包括的なビュー

完全なSASEプラットフォームがもたらす利点の詳細については、弊社のeブック「効果的なSASEソリューションの10の信条」をご覧ください。

ゼロトラストおよびSASEに関するその他の記事: