ゼロトラストとSASEの比較

リモートワークの機能が突如加速したことを受け、人々の働き方は従来のネットワーク境界に収まらなくなっています。実際、ユーザー自身が境界を定義し、さまざまな場所からネットワーク、アプリケーション、アセットにアクセスし、多くの場合、個人のデバイスを使用しています。

このクラウドへの移行では、組織は既存のセキュリティ戦略とツールセットを更新、強化して、アクセスしているユーザーやアクセス場所に関係なく、すべてのユーザー、デバイス、データ、インフラストラクチャ、ネットワーク、およびアセットに対する保護を提供する必要があります。

この環境では、堅牢なクラウドセキュリティ戦略の重要コンポーネントとして、ゼロトラストとSecure Access Service Edge (SASE) の2つのソリューションが出現しています。ただし、これらの用語はどれもサイバーセキュリティの世界で一般的になっているかもしれませんが、それぞれの特定の機能およびその機能がどう関連しているのかについてはいくらか混乱が残っています。

この記事では、ゼロトラストとSASEの詳細を解説し、何よりも重要なサイバーセキュリティのフレームワークにゼロトラストとSASEを組み込むときの一般的な疑問にお答えします。

ゼロトラストとは？

ゼロトラストとは、組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークのことです。ゼロトラストは、従来のネットワークエッジがないことを前提としています。ネットワークには、ローカル、クラウド、または、それらのハイブリッドが考えられます。

ゼロトラストセキュリティのフレームワークは、リスクベースの多要素認証、アイデンティティ保護、次世代エンドポイントセキュリティ、堅牢なクラウドワークロードテクノロジーなどの高度なテクノロジーを組み合わせて実行され、ユーザーやシステムのアイデンティティ、その時点でのアクセスへの配慮、システムセキュリティの維持を検証します。ゼロトラストでは、データの暗号化、Eメールの保護、およびアプリケーションに接続する前のアセットとエンドポイントのハイジーンの検証も考慮する必要があります。

 SASEとは？

Secure Access Service Edge (SASE) は、強力なデジタルアイデンティティに基づいてアプリケーションおよびデータにセキュアなアクセスを提供するセキュリティモデルです。

Gartner社が提唱するSASEアーキテクチャは、複数の異なるセキュリティコンポーネントを単一の統合型クラウドベースソリューションに結合します。コンポーネントには以下のものが含まれます。

• ゼロトラストネットワークアクセス (ZTNA) などのネットワーキングおよびネットワークセキュリティサービス
• CASB（クラウドアクセスセキュリティブローカー）
• サービスとしてのファイアウォール (FWaaS)
• セキュアWebゲートウェイ (SWG)
• SD-WANソリューション
• データ損失防止 (DLP)

SASEでは複数の異なるクラウドセキュリティツールとコンポーネントが統合されるため、以下のような広範囲にわたる堅牢な機能を利用できます。

• ネットワークトラフィック、ユーザー、アプリケーション、デバイス、インフラストラクチャコンポーネントの管理
• 堅牢なデジタルアイデンティティ機能を使用して企業がユーザーを認証する機能
• セキュリティの脅威をプロアクティブに特定し、修復する機能

ゼロトラストとSASEの比較：重要な疑問

ゼロトラストとSASEは、どちらもセキュリティ関連のインフラストラクチャシステムであるという点で似ており、組織がアセットをセキュリティ保護し、サイバー脅威から保護するのを支援します。ただし、この2つの用語を同じ意味で使う人もいれば、ゼロトラストを実装することで自動的にSASEがもたらされると考える人もいます。実際は、この2つは関連する機能ではあるものの、別個の機能です。

ここで、SASEとゼロトラストの機能およびこの2つの関連について、ITチームが抱く最も一般的な疑問をいくつか見てみましょう。

SASEとゼロトラストの違いとは？

SASEとゼロトラストの最も顕著な違いはソリューションのスコープに関係しています。ゼロトラストは、純粋に認証済みユーザーにアクセス管理とアクセス制御を提供することに焦点を当てています。一方、SASEの特徴はもっと幅広く、ネットワークおよびセキュリティサービスのホスト（ゼロトラストネットワークアクセスなど）を単一のソリューションにバンドルします。

もう一つの中心的な違いはアイデンティティです。ゼロトラストモデルでは、信頼できるユーザーというものは存在しません。むしろ、デバイスまたはユーザーは各アクセスリクエストの一部として認証される必要があります。これに対し、SASEはアイデンティティ起点です（つまり、リクエスタのデジタルアイデンティティを使用してアクセスを特定）。

SASEを実装すると自動的にゼロトラストがもたらされますか？

必ずしもそうとは限りません。SASEはゼロトラストの原則に基づいて構築され、ゼロトラストアクセスはSASEのコアコンポーネントですが、必ずしもSASEの実装の直接的な結果として組織がゼロトラストを達成できるというわけではありません。ゼロトラスト戦略には、ZTNAに加えて複数のコンポーネントがあるからです。

SASEとゼロトラストでは、どちらが優れていますか？

SASEとゼロトラストを「二者択一」のシナリオと考える必要はありません。むしろ、包括的なサイバーセキュリティ戦略における2つの相補的なコンポーネントです。

SASEのほうが包括的な機能セットを提供しますが、それと同時に、統合、展開、運用がはるかに複雑で、時間がかかり、リソースを大量に使用します。これに対し、ゼロトラストソリューションは機能の幅は狭いものの、一般に実装と運用がはるかに簡単になります。

このような理由から、ほとんどの組織が短期的な目標としてゼロトラストに注力し、長期的な目標のSASEに向けて取り組んでいます。

ゼロトラストとSASEを連携してビジネスに活用するにはどうすればよいですか？

SASEとゼロトラストモデルを単一の統合機能にまとめることができる組織は、ビジネスにとっての重要な利点をいくつか引き出すことができます。

1. 包括的なセキュリティ：SASEおよびゼロトラストモデルの展開と統合が成功することで、組織のIT環境の可視性が向上し、セキュリティアーキテクチャ内のギャップとサイロが解消されます。
2. 複雑さの軽減：SASEとゼロトラストモデルを併用することによって、企業はセキュリティツールセットを一本化し、IT環境のいくつかの側面を簡素化できます。その結果として、デバイス、サービス、ユーザー間の統合を回避することによって、ネットワークの複雑さを軽減できます。
3. スケーラビリティの向上：従来のVPNの手法と異なり、SASEとゼロトラストのアプローチはハードウェアおよびソフトウェアの追加投資を拡大する必要はなく、組織のニーズに応じて容易に規模を拡大/縮小できます。これにより、ビジネスのパフォーマンスと俊敏性が向上するだけでなく、コストも削減されます。
4. リソースの最適化：多くの高度なセキュリティソリューションと同様に、SASEとゼロトラストの原則の実装に成功すると、セキュリティアジェンダの一部のルーチンと反復的な側面が自動化され、その結果、スタッフはより価値の高いタスクに注力できるようになります。