ゼロトラスト エッジとは

ゼロトラスト エッジが重要である理由

エンタープライズ ネットワークの境界は数十年をかけてあいまいになってきていましたが、新型コロナウイルス感染症の世界的なパンデミックによって、従業員が自宅にリモート オフィスを設置するために奔走することになった結果、境界はすっかり消滅しました。在宅勤務（WFH）をする従業員が新しい標準となり、企業は Web アプリケーションやモバイル アプリケーションなど、顧客との関係を構築するための新しいチャネルを常に探し求めています。

業務や取引を遂行するために、この膨張を続けるユーザー群とデバイス群を企業のリソースに接続する必要があります。テレワーク環境を安全にサポートするために、ゼロトラスト アプローチをネットワークに採用するセキュリティ担当者が増えています。

このため、ほとんどの組織において ZTE の初期のユースケースは、仮想プライベート ネットワーク（VPN）を不要にしながら、リモート ワーカーを保護するものになるでしょう。多くの場合、大規模な WFH によって新しい接続が急増すると、仮想プライベート ネットワーク（VPN）に大きな負担がかかることになります。

次の 3 つの主な要因によって、ネットワークとセキュリティのさらなる統合が促進されています。

• セキュリティ担当者は、ネットワーク上で許可されたトラフィックが自分たちの厳しいセキュリティ信頼レベルを満たしていることと、トラフィックの監視と分析によってポリシーに準拠していることを確認する必要があります。
• セキュリティ チームが企業のネットワークに加担するのではなく、ネットワーク担当者が ZTE ポリシーを採用し、セキュリティの観点からネットワーク業務を実行する必要があります。
• すべてのクライアントとエンドポイントからインターネットに安全にアクセスできる接続経路と、ネットワーク ルート上のあらゆる場所で遭遇する可能性があるマルウェアを阻止または回避する機能が必要とされています。

ゼロトラスト エッジのメリット

多くの組織はソフトウェアベースの WAN（SD-WAN）を使用してすでにネットワークを仮想化していますが、このアプローチでは多くの新しいセキュリティ要件に対応することができません。上記のようにクラウド セキュリティとネットワークを統合することで、ZTE は次のような重要なメリットを提供します。

リスクの軽減：ネットワーク ファブリックにセキュリティが組み込まれており、接続ごとに検査と保護が行われるため、IT 担当者は、ユーザーの接続元、使用されているアプリケーション、または使用されている暗号化の種類（該当する場合）を心配する必要がありません。各接続とトランザクションは毎回認証されます。

コストの削減：ZTE は、通常、自動化されたクラウド配信型サービスとして提供されるため、ZTE ネットワークは本質的にスケーラブルです。これらはインターネット ファブリックの一部であるため、レガシー アーキテクチャに関係なく、組織のデジタル トランスフォーメーションに対応できます。

ユーザー体験の向上：接続経路は世界全体に提供できるため、ネットワークのパフォーマンスとスループットが向上するだけでなく、バックホールの必要性も減少し、遅延が低減されます。

ゼロトラスト エッジを実現するための要件

ZTE モデルはクラウド ホスト型またはエッジ ホスト型のセキュリティ スタックとして設計されていますが、多くの地域で帯域幅の制限があるため、スタックの一部の構成要素をローカル インフラストラクチャに配置する必要があります。
現在、組織が活用できる ZTE アプローチには、次の 3 つがあります。

1. ベンダーが運営またはサードパーティが提供するネットワークを基盤とし、数個から数百個の POP（Point of Presence）が設置されている、ZTE 機能を備えたクラウド配信型サービス。このアプローチでは、SaaS（Software-as-a-Service）方式が採用されます。


2. WAN 接続サービスに含まれ、キャリアが ZTE 機能とアウトソーシングされたセキュリティを提供する ZTE。Comcast Enterprise および Akami は ZTE 機能を提供しており、多くの SD-WAN プロバイダーも ZTE に特化したセキュリティ ベンダーと提携してサービスを補完しています。多くの選択肢がありますが、オンプレミス サービスではクラウドベースのシステムの俊敏性がなく、SD-WAN と ZTE の組み合わせでは、サービスごとにポリシーを構成する必要があり、全体を一貫して管理できるソリューションがありません。


3. 自社開発のアプローチ。このアプローチは、POP、クラウド ホスト型ファイアウォール、およびパブリッククラウド内に存在するその他のセキュリティ サービスのためにクラウドサービス プロバイダーを利用し、独自の ZTE サービスを構築することができる、俊敏性に優れた大規模な企業にのみ現実的です。非常に柔軟性に優れていますが、このアプローチでは、進化するセキュリティ コンポーネントの継続的な監視や、クラウドサービス、また、サービスを作成および管理するための IT スキルも必要になります。

クラウドに付随する次の 2 つの主要な原則に基づいてソリューションを構築する必要があるという点で、ZTE は、クラウドベースの場合にもっとも大きな価値をもたらすと考えられます。

• クラウドベースのネットワークおよびセキュリティ管理：ネットワーク、ファイアウォール、その他の SD-WAN 機能向けのエンタープライズ ツールおよび管理ツール全体に対して 1 組のポリシーをユーザーに提供します。これにより、エラーを減らし、効率性を高め、同様のポリシーを複数のシステムに設定しやすくなります。


• ネットワークとセキュリティをリンクする監視、管理、および分析ツール：ZTE のこの特質により、リンクを適切に活用してセキュリティの問題につながる可能性のあるネットワークの異常を特定し、ピアリングされた区域を含め、監視範囲にネットワーク全体を含めることができます。膨大なデータを収集して分析するには、求められる分析に対応できるストレージや処理のためのクラウドベースのソリューションが必要になります。
  

完全に展開されると、クラウド上であるかリモート サイトでホストされているかに関係なく、ZTE ソリューションに含まれる一連のセキュリティ サービスとネットワーク サービスを一元的に管理、監視、分析できるようになります。

ゼロトラスト エッジの課題とは

ゼロトラスト エッジ モデルは、従来のセキュリティとネットワークの使用方法に混乱をもたらすものではなく、それらを変革するものです。絶え間ない進化に常に対応し、サイバーセキュリティ部門は、ゼロトラスト エッジに迅速に移行してきました。

企業は、リモート ワーカーのセキュリティ問題の対策としてゼロトラスト エッジに取り組まざるを得なくなっていますが、このモデルのメリットをすべて実現するには、次のような大きな課題があります。

レガシー アプリケーションとサービス：ID フェデレーションをサポートする最新の Web アプリケーションは ZTE で簡単に構成できますが、Web 以外のプロトコルで構築されたアプリケーション、特にリモート アクセス用の RDP/VDI や、音声用の SIP/VoIP は、ZTE 環境での利用に関する標準がないため、簡単には統合できません。

レガシー ネットワーク機器：ZTE にコンピューターとアプリケーションを追加するとなると、IT 部門は無数の運用技術（OT）と IoT デバイスを検討しなければなりません。対象デバイスは、どの組織でも数千台に及ぶことがあります。

キャパシティ：ZTE はリモート ワーカーの戦術的なアクセスの問題を解決することはできますが、データセンターへのアクセスを提供する現在の高キャパシティのネットワーク サービスやセキュリティ サービスに置き換わる能力はまだありません。組織は、特定の企業資産を考慮して、ZTE の保護に移行する前にクラウドへの移行を選択することもできまる。

ゼロトラスト エッジと SASE の違いとは

Forrester は、「ゼロトラスト」コンポーネントに重点を置いて SASE モデルを改良したものが ZTE であると定義しています。インターネットはセキュリティを考慮せずに設計されていることから、マルウェアおよび絶えず変化する攻撃対象領域の世界を生み出しています。ZTE は、安全な接続を試みるために数十年にわたって適用されてきたセキュリティ パッチや応急措置を無視し、最悪の事態を想定して、たとえエンドポイントの唯一のインターネット接続が別のエンドポイントへのトンネルであろうとあらゆる接続を ZTE を使用して認証することで、公共のインターネットの「危険な場所」からユーザーを遠ざけます。