ゼロトラスト エッジとは

ゼロトラスト エッジとは、ゼロトラスト アクセスの原則に基づき、主にクラウドベースのセキュリティおよびネットワーク サービスを活用して、インターネット トラフィックをリモート サイトに接続するセキュリティ ソリューションのことです。 

ゼロトラスト エッジ（ZTE）ネットワークはほぼあらゆる場所からアクセスでき、接続時にユーザーやデバイスを認証するゼロトラスト ネットワーク アクセス（ZTNA）をインターネット全体で使用するため、安全なインターネット アクセス接続経路を実現できます。 

Gartner は、ネットワークとサイバーセキュリティの結びつきが強まっていることを指摘し、セキュア アクセス サービス エッジ（SASE）の概念を紹介しています。これにはその一環として、クラウド セキュリティおよびクラウド ネットワークのサービスの統合が含まれます。SASE ソリューションは、クラウド、データセンター、およびブランチ ネットワーク エッジを保護し、さまざまな接続で安全な SD-WAN ファブリックを提供するように設計されています。Forrester は、同社の最近のレポート『Introducing The Zero Trust Edge Model For Security And Network Services』に新しい SASE モデルを掲載しました。このレポートではゼロトラスト エッジ（ZTE）が定義されており、「ゼロトラスト」コンポーネントに大きな重点が置かれています。 

エンタープライズ ネットワークの境界は数十年のうちにあいまいになってきていましたが、新型コロナウイルス感染症の世界的なパンデミックにより、従業員が自宅にリモート オフィスを設置するために奔走することになった結果、この境界はすっかり消滅しました。在宅勤務（WFH）をする従業員が新しい標準となり、企業は Web アプリケーションやモバイル アプリケーションなど、顧客との関係を構築するための新しいチャネルを常に探し求めています。 

業務や取引を遂行するには、この増加を続けるユーザーやデバイスを企業のリソースに接続する必要があるため、最近ではネットワーク構築にゼロトラストのアプローチを採用することで、テレワーク環境を安全にサポートしようと努めるセキュリティ担当者が増えています。 

このため、ほとんどの組織において ZTE の初期のユースケースは、仮想プライベート ネットワーク（VPN）を不要にしながら、リモート ワーカーを保護するものになるでしょう。多くの場合、大規模な WFH によって新しい接続が急増すると、仮想プライベート ネットワーク（VPN）に大きな負担がかかることになります。 

現在、次の 3 つの主な要因によって、ネットワークとセキュリティのさらなる統合が促されています。

• セキュリティ担当者は、ネットワーク上で許可されたトラフィックが自分たちの厳しいセキュリティ信頼レベルを満たしていることと、トラフィックの監視と分析によってポリシーに準拠していることを確認する必要があります。
• セキュリティ チームが企業のネットワークに加担するのではなく、ネットワーク担当者が ZTE ポリシーを採用し、セキュリティの観点からネットワーク業務を実行する必要があります。
• すべてのクライアントとエンドポイントからインターネットに安全にアクセスできる接続経路と、ネットワーク ルート上のあらゆる場所で遭遇する可能性があるマルウェアを阻止または回避する機能が必要とされています。

多くの組織はソフトウェアベースの WAN（SD-WAN）を使用してすでにネットワークを仮想化していますが、このアプローチでは多くの新しいセキュリティ要件に対応することができません。上記のようにクラウド セキュリティとネットワークを統合することで、ZTE は次のような重要なメリットを提供します。

リスクの軽減：ネットワーク ファブリックにセキュリティが組み込まれており、接続ごとに検査と保護が行われるため、IT 担当者は、ユーザーの接続元、使用されているアプリケーション、または使用されている暗号化の種類（該当する場合）を心配する必要がありません。各接続とトランザクションは毎回認証されます。 

コストの削減：ZTE は通常、自動化されたクラウド配信型サービスとして提供されるため、ZTE ネットワークは本質的にスケーラブルです。これらはインターネット ファブリックの一部であるため、レガシー アーキテクチャに関係なく、組織のデジタル トランスフォーメーションに対応できます。 

ユーザー体験の向上：接続経路は世界全体に提供できるため、ネットワークのパフォーマンスとスループットが向上するだけでなく、バックホールの必要性も減少し、遅延が低減されます。 

ZTE モデルはクラウド ホスト型またはエッジ ホスト型のセキュリティ スタックとして設計されていますが、多くの地域で帯域幅の制限があるため、スタックの一部の構成要素をローカル インフラストラクチャに配置する必要があります。

現在、組織が活用できる ZTE アプローチには、次の 3 つがあります。

1. ベンダーが運営またはサードパーティが提供するネットワークを基盤とし、数個から数百個の POP（Point of Presence）が設置されている、ZTE 機能を備えたクラウド配信型サービス。このアプローチでは、SaaS（Software-as-a-Service）方式が採用されます。
2. WAN 接続サービスに含まれ、キャリアが ZTE 機能とアウトソーシングされたセキュリティを提供する ZTE。Comcast Enterprise および Akami は ZTE 機能を提供しており、多くの SD-WAN プロバイダーも ZTE に特化したセキュリティ ベンダーと提携してサービスを補完しています。多くの選択肢がありますが、オンプレミス サービスではクラウドベースのシステムの俊敏性がなく、SD-WAN と ZTE の組み合わせでは、サービスごとにポリシーを構成する必要があり、全体を一貫して管理できるソリューションがありません。
3. 自社開発のアプローチ。このアプローチは、POP、クラウド ホスト型ファイアウォール、およびパブリッククラウド内に存在するその他のセキュリティ サービスのためにクラウドサービス プロバイダーを利用し、独自の ZTE サービスを構築することができる、俊敏性に優れた大規模な企業にのみ現実的です。このアプローチは非常に柔軟性に優れていますが、進化するセキュリティ コンポーネントの継続的な監視や、クラウドサービス、さらにそのようなサービスを作成し管理するための IT スキルも必要になります。

ソリューションはクラウドに付随する次の 2 つの主な原則に基づいて構築する必要があるため、ZTE はクラウドベースである場合にもっとも大きな価値をもたらすと考えられます。

• クラウドベースのネットワークとセキュリティ管理：ネットワーク、ファイアウォール、その他の SD-WAN 機能向けのエンタープライズ ツールおよび管理ツール全体に対して 1 組のポリシーをユーザーに提供します。これにより、エラーを減らし、効率性を高め、同様のポリシーを複数のシステムに設定しやすくなります。
• ネットワークとセキュリティをリンクする監視、管理、および分析ツール：ZTE のこの特質により、リンクを適切に活用してセキュリティの問題につながる可能性のあるネットワークの異常を特定し、ピアリングされた区域を含め、監視範囲にネットワーク全体を含めることができます。膨大なデータを収集して分析するには、求められる分析に対応できるストレージや処理のためのクラウドベースのソリューションが必要になります。

完全に展開されると、クラウド上であるかリモート サイトでホストされているかに関係なく、ZTE ソリューションに含まれる一連のセキュリティ サービスとネットワーク サービスを一元的に管理、監視、分析できるようになります。

ゼロトラスト エッジ モデルは、従来のセキュリティとネットワークの使用方法に混乱をもたらすものではなく、それらを変革するものです。絶え間ない進化に常に対応し、サイバーセキュリティ部門は、ゼロトラスト エッジに迅速に移行してきました。

企業は、リモート ワーカーのセキュリティ問題の対策としてゼロトラスト エッジに取り組まざるを得なくなっていますが、このモデルのメリットをすべて実現するには、次のような大きな課題があります。

レガシー アプリケーションとサービス：ID フェデレーションをサポートする最新の Web アプリケーションは ZTE で簡単に構成できますが、Web 以外のプロトコルで構築されたアプリケーション、特にリモート アクセス用の RDP/VDI や、音声用の SIP/VoIP は、ZTE 環境での利用に関する標準がないため、簡単には統合できません。

レガシー ネットワーク機器：ZTE にコンピューターとアプリケーションを追加するとなると、IT 部門は無数の運用技術（OT）と IoT デバイスを検討しなければなりません。対象デバイスは、どの組織でも数千台に及ぶことがあります。

キャパシティ：ZTE はリモート ワーカーの戦術的なアクセスの問題を解決することはできますが、データセンターへのアクセスを提供する現在の高キャパシティのネットワーク サービスやセキュリティ サービスに置き換わる能力はまだありません。そのためまずクラウドへの移行を実施してから、特定の企業資産を守るため ZTE による保護を導入するという選択肢もあります。

Forrester は、「ゼロトラスト」コンポーネントに重点を置いて SASE モデルを改良したものが ZTE であると定義しています。インターネットはセキュリティを考慮せずに設計されていることから、マルウェアおよび絶えず変化する攻撃対象領域の世界を生み出しています。ZTE は、安全な接続を試みるために数十年にわたって適用されてきたセキュリティ パッチや応急措置を無視し、最悪の事態を想定して、たとえエンドポイントの唯一のインターネット接続が別のエンドポイントへのトンネルであろうとあらゆる接続を ZTE を使用して認証することで、公共のインターネットの「危険な場所」からユーザーを遠ざけます。