ゼロトラスト エッジとは、ゼロトラスト アクセスの原則に基づき、主にクラウドベースのセキュリティおよびネットワーク サービスを活用して、インターネット トラフィックをリモート サイトに接続するセキュリティ ソリューションのことです。
ゼロトラスト エッジ(ZTE)ネットワークはほぼあらゆる場所からアクセスでき、接続時にユーザーやデバイスを認証するゼロトラスト ネットワーク アクセス(ZTNA)をインターネット全体で使用するため、安全なインターネット アクセス接続経路を実現できます。
Gartner は、ネットワークとサイバーセキュリティの結びつきが強まっていることを指摘し、セキュア アクセス サービス エッジ(SASE)の概念を紹介しています。これにはその一環として、クラウド セキュリティおよびクラウド ネットワークのサービスの統合が含まれます。SASE ソリューションは、クラウド、データセンター、およびブランチ ネットワーク エッジを保護し、さまざまな接続で安全な SD-WAN ファブリックを提供するように設計されています。Forrester は、同社の最近のレポート『Introducing The Zero Trust Edge Model For Security And Network Services』に新しい SASE モデルを掲載しました。このレポートではゼロトラスト エッジ(ZTE)が定義されており、「ゼロトラスト」コンポーネントに大きな重点が置かれています。
エンタープライズ ネットワークの境界は数十年のうちにあいまいになってきていましたが、新型コロナウイルス感染症の世界的なパンデミックにより、従業員が自宅にリモート オフィスを設置するために奔走することになった結果、この境界はすっかり消滅しました。在宅勤務(WFH)をする従業員が新しい標準となり、企業は Web アプリケーションやモバイル アプリケーションなど、顧客との関係を構築するための新しいチャネルを常に探し求めています。
業務や取引を遂行するには、この増加を続けるユーザーやデバイスを企業のリソースに接続する必要があるため、最近ではネットワーク構築にゼロトラストのアプローチを採用することで、テレワーク環境を安全にサポートしようと努めるセキュリティ担当者が増えています。
このため、ほとんどの組織において ZTE の初期のユースケースは、仮想プライベート ネットワーク(VPN)を不要にしながら、リモート ワーカーを保護するものになるでしょう。多くの場合、大規模な WFH によって新しい接続が急増すると、仮想プライベート ネットワーク(VPN)に大きな負担がかかることになります。
現在、次の 3 つの主な要因によって、ネットワークとセキュリティのさらなる統合が促されています。
多くの組織はソフトウェアベースの WAN(SD-WAN)を使用してすでにネットワークを仮想化していますが、このアプローチでは多くの新しいセキュリティ要件に対応することができません。上記のようにクラウド セキュリティとネットワークを統合することで、ZTE は次のような重要なメリットを提供します。
リスクの軽減:ネットワーク ファブリックにセキュリティが組み込まれており、接続ごとに検査と保護が行われるため、IT 担当者は、ユーザーの接続元、使用されているアプリケーション、または使用されている暗号化の種類(該当する場合)を心配する必要がありません。各接続とトランザクションは毎回認証されます。
コストの削減:ZTE は通常、自動化されたクラウド配信型サービスとして提供されるため、ZTE ネットワークは本質的にスケーラブルです。これらはインターネット ファブリックの一部であるため、レガシー アーキテクチャに関係なく、組織のデジタル トランスフォーメーションに対応できます。
ユーザー体験の向上:接続経路は世界全体に提供できるため、ネットワークのパフォーマンスとスループットが向上するだけでなく、バックホールの必要性も減少し、遅延が低減されます。
ZTE モデルはクラウド ホスト型またはエッジ ホスト型のセキュリティ スタックとして設計されていますが、多くの地域で帯域幅の制限があるため、スタックの一部の構成要素をローカル インフラストラクチャに配置する必要があります。
現在、組織が活用できる ZTE アプローチには、次の 3 つがあります。
ソリューションはクラウドに付随する次の 2 つの主な原則に基づいて構築する必要があるため、ZTE はクラウドベースである場合にもっとも大きな価値をもたらすと考えられます。
完全に展開されると、クラウド上であるかリモート サイトでホストされているかに関係なく、ZTE ソリューションに含まれる一連のセキュリティ サービスとネットワーク サービスを一元的に管理、監視、分析できるようになります。
ゼロトラスト エッジ モデルは、従来のセキュリティとネットワークの使用方法に混乱をもたらすものではなく、それらを変革するものです。絶え間ない進化に常に対応し、サイバーセキュリティ部門は、ゼロトラスト エッジに迅速に移行してきました。
企業は、リモート ワーカーのセキュリティ問題の対策としてゼロトラスト エッジに取り組まざるを得なくなっていますが、このモデルのメリットをすべて実現するには、次のような大きな課題があります。
レガシー アプリケーションとサービス:ID フェデレーションをサポートする最新の Web アプリケーションは ZTE で簡単に構成できますが、Web 以外のプロトコルで構築されたアプリケーション、特にリモート アクセス用の RDP/VDI や、音声用の SIP/VoIP は、ZTE 環境での利用に関する標準がないため、簡単には統合できません。
レガシー ネットワーク機器:ZTE にコンピューターとアプリケーションを追加するとなると、IT 部門は無数の運用技術(OT)と IoT デバイスを検討しなければなりません。対象デバイスは、どの組織でも数千台に及ぶことがあります。
キャパシティ:ZTE はリモート ワーカーの戦術的なアクセスの問題を解決することはできますが、データセンターへのアクセスを提供する現在の高キャパシティのネットワーク サービスやセキュリティ サービスに置き換わる能力はまだありません。そのためまずクラウドへの移行を実施してから、特定の企業資産を守るため ZTE による保護を導入するという選択肢もあります。
Forrester は、「ゼロトラスト」コンポーネントに重点を置いて SASE モデルを改良したものが ZTE であると定義しています。インターネットはセキュリティを考慮せずに設計されていることから、マルウェアおよび絶えず変化する攻撃対象領域の世界を生み出しています。ZTE は、安全な接続を試みるために数十年にわたって適用されてきたセキュリティ パッチや応急措置を無視し、最悪の事態を想定して、たとえエンドポイントの唯一のインターネット接続が別のエンドポイントへのトンネルであろうとあらゆる接続を ZTE を使用して認証することで、公共のインターネットの「危険な場所」からユーザーを遠ざけます。
ゼロトラスト セキュリティへの本質的なアプローチによって、優れた可視性と制御を実現できます。
SASE(Secure Access Service Edge)は、クラウド ネットワークとクラウド セキュリティを統合したものです。
SD-WAN は、ソフトウェアベースのネットワーク テクノロジーを応用したものです。