ホーム > PC-Webzineアーカイブ > セキュリティの新たなキーワード「ゼロトラスト」と「SASE」を解説

セキュリティの新たなキーワード「ゼロトラスト」と「SASE」を解説

セキュリティの新たなキーワード「ゼロトラスト」と「SASE」を解説

2020年09月07日更新

Keyword

クラウドを中心としたシステム構築が加速するニューノーマル時代では、ゼロトラストやSASEというセキュリティのフレームワーク(枠組み、構造)がセキュリティ対策の軸になる。

ゼロトラスト

Zero Trust

ゼロトラストとは文字通り、何も信頼しないことを意味するセキュリティやシステムの考え方だ。これは、企業システムの変化を受けて生み出されたフレームワークと言える。

企業システムは、メインフレームの時代からクライアントサーバーやWebコンピューティングを経てクラウド時代へと突入している。それらの変遷を、セキュリティの観点から捉えたのが右の図だ。信頼を前提としたシステムから、信頼するかどうかを検証するシステム、そして、何も信頼しないことを前提としたシステムへの移行を表している。

このような状況について、「データがどこにでもあり、境界がなくなるクラウド時代のセキュリティは、従来までの境界防御や多層防御では防ぎ切れません。適切なユーザーによる、適切なデバイスを利用し、適切なデータへ、適切なポリシーに基づいたアクセスを実現するゼロトラストのセキュリティが求められるのです」と日本アイ・ビー・エム セキュリティー事業本部 コンサルティング&システム・インテグレーション シニア・アーキテクトの吉田浩司氏は説明する。

ゼロトラストの考え方自体は、実は非境界化の問題を解決するためのアプローチとしてシスコシステムズなどをはじめとして2000年代から取り組まれてきた。2010年には、米国の調査会社のForrester Researchがゼロトラストの言葉を提唱し、Googleはゼロトラストアーキテクチャに基づくBeyondCorpという仕組みを実装している。そして現在、ゼロトラストは、一般的な概念としてセキュリティの世界で使われるようになった。NIST(米国立標準技術研究所)もゼロトラストの定義をリリースしている。

ゼロトラストは「アクセス適用へのプロセスを再考する」ものだとシスコシステムズ 執行役員 セキュリティ事業担当の田井祥雅氏は話す。必要最小限の特権のみをアクセスに付与しリソースを制限すること、そして、リソースの保護方法、信頼が暗黙に付与されず、継続的に評価することが目標とされる。シスコシステムズでは、それを以下の三つの理念として示す。「ネットワークの信頼性の排除」「ネットワークアクセスのセグメント化」「可視性の確保と分析」

さらにシスコシステムズによると、ゼロトラストを想定した際に企業に求められるセキュリティの論理ドメインとしては、「ワークフォース」(ユーザーとデバイスアクセス)、「ワークロード」(アプリケーションとワークロードアクセス)、「ワークプレイス」(ネットワークアクセス)があり、それぞれの領域でトラストを確立し、最小権限のアクセスを各環境で付与するソリューションが必要になるという。

SASE

Secure Access Service Edge

SASE(Secure Access Service Edge)は、米調査会社のガートナーが2019年に提唱したネットワークとセキュリティに関する新たなフレームワークだ。システムのクラウド化やクラウドサービスの利用が増加し、社外環境から多様なデバイスで業務システムにアクセスできるようになる中、社内と社外を分ける境界
を前提としたセキュリティでは、十分な対応ができなくなっていく。

例えば、従来のように社内ネットワークを経由してクラウドを活用する仕組みでは、回線の逼迫や遅延が生じるリスクがある。こうしたストレスを回避するために、社外環境から直接クラウドサービスを利用するシャドーITの発生も懸念される。また、システム自体の問題として、現在に至るまでにさまざまなセキュリティサービスや機器を導入した結果、運用管理に多大な負荷がかかっているケースも少なくない。
このような課題を解決するのがSASEだ。マカフィーはSASEについて、「ユーザーやデバイスがいつでもどこでもクラウド上のアプリケーション、データ、サービスに安全にアクセスできるようにするセキュリティフレームワーク」とし、要点を以下のようにまとめている。

・アクセススピード(パフォーマンス)を維持しながら
・いつ、どこで、どのようにデータやデバイスが使われていたとしても
・ユーザー、データ、デバイスを管理、保護可能にする
・単一ベンダーのセキュリティサービスによるコストと複雑さを軽減

ガートナーの定義では、SASEはネットワークとセキュリティ機能がクラウドサービスとして一つのプラットフォームから提供されることが想定されている。ネットワーク機能としては、SD-WAN、CDN、WAN最適化などがあり、セキュリティ機能としてはCASB(Cloud Access Security Broker)、ZTNA(Zero Trust Network Access)/VPN、FWaaS(Firewall as a Service)、DNSなどが挙げられている。これらの機能を単一のプラットフォームで統合的にクラウドサービスとして利用できる点がポイントだ。オンプレミスやクラウドに分散配置されるデータや業務アプリケーションに対して安全なアクセスを確立するためには、まずはクラウドのネットワークセキュリティ機能を経由するようなシステムが、これからの主流になっていくというのだ。

ただし、現時点では、ネットワークとセキュリティに対する包括的な機能をクラウドから単一で提供できるケースはほぼないため、SASEのコンセプトに適応するソリューションを適宜組み合わせて利用していくことになる。

キーワードから記事を探す