ゼロトラスト アーキテクチャーでITのコストと複雑性を削減する方法

サプライ チェーンの問題やインフレにまつわる課題から、他組織からの競合圧力に至るまで、この2年間で企業がコスト削減に取り組む必要性が浮き彫りになりました。 

近年、あらゆる規模の企業がこれまで以上の財務的な圧力に直面しています。特にS&P 500の大企業のような財政的な余裕のない中小企業や商業組織には、この傾向が顕著です。そのため、これらの組織にとってクラウド、デジタル トランスフォーメーション、リモート ワークの採用は不可欠です。これらの手段は、いずれも企業のコスト削減や複雑性の軽減に効果的であることが証明されています。 

ただし、こうした移行中に従来の境界ベースのセキュリティ ソリューションに固執すると、期待通りのコスト削減や複雑性の解消が得られない可能性があります。組織がセキュリティを変革せず、代わりにクラウド ファーストの環境で従来型のセキュリティ アプローチを無理やり適用しようとすると、コストと複雑性が増し、最新のセキュリティ ニーズ向けに設計されていない不適切な対策によってデータと脅威の保護が不十分になります。この問題は、IT予算の削減を余儀なくされている現在の経済状況によって一層悪化し、サイバーセキュリティによる脅威保護にも影響を及ぼします(以下で詳しく説明するように、侵害によるコストの増加につながります)。このような課題は、先行投資額の高いアプライアンスに依存する高価な従来型アーキテクチャーに特に当てはまります。 

幸いなことに、 ゼロトラスト アーキテクチャーを採用することで先に述べた問題に対処できます。被害の大きな侵害を阻止してリスクを抑えると同時に、複雑性の軽減、ユーザー エクスペリエンスの改善をはじめとしたその他のメリットを企業に提供しつつ、経済的価値を向上させます。つまり、組織はサイバー セキュリティの改善とコスト削減の片方に妥協することなく、両方をゼロトラストで実現できるのです。

では、これら2つのアーキテクチャーの違いは何でしょうか。 

「城と堀」型のセキュリティとしても知られる従来型の境界指向のアプローチは、ユーザー、アプリ、データがオンプレミスにあった時代に向けて設計されたものです。この時代にはすべてがネットワーク上で行われていたため、企業ネットワーク全体へのアクセスを保護することに重点が置かれました。残念ながら、このモデルでは脅威者が一度ネットワークに侵入すると、リソース間の水平移動を防止することはほとんど不可能でした。つまり、侵害の範囲が簡単に拡大してしまう可能性があります。また、ユーザーが保護を受けるには、セキュリティが施行されているネットワークに接続する必要がありました。残念ながら、このアーキテクチャーにはVPNやファイアウォールなどのツールが含まれているため、攻撃者によってWeb上で識別されて格好のターゲットとなってしまう可能性があります。 

一方、ゼロトラスト アーキテクチャーではユーザー、アプリ、データがすべてオフプレミスとなり、ネットワークから離れた場所にあることを前提とします。したがって、ゼロトラスト セキュリティは、組織をネットワーク全体に接続し、接続されたすべてのリソースにアクセスを与える代わりに、最小特権アクセスの原則に従ってエンティティを特定のアプリケーションやリソースに接続するため、ユーザーは必要な段階で権限を与えられているリソースにしかアクセスできません。このアーキテクチャーは、セキュリティをネットワークに紐づけるかわりに、エンドユーザーにできるだけ近いところからクラウド サービスとして提供して先行投資コストの前払いを回避します。これにより、リソースをゼロトラスト プラットフォームの背後に隠して攻撃対象領域を排除します。 

以下、いくつかの例を挙げて境界ベースのセキュリティ アーキテクチャー(ならびにVPN、ファイアウォール、その他の従来型ポイント製品)が、いかにしてコストと複雑性の増加につながるか、またゼロトラストがどのように役立つかを説明します。

膨大なアプライアンスの数

従来型のセキュリティ アーキテクチャーでは多数のセキュリティ アプライアンスを使用する必要があり、物理アプライアンスであれ仮想アプライアンスであれ、購入や導入、保守に多大なコストがかかります。組織の成長に伴い、増加するユーザーやオフィスの場所をサポート、保護するには、より多くのアプライアンスの追加やアップグレードが必要になり、コストは即座に膨れ上がります。また、組織が追加のVPNアプライアンスを購入することで安全なリモート ワークを実現、あるいは追加の仮想ファイアウォールを展開してクラウド アプリケーションとワークロードを保護しようとする際には、経済的負担がさらに増えてしまいます。一般的には、セキュリティをネットワークに結び付け、増え続けるアプライアンスで拡大を続ける安全な境界を確立しようとするのは、理想的な戦略ではありません。 

前述したように、ゼロトラスト アーキテクチャーとは、セキュリティがネットワークから切り離され、トラフィックが境界に焦点を当てたアプライアンスのスタックを通過しないアーキテクチャーです。そのかわり、ゼロトラスト ベンダーはクラウドを介してサービスとしてのセキュリティを提供します。つまり、企業はアプライアンスを購入、展開、保守、管理を行う必要がありません。サービスのパフォーマンスと拡張性を提供することは、ゼロトラスト ベンダーの責任となっています。その結果、アプライアンス ベースのセキュリティに関連するコストはゼロトラスト アーキテクチャーによって削減されます。さらに、トラフィックはベンダーのセキュリティ クラウドに送信され、セキュリティのためにネットワークにルーティングする必要がないため、コストのかかるプライベート ネットワークへの依存は最小限に抑えられます。

パフォーマンスと生産性

すでに言及したように、これまでのセキュリティ アーキテクチャーには、グローバルな働き方の増加やトラフィックの増大に合わせて速やかに拡張する機能がありません。その理由としては、アプライアンスは固定数のユーザーにサービスを提供する静的な容量を有しているためです。そのため、従来のアーキテクチャーを使用している組織は往々にして利用されないアプライアンス容量の発生につながるオーバー プロビジョニング、またはスケーラビリティーの欠如の二者択一を余儀なくされてしまいます。後者の場合、パフォーマンスが制限され、アプライアンスを介してより多くのトラフィックが集中するとユーザーの生産性が低下します。どちらの選択肢も、コスト面でビジネスにメリットはもたらせません。またセキュリティがデータ センターに関連付けられているため、遠くのユーザーがWeb上の最終目的地に到達する前にトラフィックをアプライアンスのスタックにバックホールした場合に発生するパフォーマンスおよびユーザー エクスペリエンスに関する問題点はもとより、生産性とコストに関する課題も解決できません。 

トラフィックを固定アプライアンス群(物理または仮想)にバックホールするのではなく、ゼロトラスト セキュリティ クラウドに依存することで、最適なパフォーマンス、スケーラビリティー、ユーザー エクスペリエンスが提供され、総合的にみるとコスト削減につながります。企業による大量雇用、ユーザー トラフィックの急増、またはユーザーが地理的に配置されている場所の変化(本社から離れるなど)があった場合、ベンダーのセキュリティ クラウドのインフラが十分に成熟していることが条件となりますが、変化にスムーズに対応するためのグローバルな規模と対処可能範囲を提供します。 

ツールの不統合

個別のダッシュボードとインターフェースを備えたさまざまな従来型のポイント製品でセキュリティを確保している場合、複数の課題が発生します。このようなソリューション間で完全に新しいポリシーを複製または作成すると、管理者に不必要な負担がかかります。加えて、従来型のソリューションを展開、保守、管理するために既存のリソースを割いたり、新しい人員の雇用とトレーニングが必要となったりするため、コストがかさむうえに煩雑になり、多くの場合重要度の高いプロジェクトの妨げとなります。言い換えれば、各種ツールの管理が複雑化することで、IT、セキュリティ部門の負担が増え、リソースが浪費されるのです。最終的には、トラフィックを複数のソリューションに通すと遅延が発生して生産性が低下するため、結果的にエンドユーザーに悪影響が及ぶだけでなく、企業にとっても追加コストが発生します。

これとは対照的に、完全なゼロトラスト プラットフォームは、単一の管理インターフェイスを有する単一の製品によって、ITエコシステム全体に総合的なセキュリティを提供できるように設計されています。その結果、必要な維持管理が軽減され、ポリシーの複製も不要となるため管理者の時間と費用が節約されます。ゼロトラスト プラットフォームが1回のスキャンで複数のポリシー アクションを実行できる場合、組織はソリューションの連鎖を回避でき、強固なセキュリティを確保しながらユーザー エクスペリエンスの合理化が実現します。 

様々な侵害

IBMの2021年版データ侵害コスト レポートによると、侵害により発生した平均コストは2020年の386万米ドルから2021年には424米ドルに増加し、最初のレポート発行から17年間の歴史の中で最も高い平均総コストを記録しました。侵害に関連するコストは多岐にわたり、たとえば管理者とエンド ユーザーの時間、リソース、生産性の損失、法的費用、悪意のある攻撃者からの身代金、売り上げ低下を招きかねない会社の評判失墜、政府や商業セキュリティ基準の違反による多額の罰金などが挙げられます。 

残念ながら、デジタル トランスフォーメーションを実行する過程で、侵害や関連コストの発生を阻止するために必要なセキュリティ トランスフォーメーションを適切に行っていない組織は少なくありません。従来型の境界ベースのアーキテクチャーは、ユーザーとデータをオフプレミスで追随するようには設計されていません。逆に攻撃対象領域を拡大させ、ユーザーがネットワークに到達した後にリソース間の水平移動を許してしまうだけです。加えて、機能面においても、SaaSアプリケーション内のデータをスキャンしたりIaaSインスタンスで悪用可能な設定ミスを特定したりする必要性など、最新のユース ケースに対応できません。

最新のゼロトラスト クラウドベースのアーキテクチャーにより、高額な損害につながるセキュリティ侵害やコンプライアンス違反などを回避できます。前述のとおり、ネットワーク上だけでなく世界中の場所をとわずセキュリティを提供し、企業のニーズに正確に合わせて拡張できるように構築されています。エンタープライズ アプリケーションがゼロトラスト プラットフォームによって保護されている場合、一般には不可視化されているため攻撃対象領域を排除できます。またネットワーク全体ではなく個々のリソースにエンティティーを安全に接続するため、脅威の水平移動が抑止されます。これらメリットに加えて、ゼロトラスト製品は高度なハッカーの活動を阻止し、潜在的な侵害を回避するために対処する必要がある、現代のセキュリティのユース ケースに対応するように構築されています。このような理由から、ゼロトラストは現代のクラウド時代におけるコスト削減に不可欠な存在です。 

新たなセキュリティに向けて

Zscaler Zero Trust Exchange™は、各種サービスを統合してインテリジェントなスイッチボードとして機能するプラットフォームであり、ネットワークや場所を問わず、ユーザーとアプリ間、アプリ間、マシン間の通信を保護します。また、ゼロトラスト アーキテクチャーの採用をサポートするさまざまな特徴を有します。世界中の150のデータ センターで運営されているZero Trust Exchangeは、組織がデジタル トランスフォーメーションを実現できるよう導きながら、生産性の向上、ITの簡素化、コストの削減、ビジネスの俊敏性の向上を含むビジネス リスクの軽減に役立ちます。 

最近のESG調査では、Zscalerは企業顧客に従来型のセキュリティ アーキテクチャーと比較して平均139%の投資利益を提供しているという結果が出ています。

Zscalerが実現させるコスト削減の詳細については、ESGレポート全文(英語)をダウンロードしてください。