財務上の責任を果たし、費用対効果を最大化するセキュリティは、常にビジネスの優先事項となっています。経済情勢が不透明な時期においては、多くのITリーダーが高度な脅威を阻止しながら、予算やコストを削減するというプレッシャーにさらされます。この連載の最初のブログでは、ITコストの課題とその解決策について、境界ベースのアーキテクチャーが引き起こすデータ侵害によって上昇するコストを考察することから始めました。第2回となる本記事では、組織がテクノロジーコストを最適化する方法と、境界ベースのセキュリティアプローチがインフラにかかるコストを増加させ、現代のクラウド環境やハイブリッドワーク環境下では財政的に意味をなさない理由を解説します。

「ハブ＆スポーク」と「城と堀」

ハブ＆スポーク型のアーキテクチャーは、トラフィックをデータセンターにルーティングしてユーザー、デバイス、ワークロードをネットワークに接続し、必要なアプリケーションやリソースにアクセスできるように設計されています。このアプローチは、ユーザーやアプリケーションが企業のオフィスやデータセンター内に存在する場合は効果を発揮します。しかし、ユーザーはさまざまな場所で作業し、アプリケーションもクラウドに移行している今、あらゆる場所のあらゆるアプリケーション、拠点のサイト、ユーザー、デバイスにプライベート接続を提供するには、ネットワークを継続的に拡張していく必要があります。この相互接続されたネットワークは、城と堀型のセキュリティアーキテクチャーによって保護されていますが、現代のビジネスを保護するという点ではあまり適していない、コストのかかる方法しか提供できません。

点在するセキュリティアプライアンスのスタック

最初の方法は、ファイアウォール、仮想プライベートネットワーク(VPN)、侵入防止システム、サンドボックスなどのポイント製品のセキュリティアプライアンスをすべてのオフィスと遠隔地に展開することです。セキュリティアプライアンスのスタックを購入し展開するうえで必要になる先行投資額は到底受け入れられるものではなく、管理上のコストや複雑性も含め現実的ではありません。また、ホームオフィスや移動中のユーザーに関しても、このアプローチでは組織を脆弱なままにしてしまいます。

小規模で安価なものが良いとは限らない

このような複雑な展開は購入、構成、管理、維持にコストがかかるため、本社のゲートウェイのセキュリティスタックを全拠点に複製できる組織はほとんどありません。その代わりに、多くの組織が妥協しながら、小規模で安価なファイアウォールやセキュリティアプライアンスを支店や遠隔地に展開しています。こうした選択をすることで、多額の初期費用を一部削減できる場合もありますが、それでも同じように管理に関する要件は必要になります。さらに重要な点は、組織が攻撃に対して脆弱なままになるということです。なぜなら、これらの小型で安価なデバイスはセキュリティ制御の数が少なく、性能も劣るためです。この妥協により、オフィスユーザーやリモートユーザーは依然として脆弱なままとなり、ひいては組織全体をリスクにさらすことになります。組織は、この代替手段のリスクを負う余裕がありません。

呼び方は違えど、結果は同じ

別の方法は、マルチプロトコルラベルスイッチング(MLPS)またはVPNを介してデータセンターへトラフィックをバックホールし、そのトラフィックをセキュリティアプライアンスの大規模な中央集中型のスタックを通じて実行することですが、これには依然として巨額の投資が伴います。このアプローチを採用すると、MPLSと帯域幅の支出を抑えることは至難の技です。トラフィックを最終的にクラウドまたはSaaSアプリケーションに送信する前にデータセンターにバックホールすると、ヘアピンが発生します。基本的に、インターネットやSaaS、クラウドへのトラフィックに対して2回支払うことになります。1回目は、高価なプライベート接続を介してオフィスユーザーまたはリモートユーザーからデータセンターまでトラフィックを伝送するためのもので、もう1回はWeb経由でリクエストされたリソースまでトラフィックを伝送するためのものです。つまり、まったく同じ経路を逆にたどることになります。加えて、ユーザーがより広範囲に分散し、組織が地域的、規模的に拡大するにつれ、トラフィックのボトルネックやレイテンシーによってユーザーエクスペリエンスが低下し、コストも指数関数的に増加します(これについては、次回以降のブログで解説します)。

図1:境界ベースのアーキテクチャーのインフラストラクチャー要件

予測が難しいキャパシティー計画

前述のアプローチを選択すると、CIOやCISOはキャパシティー計画という困難な課題に直面します。従来のソリューションは、たとえ仮想アプライアンスであっても、クラウドのように拡張することはできません。このため、アプライアンスのライフサイクルにわたって、トラフィック量と組織の要求を予測する必要があります。

キャパシティー計画の計算には、ユーザー、デバイス、プラットフォーム、オペレーティングシステム、場所、アプリケーションなどの数のほか、帯域幅の消費量、エッジおよびWANのインフラストラクチャー、グローバルタイムゾーン間のトラフィックのパターンなど多くの問題が含まれます。そしてこれは、短期的な運用に限った話です。キャパシティー計画では、3年以上先を見越して、クラウドに向かうトラフィックの年間増加率も考慮する必要があります。突発的な帯域幅の急増による速度低下はユーザーや顧客のストレスにつながるため、日常的な運用以外にも、こういった課題に対処するための予測も必要になります。

キャパシティー要件を過小評価すると、パフォーマンスやユーザーエクスペリエンスの低下を招き、組織のビジネスミッションの遂行に支障をきたします。過大評価は、不必要に高いコストや機器のアイドル状態につながります。いずれにしても、リソースが無駄に消費される結果となります。

より優れた方法で多くの課題を解消

ファイアウォール、VPNなどの従来のセキュリティアプローチは、現代のビジネスの規模、サービス、セキュリティ要件に合わせて設計されていないため、一時的で費用のかかる応急処置にすぎません。ハードウェアの更新や境界ベースのアーキテクチャーに多額のインフラコストをかける代わりに、ゼロトラストアーキテクチャーを採用することでコストを削減し、優れた経済的価値を得ることができます。ESGの経済的価値調査によると、Zscaler Zero Trust Exchangeを採用した組織はMPLS支出を50%、アプライアンスを90%それぞれ削減し、139%のROIを達成したことがわかっています。

Zscaler Zero Trust Exchangeはサービスの統合プラットフォームで、ユーザー、デバイス、ワークロード、アプリケーションを安全に接続させます。高速で安全なアプリへの直接接続を提供するため、トラフィックをバックホールする必要がなくなり、MPLSへの支出を最小限に抑えることができます。Zscalerはクラウド配信型プラットフォームとして、ハードウェアアプライアンスポイント製品を統合するため、ファイアウォール、VPN、VDIなどへの設備投資が不要になります。