Zscaler Blog

財務上の責任を果たし、費用対効果を最大化するセキュリティは、常にビジネスの優先事項となっています。経済情勢が不透明な時期においては、多くのITリーダーが高度な脅威を阻止しながら、予算やコストを削減するというプレッシャーにさらされます。この連載の最初のブログでは、ITコストの課題とその解決策について、境界ベースのアーキテクチャーが引き起こすデータ侵害によって上昇するコストを考察することから始めました。第2回となる本記事では、組織がテクノロジー コストを最適化する方法と、境界ベースのセキュリティ アプローチがインフラにかかるコストを増加させ、現代のクラウド環境やハイブリッド ワーク環境下では財政的に意味をなさない理由を解説します。

「ハブ＆スポーク」と「城と堀」

ハブ＆スポーク型のアーキテクチャーは、トラフィックをデータ センターにルーティングしてユーザー、デバイス、ワークロードをネットワークに接続し、必要なアプリケーションやリソースにアクセスできるように設計されています。このアプローチは、ユーザーやアプリケーションが企業のオフィスやデータ センター内に存在する場合は効果を発揮します。しかし、ユーザーはさまざまな場所で作業し、アプリケーションもクラウドに移行している今、あらゆる場所のあらゆるアプリケーション、拠点のサイト、ユーザー、デバイスにプライベート接続を提供するには、ネットワークを継続的に拡張していく必要があります。この相互接続されたネットワークは、城と堀型のセキュリティ アーキテクチャーによって保護されていますが、現代のビジネスを保護するという点ではあまり適していない、コストのかかる方法しか提供できません。

点在するセキュリティ アプライアンスのスタック

最初の方法は、ファイアウォール、仮想プライベート ネットワーク(VPN)、侵入防止システム、サンドボックスなどのポイント製品のセキュリティ アプライアンスをすべてのオフィスと遠隔地に展開することです。セキュリティ アプライアンスのスタックを購入し展開するうえで必要になる先行投資額は到底受け入れられるものではなく、管理上のコストや複雑性も含め現実的ではありません。また、ホーム オフィスや移動中のユーザーに関しても、このアプローチでは組織を脆弱なままにしてしまいます。

小規模で安価なものが良いとは限らない

このような複雑な展開は購入、構成、管理、維持にコストがかかるため、本社のゲートウェイのセキュリティ スタックを全拠点に複製できる組織はほとんどありません。その代わりに、多くの組織が妥協しながら、小規模で安価なファイアウォールやセキュリティ アプライアンスを支店や遠隔地に展開しています。こうした選択をすることで、多額の初期費用を一部削減できる場合もありますが、それでも同じように管理に関する要件は必要になります。さらに重要な点は、組織が攻撃に対して脆弱なままになるということです。なぜなら、これらの小型で安価なデバイスはセキュリティ制御の数が少なく、性能も劣るためです。この妥協により、オフィス ユーザーやリモート ユーザーは依然として脆弱なままとなり、ひいては組織全体をリスクにさらすことになります。組織は、この代替手段のリスクを負う余裕がありません。 

呼び方は違えど、結果は同じ

別の方法は、マルチプロトコル ラベル スイッチング(MLPS)またはVPNを介してデータ センターへトラフィックをバックホールし、そのトラフィックをセキュリティ アプライアンスの大規模な中央集中型のスタックを通じて実行することですが、これには依然として巨額の投資が伴います。このアプローチを採用すると、MPLSと帯域幅の支出を抑えることは至難の技です。トラフィックを最終的にクラウドまたはSaaSアプリケーションに送信する前にデータ センターにバックホールすると、ヘアピンが発生します。基本的に、インターネットやSaaS、クラウドへのトラフィックに対して2回支払うことになります。1回目は、高価なプライベート接続を介してオフィス ユーザーまたはリモート ユーザーからデータ センターまでトラフィックを伝送するためのもので、もう1回はWeb経由でリクエストされたリソースまでトラフィックを伝送するためのものです。つまり、まったく同じ経路を逆にたどることになります。加えて、ユーザーがより広範囲に分散し、組織が地域的、規模的に拡大するにつれ、トラフィックのボトルネックやレイテンシーによってユーザー エクスペリエンスが低下し、コストも指数関数的に増加します(これについては、次回以降のブログで解説します)。

図1:境界ベースのアーキテクチャーのインフラストラクチャー要件

予測が難しいキャパシティー計画

前述のアプローチを選択すると、CIOやCISOはキャパシティー計画という困難な課題に直面します。従来のソリューションは、たとえ仮想アプライアンスであっても、クラウドのように拡張することはできません。このため、アプライアンスのライフサイクルにわたって、トラフィック量と組織の要求を予測する必要があります。

キャパシティー計画の計算には、ユーザー、デバイス、プラットフォーム、オペレーティング システム、場所、アプリケーションなどの数のほか、帯域幅の消費量、エッジおよびWANのインフラストラクチャー、グローバル タイムゾーン間のトラフィックのパターンなど多くの問題が含まれます。そしてこれは、短期的な運用に限った話です。キャパシティー計画では、3年以上先を見越して、クラウドに向かうトラフィックの年間増加率も考慮する必要があります。突発的な帯域幅の急増による速度低下はユーザーや顧客のストレスにつながるため、日常的な運用以外にも、こういった課題に対処するための予測も必要になります。

キャパシティー要件を過小評価すると、パフォーマンスやユーザー エクスペリエンスの低下を招き、組織のビジネス ミッションの遂行に支障をきたします。過大評価は、不必要に高いコストや機器のアイドル状態につながります。いずれにしても、リソースが無駄に消費される結果となります。

より優れた方法で多くの課題を解消

ファイアウォール、VPNなどの従来のセキュリティ アプローチは、現代のビジネスの規模、サービス、セキュリティ要件に合わせて設計されていないため、一時的で費用のかかる応急処置にすぎません。ハードウェアの更新や境界ベースのアーキテクチャーに多額のインフラ コストをかける代わりに、ゼロトラスト アーキテクチャーを採用することでコストを削減し、優れた経済的価値を得ることができます。ESGの経済的価値調査によると、Zscaler Zero Trust Exchangeを採用した組織はMPLS支出を50%、アプライアンスを90%それぞれ削減し、139%のROIを達成したことがわかっています。

Zscaler Zero Trust Exchangeはサービスの統合プラットフォームで、ユーザー、デバイス、ワークロード、アプリケーションを安全に接続させます。高速で安全なアプリへの直接接続を提供するため、トラフィックをバックホールする必要がなくなり、MPLSへの支出を最小限に抑えることができます。Zscalerはクラウド配信型プラットフォームとして、ハードウェア アプライアンス ポイント製品を統合するため、ファイアウォール、VPN、VDIなどへの設備投資が不要になります。

図2: Zscaler Zero Trust Exchange

Zero Trust Exchangeのクラウドベースのアーキテクチャーは、組織の要件に応じてシームレスに拡張できるため、容量計画や過剰なプロビジョニングが不要になり、貴重な資本をより適切な投資に振り分けることができます。

今後の展望

真のゼロトラスト アーキテクチャーが高価なインフラストラクチャーの経済的負担の軽減にどのように役立つかについては、ホワイト ペーパー「Zscaler Zero Trust Exchangeで実現する比類のないセキュリティと優れた経済的価値」をダウンロードしてご確認ください。

また、Zero Trust ExchangeでITコストと複雑性を削減したお客様の成功事例を紹介するeBook「真のゼロトラスト プラットフォームが実現するコスト削減」もあわせてご確認ください。

このブログ シリーズの第3回の記事では、Zscalerが運用効率向上を通じて優れた経済的価値をもたらす仕組みについて見ていきます。あわせてお読みいただければ幸いです。