Zscaler Cloud Platform

セキュリティサービスエッジプラットフォームの選び方

デジタルWeb

今回は、セキュリティサービスエッジ(SSE)に関する連載の第3弾をお届けします。第1弾では、プラットフォームとしてのSSEについて説明し、第2弾では、代表的なユースケースを紹介しました。今回の記事では、SSEプラットフォームの選定にあたって検討すべき機能を紹介します。

SSEはすなわち、クラウド提供型のセキュリティです。クラウドアプリケーションとモビリティで始まった革命により、セキュリティをネットワークから切り離す必要に迫られることになりました。SASEがネットワークとセキュリティの両方の観点から、必要とされる完全フレームワークに着目するのに対し、SSE(SASEのセキュリティの部分)はセキュリティサービスにのみ着目します。SSEのメリットを最大限にするには、意思決定のプロセスで妥協を排除する必要があります。なぜなら、ポイント製品とは異なり、SSEなどの統合型のホリスティックアプローチは、間違いなくお客様のセキュリティ戦略の中核となるからです。そして、そのためには、正しい意思決定が不可欠です。効果的なSSEプラットフォームには、どのような機能が求められるのでしょうか。

 

スケーラブルかつインラインのSSLインスペクション

SSEの重要な価値の一つは、セキュリティインスペクションの統一されたアプローチを提供できることです。Web、インターネット、クラウドアプリ、データを始めとして、SSEプラットフォームでは、インスペクションが最も重要な役割を果たします。SSEプラットフォームの多くは、ビジネスクリティカルトラフィックのインラインインスペクションが前提であるため、その点を考慮して構築されていることを確認する必要があります。SSEプラットフォームに問題が発生すると、ビジネストラフィックが停止するため、すぐに気づきます。SSEプラットフォームの選定にあたっては、ストレステストを徹底的に実行し、大規模組織においてもパフォーマンスとスケーラビリティを維持できることが実証されたプラットフォームを選びます。

さらには、プロキシインスペクションが可能なSSEプラットフォームであることも重要であり、これは、現状ではほとんどの脅威が隠れるSSLのインスペクションを可能にする唯一の方法です。最高のSSEプラットフォームは、ユーザやトラフィックの突発的な急増にも対応できる、究極のスケーラビリティを備えたものである必要があります。忘れてならないのは、購入前に実行されるPOV(価値実証)テストは多くの場合に、20,000人以上のユーザを抱えるエコシステムの需要やスケーラビリティをシミュレーションできないということです。覚えておくべきは、巨大なインストールベースであってもスケーラビリティを提供できることが実証された、SSEベンダの導入例を確認することです。

 

目的に合わせて設計されたゼロトラスト

多くの組織でゼロトラストのイニシアチブが進行しています。これは市場の大きな原動力であり、ガートナーがSSEを強力なゼロトラストの意味合いを持たせて定義した理由の1つでもあります。ゼロトラストネットワークアクセス(ZTNA)は、リモートアクセスはユーザをオンネットワークにすることなくユーザとアプリの接続を提供すべきとする概念です。パンデミックに伴う、企業による従来のVPNからZTNAへの切り替えにより、ZTNAがSSEエコシステムで必要とされるセキュリティサービスであることが明らかになりました。ZTNAは、ユーザ対アプリの接続を重視するという点ではSWGやCASBと変わりません。将来的思考の多く企業が、ゼロトラストソリューションを購入して、他のクラウドセキュリティサービスを補完するようになっています。

ところで、ゼロトラストの実現にあたっては、SSEにどのような機能が求められるのでしょうか。ゼロトラストの中核にあるのが、アイデンティティに基づく最小特権アクセスです。SSEプラットフォームを国際空港に例えると、アイデンティティチェックに合格しない限り搭乗は許されません。効果的なSSEプラットフォームは、アイデンティティの評価だけでなく、デバイスポスチャ、ユーザのリスクスコア、場所、行き先をチェックすることで、より強力なセキュリティを実現します。もちろん、スケーラブルなSSLインスペクションを可能にし、オン/オフネットワークのすべてのユーザをグローバルに保護するSSEプラットフォームでなければ、これを実現できません。

 

最適化によるユーザエクスペリエンスの向上

ユーザエクスペリエンスはSSEの重要な要素であり、SSEプラットフォームの選定にあたってはこれを無視することはできません。従来のデータセンタのセキュリティアプローチがユーザエクスペリエンスに負の影響を与えることはよく知られており、「セキュリティは、阻害要因になるべきではなく、気づかれない存在になるべきだ」と言われます。ユーザやオフィスを中央のイグレスポイントにバックホールすれば、ユーザは間違いなくそのことに気づきますが、いずれも否定的な理由によるものです。これに代わる手段として、インターネットやクラウドアプリケーションへのダイレクトパスを作成することで、速度もユーザエクスペリエンスも向上し、SSEなどのクラウドプラットフォームの価値が裏付けされます。

これらすべての接続をユビキタスなクラウドプラットフォームで保護することで、高速のユーザエクスペリエンスをすぐに提供できるようになりますが、SSEプラットフォームには、いくつかの考慮すべき点があります。まず初めに、特にオフィスや従業員が分散している組織の場合は、世界中のPOP(Point of Presence)が多いベンダを検討します。ロンドン、日本、オーストラリア、インド、アメリカなどの世界中の全従業員が、それぞれの場所のSSEで高速のユーザエクスペリエンスが提供されることを希望するはずです。さらには、目的に合わせて設計されたSSEベンダであれば、エッジまでのインスペクションが可能です。少数の拠点にコンピュートリソースを集約するのではなく、すべてのSSEオンランプがSSLのすべてのセキュリティサービスでエッジインスペクションを実行することで、セキュリティレイテンシを排除した最速のユーザエクスペリエンスが実現します。そして最後に、SSEには強力なピアリングが不可欠です。SSEベンダが可能な限り多くの他のクラウドプロバイダとピアリングすることで、ビジネスで使用するあらゆるコンポーネントへの高速かつローカルの接続が可能になります。

 

将来の成長への対応

SSEプラットフォームの選定での最後の推奨事項は、将来を考慮して検討することです。SSEは、ホリスティックアプローチにより、クラウドセキュリティサービスを統一します。前述のように、これはセキュリティ戦略の中核であり、統一プラットフォームを導入すると、これがない時代に一体どうしていたのかと不思議に思うことになるはずです。イノベーションを重視し、顧客の要求に基づくSSEの将来の対応を可能にするベンダを検討します。

 

セキュリティ以外にも、将来の成長に必要な次のような分野も考慮します。

ブランチオフィス

リモートワークが今も注目される一方で、ブランチオフィスにも従業員が戻り、在宅勤務で経験したダイレクトアクセスに匹敵する高速インターネットパフォーマンスを求めるようになるでしょう。最高のSSEベンダは、SSEの親と言うべきSASEの中核にあるネットワーク側に大きな付加価値を提供します。最大限のパフォーマンスとユーザエクスペリエンスを提供する強力な機能を備えたネットワークを実現するSSEベンダであれば、ダイレクトインターネットアクセス(DIA)、SD-WAN、さらには、組織のその他の接続にも大きなメリットがもたらされます。

デジタルエクスペリエンスモニタリング

ユーザの生産性を維持し、SSEプラットフォームの価値を経営陣に説明する際に非常に重要になるのが、ユーザエクスペリエンスを監視し、チョークポイントを詳細に可視化する機能です。最後に、SSEの範囲をクラウドのワークロードにまで拡大することも重要です。ユーザだけでなく、インターネットに接続するワークロードにもインスペクションが必要です。ルーティングや接続にはさまざまな要件を考慮し、ワークロードの接続と保護を可能にするSSEベンダを検討します。SSEをITエコシステムの中心にすることで要件を簡素化し、ポリシーとコントロールでユーザとワークロードのすべてのセキュリティを集約します。

SSEは新しく登場した用語であるため、最も重要なメリットを見極めるのは難しく、自らのビジネスに最適なプラットフォームの選定はさらに困難なものになるでしょう。しかしながら、ユーザエクスペリエンスや将来の成長の可能性、ゼロトラストやセキュリティの要件などの自らにとって最も重要な要素を考慮することで、最適なプラットフォームを選定できます。

詳細情報:

セキュリティサービスエッジ(SSE)とは?

ガートナーの新しいセキュリティサービスエッジについて知っておくべきこと

ガートナーの新しいセキュリティサービスエッジ:実環境のアプリケーション

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。