人々が働く環境は決定的に変化しました。最近のGallupの調査によると、米国の組織では従業員の50%がハイブリッドモデルで働いており、完全なオンサイト勤務の割合はわずか20%となっています。また、Gartnerの予測分析では、2023年末までに世界のナレッジワーカーの約40%でハイブリッドワークが標準になると見込まれていました。

拠点のあり方も以前とは様変わりしており、カフェのようなオフィスへの移行を進める組織が増えています。クラウドやSaaSへの移行と相まって、ITインフラストラクチャーの根本的な変化が進んでいます。このニューノーマルに対応するには、ネットワークの設計、構築、保護の方法にも進化が必要です。

一律の対応は困難

ユーザーやアプリがあらゆる場所に分散するようになった今、ネットワークを中心とした従来の接続モデルやセキュリティモデルはさまざまな課題を抱えています。ネットワーク環境は曖昧さや複雑さを増しており、ファイアウォールやVPNをベースとした従来のセキュリティを無理に適用しようとすることで、コスト、複雑性、リスクの増加につながっています。ファイアウォールへの投資の増加をよそにサイバー攻撃は増え続けており、ランサムウェアなどの脅威はますます拡大しています。Zscaler ThreatLabzの調査では、ランサムウェア攻撃は2022年から2023年にかけて約40%増加し、要求額の平均は530万ドルでした。

現在のネットワーク技術は、ITシステムの相互通信ができなかった30年前の問題を解決するために設計されたものです。世界中のユーザーとコンピューティングシステム間の接続性やアクセス性を最大化するために、現在のようなネットワークスタックに行き着いたのも当然と言えます。

もたらされた生産性とビジネス上の価値は計り知れませんが、これにはサイバーリスクという代償も伴ってきました。攻撃者は組織内のどこか1か所に侵入経路を見つければ、そこからネットワーク内を移動して価値の高い重要なアプリケーションやデータにアクセスできます。攻撃対象領域は拠点、小売店、クラウド、リモートユーザー、パートナーにまで広がり、従来のネットワークインフラストラクチャーの保護には複雑でコストのかかる作業が必要です。

ゼロトラストによるネットワークの創造的破壊

ゼロトラストは、ネットワークからエンティティー(ユーザー、デバイス、アプリ、サービス)に焦点を移すサイバーセキュリティ戦略です。デフォルトでは一切のエンティティーを信頼せず、アイデンティティー、コンテキスト、セキュリティ態勢に基づいて特定のリソースへのアクセスのみを明示的に許可します。また、新たな接続のたびに信頼性を絶えず評価し直します。

従来のネットワークには暗黙の信頼が存在し、ひとたび接続すればネットワーク内を自由に移動でき、あらゆるエンティティーと通信できるため、ゼロトラストモデルには適していません。ネットワークアーキテクトは、ネットワークのセグメント化によって信頼の程度やラテラルムーブメントの範囲を制限できますが、この方法は複雑で管理が困難です。高速道路網を構築し、すべてのランプやインターチェンジに検問所を設けるようなものです。

ゼロトラストネットワークは、組織のネットワーク構築のあり方の根本的な見直しを可能にしてくれます。まず必要なのは、完全に信頼されたオーバーレイルーティングではなく、ゼロトラストの基盤です。各エンティティーをある種の交換機に接続して、コンテキストとセキュリティ態勢に基づき、必要に応じて接続を仲介するのです。

図：ゼロトラストアーキテクチャー

従来のSD-WANはゼロトラストではない

従来のSD-WANは、高価なMPLS WANサービスに代わる選択肢として、10年以上前に登場したものです。複数のISP接続とアクティブなパスモニタリングによって、SD-WANはインターネット接続の全体的な信頼性とパフォーマンスを大幅に向上させ、ミッションクリティカルなアプリをインターネット経由で安心して利用できるようになりました。

それから10年の時間とコロナ禍を経た今、インターネットが組織のアプリを利用するのに十分な速度と信頼性を備えていることは、証明するまでもありません。ギガビットファイバー接続を手軽に利用でき、ほとんどのSaaSアプリはインターネット経由での利用に向けて最適化されています。今、SD-WANに求められているのは異なる問題の解決です。自宅でもオフィスでも一貫したユーザーエクスペリエンスやセキュリティの提供、IoTデバイスのトラフィックの保護、ゼロトラストセキュリティのすべての拠点への拡張などを、ファイアウォールやVPNアプライアンスを追加することなく実現することが求められています。

セキュアアクセスサービスエッジ(SASE)

「SASE」は2019年にGartnerが定義した言葉で、現代のトラフィックの流れにいっそう適した共通のクラウドネイティブプラットフォームから提供される、ネットワークとセキュリティの集合体を指しています。SASEは、FWaaS、SWG、CASB、DLPなどのセキュリティサービスと、ZTNAやSD-WANなどの接続サービスが融合したクラウド提供型のサービスとして広く理解されています。

SASEへの移行は、セキュリティサービスをクラウド規模でゼロから考え直し、再構築することを意味します。しかし、多くのSASEソリューションは、ファイアウォール/VPNモデルをクラウドに拡張し、従来のセキュリティアプライアンスをホスティングで提供するだけのものです。このようなソリューションにおいてSD-WAN統合は後付けに過ぎず、ゼロトラストをユーザー以外に拡張することはできません。

Zscalerのソリューション

Zscalerはリモートユーザー向けゼロトラストセキュリティのパイオニアであり、使い勝手の悪いリモートアクセスVPNを排除して、世界中で数千の組織のサイバーリスク軽減を実現しています。業界をリードするAI活用型のSSEプラットフォームを構築し、Gartner Magic Quadrant for SSEで、2年連続でリーダーの1社と評価されました。

このたびZscalerでは、同じゼロトラストセキュリティを拠点、工場、小売店、データセンターに提供するためのテクノロジーをリリースします。1月23日のイベントで、業界初のSD-WANイノベーションを発表します。ゼロトラストのAIを基盤に構築したゼロトラストのSASEプラットフォームにより、セキュリティやネットワークアーキテクチャーの刷新を実現します。変革に向けた取り組みの実例や、Zscalerを利用するメリットについて、実際のお客様の声もご紹介します(このイベントは終了しました。ご紹介した内容はこちらからご確認いただけます)。