B2B情報技術の新しいマーケットが初期段階にあるときは、ベンダ側が何十ものポイント製品を用意し、それぞれのニッチな分野で差別化を図るのが一般的です。現在、パブリッククラウドセキュリティの分野ほど、この現象が顕著な市場はありません。ここでは、ほとんど理解できないような略語のソリューションが存在し、クラウド保護という広範な課題の中で、各社が独自の分野について解決策を提供しています。一部の例として、CSPM、CIEM、DLP、IAM, マルチクラウドネットワーキング、マイクロセグメンテーション、IaCスキャン、コンテナランタイムセキュリティ、脆弱性評価などが挙げられます。

仮に、これらのツールをすべて個別に購入する予算があったとしても、スタッフのトレーニング、製品の統合、十数社の異なるベンダとの取引に伴う運用の複雑さは、悪夢のようなものです。幸いなことに、パブリッククラウドの成熟に伴い、企業は、ゼロトラストセキュリティに基づいた戦略により、ワークロード保護のニーズを満たす2つの主要プラットフォーム：クラウドネイティブアプリケーションプロテクションプラットフォーム (CNAPP) およびセキュアアクセスサービスエッジ（SASE）に集約しつつあります。

ゼロトラストセキュリティとは、最小特権アクセスの概念に基づいて構築されたフレームワークであり、どのユーザやアプリケーションも本質的に信頼すべきではないというものです。このアプローチが画期的なのは、過去数十年にわたってほとんどの組織がとってきたアプローチとはまったく逆のものだということです。1990年代初頭から、情報セキュリティは、悪を排除し善を入れるようにする安全な境界線という概念を中心に展開されてきました。

ゼロトラストでは、すべての人、すべてのものが敵対的とみなされます。しかし、当然のことながら、すべてを排除してしまうと、ユーザとアプリケーションのコミュニケーションが難しくなるため、必要なものだけに、アイデンティティとリスクのコンテキストが確立されてから、アクセスを許可するようにしています。ここ数年、ゼロトラストはユーザからアプリケーションへのアクセスに広く採用されてきましたが、現在では多くの企業がアプリケーション間のユースケースにもゼロトラストを広げています。

CNAPPとSASE...

CNAPPとゼロトラスト

CNAPP の仕事は、クラウドワークロードのリスクを特定し、優先順位をつけ、軽減することです。このプラットフォームは、パブリッククラウドのインフラと、そのインフラ上で稼働するワークロードの両方を可視化します。また、CNAPPは、DevOpsツールや統合開発環境（IDE）に統合することで、クラウドに展開する前にリスクを特定し、修正するのに役立ちます。

CNAPPは、幅広いクラウドのリスクに対する知見を提供するため、これまで別々に分類されていたいくつかの製品の代わりとなります。リスクには、設定ミス、過剰な権限や許可、保存された機密データ、パッチが未適用のソフトウェアの脆弱性などがあります。これらのプラットフォームは、機能間で相関性があるため、実際に悪用可能な問題に優先順位をつけ、企業が受ける可能性のあるセキュリティ侵害のシナリオを正確に把握できます。

CNAPPは、クラウドのリスクを特定して優先順位をつけるだけでなく、自動化された修復やガイド付きの手動による修復によって、これらのリスクの修復を支援します。クラウドのリスクを特定し、優先順位をつけ、軽減するというCNAPPのプロセスは、継続的に行われます。動的なクラウド環境では、リスクの状況は常に変化しているからです。

ゼロトラストアーキテクチャでは、CNAPP は、リスクコンテキストという重要な要素を提供します。これらを使用すると、企業のクラウドの範囲内および範囲全体でワークロードが持つべきアクセスレベルについて、より多くの情報に基づいた決定を行うことができます。ユーザと同様に、リスクのあるクラウドワークロードは、それらのリスク要因が十分に軽減されるまで、アクセスレベルを制限する必要があります。

SASEとゼロトラスト

リスクコンテキストが確立されたら、次のステップは必要なものだけにアクセスを許可することです。そこで登場するのが「SASE」です。SASEは、ワークロードのアイデンティティとリスクのコンテキストを使用してアクセス権を検証し、そのコンテキストおよび試みられているトランザクションに基づきビジネスポリシーを適用します。状況の変化に応じて、アクセス権限は継続的に見直されます。SASEは、従来、ユーザの通信を保護するためのものでしたが、最近になって、ワークロードの通信を保護するためのプラットフォームとしても注目され始めました。

SASEプラットフォームは、クラウドのワークロードをネットワークに接続することなく、他のワークロードに直接接続し、ワークロードのゼロトラスト通信を実現します。SASEは、このアプリ間接続とセグメンテーションを提供することで、悪意のあるソフトウェアや攻撃がネットワーク上を横移動する能力を低減します。SASEは、以下のようないくつかのユースケースで、クラウドのワークロード通信を可能にします。

クラウドからクラウド
クラウドからデータセンター
クラウドからインターネット
クラウド内

ファイアウォールなどの従来の境界防御型の技術は、「パススルー」のセキュリティアプローチを採用しており、保護よりパフォーマンスを優先するという良くない妥協が行われています。悪意のあるトラフィックが見つかっても、遅すぎて止められないこともしばしばです。SASEベースのソリューションでは、すべてのトランザクションの完全なインスペクションを行います。すべての接続を終了させて、暗号化されたトラフィックであっても宛先に転送する前に保留して検査します。インスペクションには、アクセスコントロールに加えて、データ損失や脅威の防止も含まれることがよくあります。

車の両輪として

CNAPPとSASEは連携して、ワークロードおよびワークロードアクセスを保護し、最適なアプリケーションパフォーマンスとユーザエクスペリエンスを確保することで、クラウドワークロードのセキュリティに対する包括的なアプローチを提供します。今後数年の間に、現在ポイント製品で提供されている機能が、この2つのプラットフォームのどちらかに集約されるようになるでしょう。その結果、パブリッククラウドのワークロードにゼロトラストセキュリティが広く採用され、ツールの大幅な統合による簡素化が実現します。

しかし待つ必要はありません! お客様の環境でCNAPPとSASEを最大限に活用する方法について、ぜひZscalerにお問い合わせください。