過去30年にわたり、企業はユーザーと拠点をプライベートネットワークを介してデータセンターに接続するために、複雑で広域なハブ＆スポーク型ネットワークを構築し、最適化を行ってきました。アプリケーションにアクセスするには、ユーザーは信頼できるネットワーク上にいる必要があったのです。このハブ＆スポーク型ネットワークは「城と堀」のセキュリティアーキテクチャーを用いて、VPNやファイアウォールなどのアプライアンススタックで保護されていました。この方法は、アプリケーションが企業のデータセンター内に存在する場合には問題なく機能していました。

現在、ユーザーはあらゆる場所に存在するようになり、データとアプリケーションはもはやデータセンターに置かれるものではなくなりました。高速で生産性の高いコラボレーションのために、ユーザーはいつでもどこからでもアプリに直接アクセスすることを望んでいます。これを考慮すると、クラウド上のアプリケーションに安全にアクセスするためにトラフィックをデータセンターにルーティングするというのは、もはや合理的ではありません。これこそ、組織がハブ＆スポーク型のネットワークから脱却し、インターネットを新しいネットワークとして使用するクラウドへの直接接続に移行している理由です。

現代のビジネスには不向きな境界ベースのセキュリティ

従来のハブ＆スポーク型のネットワークでは、ネットワーク内のすべてのもの(ユーザー、アプリケーション、デバイス)が1つのフラットプレーンに配置されていました。これにより、ユーザーはアプリケーションに簡単にアクセスできますが、同時に感染したマシンでも簡単にアクセスできてしまいます。ユーザーの自宅にあるマシンまたはパブリッククラウド内のいずれかのワークロードが1つでも感染すると、すべてのアプリケーションにアクセスできるようになり、障害が引き起こされたりビジネスが麻痺したりする恐れがあります。

では、同レベルの保護をすべての場所で実現するにはどうすれば良いのでしょうか。ハードウェアの導入や仮想ファイアウォールの構築は誤った安心感を得られるだけで、攻撃対象領域の拡大を招くことになるため、選択肢としてみなすべきではありません。データセンター、クラウド、拠点などインターネットに接するすべてのファイアウォールは、検出や攻撃、悪用の対象となる恐れがあります。組織がVPNとファイアウォールに頼るサイバーセキュリティを続ける限り、侵害は発生し続けるのです。

鍵を握るソリューション、ゼロトラストアーキテクチャー

ゼロトラストでは、ネットワーク上のあらゆるものが敵対的である、または侵害されているとみなすことから始まります。アプリケーションへのアクセスはユーザーのアイデンティティー、デバイスポスチャー、ビジネスコンテキストが検証され、ポリシーチェックが施行されて初めて許可されます。このモデルでは、すべてのトラフィックをログに記録して検査する必要があるため、従来のセキュリティ制御では実現できないレベルの可視性が求められます。安全なハイブリッドワークというビジョンを実現するには、組織は「城と堀」のセキュリティから脱却し、アプリケーションへの高速かつ直接のアクセスを場所や時間を問わず保護する、ゼロトラストアーキテクチャーに移行する必要があります。

真のゼロトラストプラットフォームであるZscaler Zero Trust Exchange

Zscalerはゼロトラストセキュリティのパイオニアであり、世界中の組織のセキュアデジタルトランスフォーメーションをZscaler Zero Trust Exchangeでサポートしています。Zero Trust Exchangeは、最小特権アクセスの原則に加え、ユーザー、ワークロード、デバイスは本質的に信頼できないという考えに基づいて構築された、統合型のクラウドネイティブセキュリティプラットフォームです。本プラットフォームはデバイスの種類や場所、アプリケーション、コンテンツなどのアイデンティティーとコンテキストに基づいてアクセスを付与してから、ネットワークの種類や場所を問わず、アプリケーションとユーザー、ワークロード、デバイス間の安全な直接接続を仲介します。また、プロキシアーキテクチャーによってすべての接続をリアルタイムで終了し、暗号化されたものを含むすべてのトラフィックを検査することで、攻撃対象領域を排除して脅威のラテラルムーブメントを防ぎ、情報漏洩を阻止します。

Zero Trust Exchangeを通過するすべての通信は、接続が確立される前に以下を含む一連の制御を受けることになります。

アイデンティティーとコンテキストの検証：ユーザー、ワークロード、デバイスが接続をリクエストするとZero Trust Exchangeは最初に接続を終了し、次に誰が接続しているか、コンテキストは何か、接続先はどこかを確認します。
リスクの制御：次に、Zero Trust Exchangeは接続リクエストに関連するリスクを評価し、サイバー脅威と機密データがないかトラフィックを検査します。
ポリシーの施行：最後に、Zero Trust Exchangeは以前の手順からの出力を使用してセッションごとにポリシーを施行し、リクエストされた接続に関して実行するアクションを決定します。

Zero Trust Exchangeは世界最大のインラインセキュリティクラウドで、世界各地の150か所を超えるデータセンターで稼働し、1日あたり数千億件のトランザクションを処理しています。スケーラビリティーの実現のために設計されているZscaler Zero Trust Exchangeは、真に包括的な機能を単一のソリューションとして網羅しており、いくつものポイント製品を排除できます。

1) サイバー脅威対策：アプリケーションはZero Trust Exchangeの背後に置かれるため、インターネットから不可視化されます。アプリケーションは検出されないため、悪意のある人物の目に触れず、攻撃は不可能となります。また、すべてのトラフィックを検査することで、サイバー脅威が存在しないか確かめます。

2) データ保護：Zero Trust Exchangeは、メールとエンドポイントだけでなくSaaS、IaaS、PaaSのすべてに対しても、インライン検査と帯域外保護を行うことで、情報漏洩防止のための総合的なアプローチを提供します。

3) ゼロトラスト接続：Zero Trust Exchangeプラットフォームは、ユーザーとデバイスをネットワークではなくアプリケーションに接続します。これにより、脅威は水平方向に伝播して他のデバイスやアプリケーションを感染させることが不可能となります。これがすべて、複雑なネットワークセグメンテーションなしに行われます。

4) デジタルエクスペリエンス管理：ZscalerのAI活用型エンジンは、エンドツーエンドのユーザーエクスペリエンスを監視し、問題の根本原因を特定することでIT部門の問題解決をサポートします。

Zero Trust Exchangeは、シームレスかつ安全で費用対効果の高いゼロトラストアーキテクチャーをあらゆる妥協なく実現します。専用に構築された独自のアーキテクチャーにより、以下が可能となります。

インターネットの攻撃対象領域と脅威のラテラルムーブメントを排除：ユーザーはネットワークではなくアプリケーションに直接接続されます。
ユーザーエクスペリエンスの改善：Zero Trust Exchangeはトラフィックをバックホールすることなく、あらゆるクラウドやインターネットの宛先への直接接続をインテリジェントに管理、最適化します。これにより、遅延や非効率性が排除されます。
シームレスな統合：主要なクラウド、アイデンティティー、エンドポイント保護、セキュリティ運用の各プロバイダーとシームレスに統合します。
コストと複雑さの軽減：VPNや複雑なネットワーク境界ファイアウォールポリシーを必要としないため、容易に管理、展開できます。
大規模なセキュリティを提供：世界最大のクラウドセキュリティが、世界の150か所以上のデータセンターで稼働し、1日あたり2500億件以上のトランザクションを処理します。

真のゼロトラストプラットフォームの詳細やZscalerがいかにしてゼロトラスト戦略を加速させるかについては、www.zscaler.jpよりご確認ください。