昨今、リモートワークの恒常化や業務アプリケーションのクラウド化、セキュリティインシデントの増加など多くの企業でセキュリティの見直しが進んでいます。その中でもゼロトラストとSASE(Secure Access Service Edge)が注目されていますが、両者の違いや関係性は正しく把握されていない面があります。また、それらの概念を理解しているものの、実際にソリューションの選定や導入をどのように行えばよいか悩むケースも見られます。「ゼロトラスト」と「SASE」の違いや、それらを実現するために必要な要素をご紹介し、SASE導入時におさえておきたい3つのポイントを解説します。
テレワークとオフィスワークを使い分けるハイブリッドな働き方が広がるにつれて、セキュリティに対するアプローチや考え方は大きく変わってきました。それを端的に示すキーワードが「ゼロトラスト」と「SASE」です。
従来の「境界型防御」のアプローチは、文字通り社内と社外でネットワークを隔て、社内ネットワークに侵入しようとする脅威を境界上でブロックする考え方です。しかし現在の多くの企業の働き方になっている、テレワークのようにデバイスとユーザーが社外ネットワーク上に存在する場合、またアプリケーションとデータがクラウド上に存在する場合など、このアプローチでは、セキュリティの担保が難しくなります。
そこで、新しいアプローチとして登場したのがゼロトラストです。ゼロトラストはあらゆる通信やシステムのアクセスを「決して信頼せず、常に確認する」セキュリティ対策を実現することで、社内外を問わず、同じセキュリティレベルを担保しようというものです。すでに米国立標準技術研究所(NIST)が「NIST SP800-207」としてガイドラインを公表しています。
一方、SASEは、米ガートナー社が提唱したセキュリティフレームワークであり、端的にいえば「ネットワークサービスとセキュリティサービスを組み合わせてクラウドプラットフォームから包括的に提供したもの」です。ゼロトラスト=SASEのように見えるかもしれませんが、SASEはあくまでゼロトラストを構成するための一要素であり、エンドポイントセキュリティ製品など他の製品と組み合わせてゼロトラストを実現していくことになります。
こうして新しい働き方に合わせてゼロトラストの考え方のもとに、SASEなどを採用しながらセキュリティ全体を強化することは、喫緊の課題といえるでしょう。しかし、一方で「候補となる製品が多すぎて選定が難しい」「どこから手をつけていいのかわからない」「とてもじゃないけど全部のソリューションを導入する予算はない」などの課題に直面する企業が多いのも事実です。
ここで先述したNISTのガイドラインを見てみましょう。NISTでは、図1のように「ゼロトラストにおける7つの基本原則」を定義しています。この原則に従ってソリューションを整備することが求められますが、対象領域はネットワーク通信、デバイス、ユーザー、データ、運用管理など多岐にわたっており、それを過不足なく整備していくことは、確かに簡単ではありません。
図1:ゼロトラストにおける7つの基本原則
一方で、SASEを実現するために必要なソリューションのカテゴリーだけでも「ZTNA(Zero Trust Network Access)」「SD-WAN」「SWG(Secure Web Gateway)」「CASB(Cloud Access Secure Broker)」などを筆頭に非常に多彩な製品ジャンルが存在しており、この中から自社に必要なものを組み合わせていくのは骨の折れる作業です。
ゼロトラストやSASEを構成する機能要素が複数ある中で、これらをビッグバンですべて導入するのは簡単ではないでしょう。とはいえ、単体の製品を場当たり的に導入することも得策ではありません。はじめにゼロトラストやSASEのコンセプトを把握した後、自社にはどの要素が欠けているのか、まずは何の機能を優先して導入すればよいのかなど、ゼロトラスト全体を見据えてゴールを設定したうえで中長期的な視点で導入を計画することが非常に重要になってきます。
その際、複数社の製品を組み合わせると管理が煩雑になる可能性や製品間の連携が損なわれるリスクがあります。ゼロトラスト全体を見据えたうえで製品選定を始めないと、導入済みの製品が新しく検討している製品と連携できなくてやりたいことが実現できないといったことが起こりえるのです。特に運用面・機能面でメリットが享受できるSASEでは、1社もしくは強いパートナシップを持ったベンダー間の連携ができるソリューションを選定することが理想的と言われています。
先述したゼロトラストの7つの原則とVMwareが提供する製品の対応を示すと以下のようになります。
図2:ゼロトラストとVMware製品の関係性
このうち、VMware SASE Platformは、ネットワーク関連製品の「VMware SD-WAN™」「VMware Secure Access」「VMware Cloud Web Security」を包括したソリューション群です。SASEで求められる安全なインターネット接続を実現し、クラウドアプリケーションのセキュリティと信頼性を担保します。VMware SASE Platformの詳細については以下の記事で解説しているのでこちらもご参照ください。
関連記事:SASEの始め方からゼロトラストの実現までトータルでサポート
その中でネットワールドが推奨する1つの解決策が、「VMware SASE Platform™」と「VMware Workspace ONE®(以下、Workspace ONE)」などを組み合わせたゼロトラストを包括的に実現するソリューションです。Workspace ONEは、デバイスや場所を問わず、あらゆるアプリケーションをシンプルかつ安全に提供、管理するデジタルワークスペースを実現するソリューションです。エンドポイント管理の「Workspace ONE UEM」、アクセス管理の「Workspace ONE Access」、インテリジェントな運用管理のための「Workspace ONE Intelligence」があり、デバイスやユーザー、データの信頼性、高度な運用管理を提供します。
VMware社のゼロトラストソリューション全体を紹介しましたが、「どれから始めたらいいの?」「とりあえずVMware SASEから始めたらいいの?」と思っている方は多いのではないでしょうか?
もちろん、どんなプロセスで構築していけばよいのかは、個社ごとの課題や、既存のシステム構成、予算によって異なるため、単一の最適解はありません。既に導入済みのVMware社以外のセキュリティソリューションと組み合わせたいといった要望もあります。
例えば、ネットワールドが支援したある企業では、MDM(モバイルデバイス管理)とIDaaSの導入を優先し、信頼するデバイス以外のアクセスを制限する認証基盤を構築するところからゼロトラストへの取り組みを開始しました。まずWorkspace UEMとWorkspace ONE Accessを先行導入し、その後、VMware SASEを導入して拠点間接続のコスト削減とインターネットアクセスのセキュリティを向上させていくといった中長期的な計画を案内したうえで評価を開始しています。
ゼロトラストセキュリティ構築に向けた導入パターンの一例
一方で別の企業では、まずIDaaSとVMware SASEの導入を優先し、セキュアなインターネット接続とSaaS間の認証統合を実現。その後、Workspace UEMを使ってデバイスの統合管理とセキュリティ対策を展開していくといった中長期的な計画を案内したうえで評価を開始しています。
ネットワールドでは、単にその時に必要なセキュリティソリューションを提供して終わりではなく、「どのソリューションをどんな順番でどう構築していけばゼロトラストセキュリティを実現できるのか」、全体的なビジョンを描きながら一貫して支援できる体制を敷いています。
ゼロトラストやSASEを導入する際には、まず検討しておくべきポイントとして以下の3つを押さえておくとよいでしょう。すなわち、「ゼロトラストとSASEの関係を正しく理解すること」「SASEだけでなくゼロトラスト全体をカバーする中期的なセキュリティ計画を立案すること」「これらの2つを満たし、製品に習熟したパートナーとの共創を行うこと」です。
なおネットワールドでは、VMware SASEに限らずVMware社のゼロトラストソリューション全体をワンストップで技術支援を提供しています。ゼロトラストソリューション導入のゴールがイメージできていない企業には、要望に沿ったPoCを実施し、納得できるゴールを共有したうえでVMware社のゼロトラストソリューション導入をサポートしています。
働き方が多様化する中で、ゼロトラストとSASEへの取り組みは不可欠になりつつあります。セキュリティ強化の取り組みに向けて、ぜひネットワールドのソリューションをお役立ていただければと思います。
