ゼロトラスト、ZTNA、SSE、SASEとは?
近年頻出するサイバーセキュリティのキーワードに「ゼロトラスト」、「ZTNA」、「SSE」、「SASE」がある。「ゼロトラスト」だけは具体的な技術ではなく、すべてのやりとりを(無条件に信用するのではなく)チェック・検証しようというストラテジーやコンセプトだ。そのゼロトラストを実現するためのソリューションがZTNA、SSE、SASEとなる。
ZTNA(Zero Trust Network Access)は、定義されたアクセス制御ポリシーに基づき、デジタルリソースへのリモートアクセスを提供する技術となる。和田氏は「リモートアクセスVPNの進化版」と言い、VPNをよりゼロトラスト的にチェックし、より詳細にアクセス可能な場所を限定できるという。
SSE(Security Service Edge)は、Web、Cloud、SaaS、DCをカバーするクラウド中心の総合的なセキュリティであり、ZTNA、SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、FWaaS(Firewall as a Service)などを統合的に提供する。
そしてSASE(Secure Access Service Edge)は、SSEにネットワーク(SD-WANなど)を組み合わせ、社外からのユーザーだけではなく、拠点オフィスも統合したものだ。
もしSASEをポイントソリューションのつぎはぎで実現しようとすると、管理や運用が煩雑になるばかりか、追加するたびに設計や構築で手間がかかる。一方、シングルベンダーSASEならば包括的に実現できるため、ポリシーにも一貫性を持たせることができる。
もちろん現実的には既存環境との兼ね合いで諸々議論する余地はあるかもしれないが、一般論では「まとめたほうが楽で、利点が多い」となる。シングルベンダーで実現するSASEだと、SSEにSD-WANが加わることでネットワークとセキュリティ担当者の生産性が向上し、全経路で一貫したモニタリングができるため、ユーザー体験も向上する。
セキュリティとネットワーク、ユーザー体験管理も内包するSASE
パロアルトネットワークスが提供するSASEソリューションに「Palo Alto Networks Prisma SASE(以下、Prisma SASE)」がある。主要コンポーネントはセキュリティ(Prisma AccessとNG-CASB)とネットワーク(SD-WAN)、さらにガートナーのSASE定義には含まれないもののユーザー体験向上のための自律型デジタル体験管理(ADEM:Autonomous Digital Experience Management)に大別できる。
数年前に突如コロナ禍となり、少なからずの企業が慌ててリモートワークができるようにとSaaS利用を開始したり、オンプレのプロキシをSWGクラウドプロキシに変えてみたり、ZTNAを導入するものの、すべてカバーできないからVPNも残すなどしたという。しかし、これだけでもSWG、ZTNA、VPNを別々に管理しなくてはならなくなる。
一方、Prisma SASEはこれらすべてを統合できるため、どの経路でも同じセキュリティポリシーを適用できる。和田氏は「ZTNA、Firewall、SWG、CASB、SD-WAN、DEMすべて包括的に管理、運用できるので、非常に楽かつ容易です。そのため生産性が向上し、DXを推進していけるソリューションになっています」と強調する。
