ゼロトラスト、ZTNA、SSE、SASEとは?
近年頻出するサイバーセキュリティのキーワードに「ゼロトラスト」、「ZTNA」、「SSE」、「SASE」がある。「ゼロトラスト」だけは具体的な技術ではなく、すべてのやりとりを(無条件に信用するのではなく)チェック・検証しようというストラテジーやコンセプトだ。そのゼロトラストを実現するためのソリューションがZTNA、SSE、SASEとなる。
ZTNA(Zero Trust Network Access)は、定義されたアクセス制御ポリシーに基づき、デジタルリソースへのリモートアクセスを提供する技術となる。和田氏は「リモートアクセスVPNの進化版」と言い、VPNをよりゼロトラスト的にチェックし、より詳細にアクセス可能な場所を限定できるという。
SSE(Security Service Edge)は、Web、Cloud、SaaS、DCをカバーするクラウド中心の総合的なセキュリティであり、ZTNA、SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、FWaaS(Firewall as a Service)などを統合的に提供する。
そしてSASE(Secure Access Service Edge)は、SSEにネットワーク(SD-WANなど)を組み合わせ、社外からのユーザーだけではなく、拠点オフィスも統合したものだ。
もしSASEをポイントソリューションのつぎはぎで実現しようとすると、管理や運用が煩雑になるばかりか、追加するたびに設計や構築で手間がかかる。一方、シングルベンダーSASEならば包括的に実現できるため、ポリシーにも一貫性を持たせることができる。
もちろん現実的には既存環境との兼ね合いで諸々議論する余地はあるかもしれないが、一般論では「まとめたほうが楽で、利点が多い」となる。シングルベンダーで実現するSASEだと、SSEにSD-WANが加わることでネットワークとセキュリティ担当者の生産性が向上し、全経路で一貫したモニタリングができるため、ユーザー体験も向上する。
セキュリティとネットワーク、ユーザー体験管理も内包するSASE
パロアルトネットワークスが提供するSASEソリューションに「Palo Alto Networks Prisma SASE(以下、Prisma SASE)」がある。主要コンポーネントはセキュリティ(Prisma AccessとNG-CASB)とネットワーク(SD-WAN)、さらにガートナーのSASE定義には含まれないもののユーザー体験向上のための自律型デジタル体験管理(ADEM:Autonomous Digital Experience Management)に大別できる。
数年前に突如コロナ禍となり、少なからずの企業が慌ててリモートワークができるようにとSaaS利用を開始したり、オンプレのプロキシをSWGクラウドプロキシに変えてみたり、ZTNAを導入するものの、すべてカバーできないからVPNも残すなどしたという。しかし、これだけでもSWG、ZTNA、VPNを別々に管理しなくてはならなくなる。
一方、Prisma SASEはこれらすべてを統合できるため、どの経路でも同じセキュリティポリシーを適用できる。和田氏は「ZTNA、Firewall、SWG、CASB、SD-WAN、DEMすべて包括的に管理、運用できるので、非常に楽かつ容易です。そのため生産性が向上し、DXを推進していけるソリューションになっています」と強調する。
ZTNA 1.0との大きな違い
Prisma SASEの主要コンポーネントを順に見ていこう。まずはセキュリティを担う「Prisma Access」からだ。ZTNA 2.0、Firewall、IDS/IPS、URL、Sandbox、Anti Virus、Anti Spy、DLP、DNS、IoTなど日本市場でおおむね必要とされているセキュリティ機能を内包している。
特に着目すべきはZTNA 2.0であることだ。ZTNA 1.0との大きな違いを挙げるならば、最小権限付与、継続的アセスメント、継続的セキュリティ検査、全データ保護、全App保護がある。
裏を返して、今度はZTNA 1.0の問題点を挙げていこう。まず「リクエスト認可後の放置問題」だ。ZTNA 1.0ではアクセスリクエストを認可すると、その後は常時信頼して通信が行われるようになっている。これはユーザーもアプリも挙動が変化しないことが前提となる。
和田氏は「セキュリティインシデントは、アクセスが許可された状態で発生することが多いです。セッションが開いたところにマルウェアが混入してもZTNA 1.0では止められません」と警鐘を鳴らす。
続いての問題点として挙げられるのが「セキュリティ検査欠如」だ。厳密にゼロトラストを実践するならば、常時通信をチェックし、不正な横移動していないかなどをチェックする必要がある。IPS、Sandbox、ポスチャマネジメントなしのZTNA 1.0だけでは、ゼロトラストには不十分だ。
次なる問題が「全App非対応」な点である。ありがちなのは、ゼロトラストにしたくてZTNA 1.0を導入したものの、一部のアプリケーションの制約でVPNと併用せざるをえないケースがある。これではゼロトラストの実現は不完全となるだろう。
もしZTNA 1.0を含むポイントソリューションの組み合わせだと、注意すべきは先述したようにセキュリティ検査の欠如、端末の継続検査がない、一部のAppでVPNを必要とする点が挙げられる。加えて「外部に出る時はSWG、しかし内部へのアクセスはZTNA」というように複数で併用するとなると、ポリシーが統一されていない危険性もある。
また既存環境にZTNA 1.0を追加するような形だと、コネクタの運用がともなう。これでは運用の重荷になってしまうし、さらに拠点ではファイアウォールやIPSも必要になる。このように、運用がかなり煩雑になってしまうことが予想されるのだ。
「それに対してPrisma SASEであれば全部ガツンとつなぎます」と和田氏は胸を張る。モバイルからSaaS、モバイルからオンプレ、本社と国内外の支社間でも、どのような経路でも同じセキュリティポリシーを適用できるという。エージェントを通じて端末の継続的アセスメントも実施しているため、万が一端末に問題が起きても脅威を排除することが可能だ。あらゆるアプリケーションに対応しているため、レガシーのVPNから脱却できて、コネクタ不要、拠点エッジのファイアウォールやIPSも不要となり、運用負荷を軽減可能だ。
ネットワークを担う、SASEと統合した「次世代SD-WAN」
続いてPrisma SASEの主要コンポーネントであり、ネットワークを担うのがSASEと統合した「次世代SD-WAN」だ。これもPrisma Accessに含まれる。一般的にSD-WANを導入するなら、通信先を識別して適切にブレイクアウトする機能が求められている。たとえばZoomやMicrosoft Teamsなら直接インターネットへ、Microsoft 365などセキュリティ検査を通したいSaaSはPrisma Accessを通し、基幹システムやレガシーなアプリケーションはMPLS(Multi-Protocol Label Switching)などSLA回線へ、という具合だ。接続先の特性に合わせて回線や機能を分けていくことができる。
快適なハイブリッドワークを実現するソリューション「ADEM」
Prisma SASEの主要コンポーネントでデジタル体験管理を実現するのが「ADEM」である。近年ではリモートワークが普及し「もはや仕事は活動であり、場所ではない」と考える人も増えてきている。リモートワークができない企業は就職先として忌避されることもある。
日本ではどうか。同社が2023年2月に開催した「Palo Alto Networks Japan SASE Day 2023」で参加者にアンケートしたところ、「在宅勤務にともなうリモートアクセスの今後の需要について」という設問では「増えていく」との回答は半数弱、「変わらない」は3割弱、「減る」はわずか3%、残りは「わからない」としている。
イベントの趣旨からSASEに関心がある人が多いとはいえ、「リモートアクセスは増える」または「現状維持」が約3/4を占めた。日本においても企業はリモートワークという選択肢を提供することが求められていくのは確実だろう。
そうした中、リモートワークでユーザーが快適にネットワークを使えることは従業員の生産性に関わる重要な課題だ。オフィス内ならネットワークの状態は監視しやすいものの、従業員の自宅やカフェのネットワークまでは関知しきれないのが、多くの組織の実情ではないだろうか。
そうした状況下で、Prisma SASEに含まれるADEMは快適なハイブリッドワークを実現するためのソリューションだ。多くの場合、これだけ単体で導入することはあまりなく、SASEで全体を統合する時に「これも」と導入するケースが増えてきている。Prisma SASEと一緒であればそのまま利用できる。専用のエージェントやアプリケーションは不要だ。
ADEMはエンドツーエンドの可視性を提供する。たとえばエンドポイント(ユーザーのパソコン)のCPUやメモリが上限を迎えていると確認できるため、サポートは「ブラウザのタブ、開きすぎでは?」だとか「動画編集しています?」とアドバイスできる。
あるいは自宅Wi-Fiの送信レイテンシーが悪いなら「Wi-Fiルーターやパソコンの置き場所を調整してください」、もしくは通信経路にあるISPでパケットのドロップが多く発生しているなら「スマホからテザリングを試してみてください」など、リモートワークでの不具合を解決するのに役立つ。
なおPrisma Accessの可用性(アップタイム)は99.999%、セキュリティプロセスの平均値が最速で10ms、Microsoft 365や主要SaaSとの遅延でもSLAをもっており、和田氏は「業界ベストクラスのユーザーエクスペリエンスです」と話す。
組織でSaaSが普及すると欠かせなくなる「NG-CASB」
最後に、Prisma SASEの主要コンポーネントとなるのがNG-CASBである。企業でSaaSが普及してくると欠かせなくなるのがCASBだ。Prisma SASEのNG-CASBではシャドーITやSaaS利用状況の可視化や管理、SaaSのポスチャ管理、Sandbox、情報漏えいを防ぐDLPなどが含まれる。
NG-CASBのソリューションは大きく分けてInlineでシャドーIT管理、APIとSSPMで公認SaaS管理を行う。APIはSaaSのデータにマルウェアが潜んでいたら隔離し、SSPMはSaaSの設定値を検証する。NG-CASBではPrisma Accessに流れるデータを使うため、先述したADEM同様に追加コンポーネントが不要なので、「とても便利で導入企業が非常に増えています」と和田氏は力説する。
さらにUEBA(ふるまい検知)も含まれているため、突然大量データをダウンロードするといった不審なふるまいにアラートを設定すれば、たとえば内部不正の早期発見に役立つかもしれない。
講演の最後に和田氏は「Prisma SASEは概念的に統合されているだけではなく実際の管理画面も統合されているので、1つの画面からアクセスできます。例外のないゼロトラストをPrisma SASEでシンプルに運用できて、ユーザー体験にもフォーカスして提供しています」と述べて講演を締めくくった。