SASEとゼロ・トラスト：5つの違いとフレームワークにおけるSASEの役割

SASEとゼロ・トラストの導入

SASE（Secure Access Service Edge）は、ネットワークサービスとクラウドベースのセキュリティを統合した、より広範なクラウド提供型のセキュリティフレームワークであり、ゼロトラストは戦略的なセキュリティフレームワークであり、SASEにおける指導原則である。

SASEはゼロ・トラストの原則を実装し、ユーザーとデバイスにリソースへの安全で検証されたアクセスを提供しますが、完全なゼロ・トラスト戦略はSASE以上のものを含み、IDベースのアクセス制御や全てのシステムにわたる継続的なモニタリングのような要素を含みます。従って、SASEはゼロトラスト哲学と対立するものではなく、ゼロトラスト哲学を利用する技術実装です。

信頼ゼロ

• What it is:「決して信用せず、常に検証する」という原則に基づくサイバーセキュリティのフレームワーク。いかなるユーザー、デバイス、アプリケーションも暗黙のうちに信頼されることはなく、信頼は継続的に獲得され、検証されなければならない。
• フォーカス:主にアイデンティティとアクセス管理で、認証され許可されたエンティティのみがリソースにアクセスできるようにする。
• スコープ：組織のセキュリティのさまざまな構成要素にわたって実施可能な戦略的アプローチ。

返信用封筒

• SD-WANのようなネットワーキングと包括的なセキュリティ・サービスを統合し、単一のスケーラブルなクラウド・サービスとして提供するクラウドネイティブなセキュリティ・アーキテクチャ。​
• Focus:ダイナミックなクラウドベースの環境と分散した従業員向けに、セキュアなアクセスとネットワークの最適化を提供。
• 対象範囲：ゼロトラストを中核原理とし、セキュア・ウェブ・ゲートウェイ（SWG）、クラウド・アクセス・セキュリティ・ブローカー（CASB）、ゼロトラスト・ネットワーク・アクセス（ZTNA）など複数のセキュリティ機能を統合した、より広範な技術的枠組み。

主な相違点

• フレームワーク対アーキテクチャ：ゼロ・トラストは戦略的フレームワークであり、SASEはこれらの原則を実装したクラウド提供アーキテクチャである。
• 範囲：ゼロ・トラストはアクセス・コントロールに対する哲学的アプローチであり、SASEはネットワーキングとセキュリティ・サービスを組み合わせたより広い概念である。
• Relationship: SASEはゼロ・トラストの原則に基づいて構築され、ゼロ・トラスト・ネットワーク・アクセス（ZTNA）を重要な要素として組み込んでおり、ゼロ・トラストを運用する技術となっている。

SASEとゼロ・トラスト：共通点

SASEもゼロトラストも、ユーザーとリソースが従来の企業ネットワークに限定されなくなった世界で、アプリケーションとデータへのアクセスを安全にするという基本的な目標は同じです。両者は補完的なフレームワークであり、保護対象をネットワーク境界から各接続のアイデンティティとコンテキストに移行します。

• アイデンティティ主導のアクセス制御：SASEでは、ユーザーID、デバイスの姿勢、アプリケーションのコンテキストに基づいて、クラウドエッジでセキュリティの決定が行われます。各接続は認証、許可され、暗黙の信頼を防ぐために継続的に検証されます。
• クラウドネイティブデリバリーへの依存：どちらのフレームワークも、分散したワークフォース、SaaSの採用、ハイブリッド環境をサポートする。両フレームワークは、トラフィックをデータセンターにバックホールすることなく、ロケーション、デバイス、ユーザーを横断した集中型のポリシー適用を可能にします。
• 一元化によるセキュリティ運用の簡素化SASEは複数のネットワークセキュリティ機能を単一のプラットフォームに統合し、ゼロトラストはアイデンティティとアクセスに関するポリシーを統一します。これらを組み合わせることで、ユーザー、デバイス、アプリケーションに一貫した保護を提供し、現代の企業にとって安全でスケーラブルなアクセスを可能にします。

SASEとゼロ・トラスト：主な違い

1.範囲と焦点

返信用封筒は、ネットワーキングとセキュリティを単一のクラウドベースのサービスに統合することに焦点を当てている。主に、ネットワーク・エッジを通じて、ユーザー、サイト、アプリケーションに安全な接続性をどのように提供するかに取り組んでいる。その中核的な使命は、一貫したセキュリティの実施を維持しながら、あらゆる場所から効率的でポリシー主導のアクセスを提供することである。

信頼ゼロは、セキュリティ理念とアクセス・コントロール・モデルそのものに重点を置いている。これは、組織のデジタル環境において、どのように信頼を確立し、維持するかを定義するものである。このモデルは、クラウド、オンプレミス、ハイブリッドを問わず、すべての資産に適用され、アクセスを許可する前にすべてのリクエストが検証されることを保証します。SASEはゼロ・トラストの概念を実装していますが、ゼロ・トラストは原理的にはより広範なものであり、特定のネットワーク・アーキテクチャとは無関係に存在することができます。

2.フレームワークとアーキテクチャ

ゼロ・トラストは、セキュリティ・フレームワークであり、継続的な検証に基づいてアクセ スを制御するための原則とポリシーを定義する概念的アプローチである。組織が ID、認証、および認可をどのように管理すべきかの戦略的指針を提供するが、提供 方法やツールは規定しない。

SASEはアーキテクチャ・モデルであり、クラウドを通じてどのようにネットワーキングとセキュリティ機能を提供するかの規定設計である。ゼロトラストのようなフレームワークを、SWG、CASB、ZTNA、FWaaSのような統合テクノロジーを使って運用システムに変換します。SASEは、分散ネットワーク全体でゼロトラスト・ポリシーを実施するためのインフラを提供します。

3.セキュリティ能力

返信用封筒は、セキュア・ウェブ・ゲートウェイ、データ損失防止、ファイアウォール、クラウド・アクセス・コントロールなど、複数のセキュリティ・サービスをアーキテクチャにバンドルしている。これらのサービスは、転送中のデータを保護し、コンプライアンスを実施し、ネットワーク・エッジでのアプリケーション・アクセスを保護する。主な利点は、エッジでのポリシー実施であり、認証後や複数のドメインにまたがる行動異常検知にはあまり重点を置いていない。

信頼ゼロは、アイデンティティ、認証、および最小特権アクセスに重点を置いている。そのセキュリティ・メカニズムには、多要素認証、マイクロセグメンテーション、継続的なリスク評価、およびアイデンティティ・ガバナンスが含まれる。SASEがネットワークを通じてデータがどのように流れるかをセキュアにするのに対して、ゼロ・トラストは誰がどのような条件で何にアクセスできるかをセキュアにする。

4.配備と管理

SASEは、管理されたクラウドネイティブなプラットフォームとして提供され、オンプレミスのハードウェアや複雑な統合の必要性を低減します。ポリシーは一元的に定義され、分散されたポイント・オブ・プレゼンスを通じて、ユーザー、ロケーション、デバイスにグローバルに適用されます。これにより、企業はネットワークの成長に合わせてセキュリティを容易に拡張することができます。

ゼロ・トラストの導入は、より戦略的で漸進的である。多くの場合、ID インフラストラクチャの近代化、内部ネットワークのセグメンテーション、 ユーザとデバイスを中心としたアクセス・ポリシーの再構築を伴う。管理には、ID プロバイダ、エンドポイント・セキュリティ、ポリシー・エンジンの間で調整を行い、環境間で一貫した実施を維持する必要がある。

5.パフォーマンスとレイテンシー

返信用封筒は、グローバルに分散されたクラウドエッジを経由してユーザーの近くにセキュリティサービスを提供することで、パフォーマンスを向上させます。SASEは、最も近い存在ポイントでトラフィックの検査とルーティングを行うことで、バックホールの待ち時間を最小限に抑え、特にSaaSやクラウドワークロードのアプリケーションパフォーマンスを最適化します。

ゼロ・トラストは、それ自体では本質的にパフォーマンスを最適化しない。検証を重視するため、ネットワーク・レイヤとうまく統合されていないと、認証のオーバーヘッドが増える可能性があります。しかし、SASEアーキテクチャを通して実装された場合、ユーザー・エクスペリエンスを低下させることなく、ゼロ・トラストの原則を効率的に実施することができます。

関連コンテンツガイドを読むゼロトラスト・アーキテクチャ

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、SASEとゼロトラストを企業戦略にうまく統合し、運用するのに役立つヒントを紹介します：

SASEをゼロトラストへの近道として扱わない：多くの組織は、SASEプラットフォームの採用が完全なゼロトラストの実装に等しいと誤解しています。現実には、ゼロ・トラストは、ほとんどのSASEベンダーがすぐに提供するものを超えて、アイデンティティ・ガバナンス、ポリシーの洗練、およびトラスト・モデリングに対する組織のコミットメントを必要とします。

ゼロトラストの成熟度をインフラだけでなく事業部門にマッピングする：ゼロトラストを一律に展開しない。各ビジネスユニットや機能（例：研究開発部門とマーケティング部門）のリスクプロファイルと感度を評価し、それに応じてコントロールを導入する。このような状況に応じたアプローチは、投資の優先順位付けと摩擦の最小化に役立ちます。

SASEをコンポーネントに分解し、ベンダーの統合性を高める：SASEは多くの場合、バンドルされたソリューションとして販売されていますが、既存のセキュリティ・アーキテクチャに適合する独自のCASB、SWG、ZTNAを選択するなど、最善のコンポーネントを評価し統合することで、より高い制御性と柔軟性を得ることができます。

ポリシー・アズ・コードを使用して、SASEとゼロ・トラスト・エンフォースメントを統一:インフラストラクチャー・アズ・コード・ツールを採用し、自動化されたパイプラインでアクセス・ポリシーとネットワーク・ポリシーを管理します。これにより、手作業によるミスを減らし、ポリシーの更新をスピードアップし、SASEインフラストラクチャ全体でゼロ・トラスト・エンフォースメントが一貫して展開されるようにします。

アクセス後のゼロトラスト決定を検証するために行動分析を活用する：最初のアクセス制御は非常に重要ですが、継続的なモニタリングも同様に重要です。UEBA（User and Entity Behavior Analytics）ツールを使用して、アクセス後の異常を特定し、リアルタイムで適応的なアクセス対応を実施します。

両モデルにおける可視性のギャップ：認証後の盲点

SASEもゼロ・トラストも、アプリケーションやデータへのアクセスを許可する前に、ユーザーとデバイスを検証し、フロントドアの安全を確保するように設計されている。しかし、最初のアクセスが許可されると、その制御はしばしば先細りになる。ユーザが認証された後はどうなるのか？ユーザが認証された後はどうなるのか？

認証後のアクティビティは、どちらのモデルにおいても重要な盲点である。セッションが確立されると、継続的な監視が行われない限り、侵害されたアカウントや内部脅威は検知されずに運用される可能性がある。従来の境界ベースのソリューションではこの問題を解決できず、動的な分散環境では事前アクセス制御だけに頼っていても十分ではない。

SASEとゼロトラストアーキテクチャの両方が、IDプロバイダ、アクセスゲートウェイ、エンドポイントエージェント、ネットワークサービスから大量のログを生成する。真のセキュリティ上の課題は、単にこのデータを収集するだけでなく、それをリアルタイムで分析し、行動の異常を発見することです。ユーザー、デバイス、リソースを横断してアクティビティを相関させる能力がなければ、組織はアカウントの不正使用やポリシー回避の微妙な兆候を見逃す危険性がある。

このギャップを埋めるために、企業は可視化と行動分析をオプションのアドオンではなく、コア要件として扱う必要があります。これは、UEBA、SIEM、セキュリティ分析プラットフォームのようなツールを統合し、異常なパターンを明らかにしてインシデント対応を自動化することを意味します。

ホリスティックなゼロ・トラストのフレームワークにおけるSASEの位置づけ

どのアーキテクチャを選択するにせよ、そのアーキテクチャ内の活動をどのように監視するかという問題に答えなければなりません。戦略を成功させるためには、すべてのSASEとZero Trustコンポーネントからデータを取り込み、ポリシー制御だけでは必然的に見逃してしまう脅威を検出することができる強力なセキュリティ分析プラットフォームが必要です。

SASEは、ゼロトラストの配信メカニズムとして機能し、その原則をネットワーク層に埋め込む。分散されたクラウドのエッジでIDベースのポリシーを実施することで、ユーザーの場所やデバイスに関係なく安全なアクセスを可能にし、ゼロトラストを運用します。ゼロトラストは、何をどのような条件で保護しなければならないかを定義していますが、SASEはそのような制御を大規模に適用するためのインフラを提供します。

包括的なゼロトラスト戦略には、アイデンティティ、エンドポイント、ネットワーク、アプリケーション、データにわたる可視性と実行が必要です。SASEは、ZTNA、SWG、CASB、DLPなどのサービスを統合プラットフォームに統合することで、ネットワークとアクセスレイヤーに対応します。これらのコンポーネントにより、リアルタイムのポリシー実施、継続的なセッション検証、アクセス中のデータ保護が可能になります。

SASEはゼロトラストに取って代わるものではありませんが、その実装の重要なコンポーネントとして機能します。例えば、ゼロ・トラストは、内部ツールにアクセスする請負業者に対して、最小特権アクセスを義務付けるかもしれません。SASEは、中央データセンターを経由せずに、本人確認、トラフィック検査、ZTNAポリシーによるアクセス許可を行うことで、これを実施します。

関連コンテンツゼロ・トラスト・セキュリティガイドを読む（近日公開予定）

ゼロ・トラスト対SASE：どう選ぶ？

ゼロトラストとSASEのどちらを選択するかは、どちらかを選ぶということではなく、組織のセキュリティ成熟度を理解することである。クラウド、オンプレミス、ハイブリッドの各環境で、誰が何にアクセスできるかを管理することが主な課題であれば、ゼロトラストを出発点にすべきです。ゼロトラストは、IDベースのアクセス、最小権限、継続的検証のための戦略的基盤を提供する。複雑な内部環境、レガシーシステム、または脆弱なアイデンティティガバナンスを持つ組織は、アーキテクチャの変更に多額の投資をする前に、まずゼロトラストの原則に焦点を当てるべきである。

SASEは、分散したユーザー、支社、クラウドアプリケーションにまたがるセキュアなアクセスとパフォーマンスが優先される場合に、論理的な次のステップとなります。従業員がリモートまたはハイブリッドで、ネットワーキングとセキュリティ配信を簡素化する必要がある場合、SASEはゼロトラストをスケールで運用する実用的な方法を提供します。

どのアーキテクチャを選択するにせよ、そのアーキテクチャ内の活動をどのように監視するかという問題に答えなければなりません。戦略を成功させるためには、すべてのSASEとZero Trustコンポーネントからデータを取り込み、ポリシー制御だけでは必然的に見逃してしまう脅威を検出することができる強力なセキュリティ分析プラットフォームが必要です。

信頼ゼロを実現するExabeam

ゼロ・トラストは組織のセキュリティ・アプローチを根本的に変えるものですが、その基本原則である「信頼せず、常に検証する」を効果的に実行するには、最初のアクセスからユーザーのセッション全体にわたって、継続的な可視化とインテリジェントな分析が必要です。エクサビームのセキュリティ・オペレーション・プラットフォームは、認証の前後における重要な盲点に対処し、すべてのユーザーとエンティティのアクティビティを継続的に検証することで、ゼロ・トラスト戦略を強化します。

Exabeamゼロの信頼を高める

• 認証前からアクセス後まで、継続的な検証を提供します：Exabeamの強みは、ユーザーとエンティティの行動を継続的にモニターし、分析できる点にあります。認証前の試行からアクセス後の活動まで.これにより、すべてのアクセス試行とその後のアクションが確実に検証され、「信頼は決して暗黙のうちに付与されるものではない」というゼロ・トラスト原則が強化される。これには、ログイン試行の異常、不審なアクセス要求、および最初の認証の前後の異常な動作の検出が含まれます。
• 認証関連の盲点をなくす：Exabeamは、ID プロバイダ、エンドポイント・セキュリティ、ZTNA ソリューション、クラウド・アクセス・セキュリティ・ブローカーなど、ゼロ・トラスト・アーキテクチャのすべてのコンポーネントから膨大な量のデータを取り込む。そして、このデータを高度な行動分析によって処理し、認証の段階でも従来のポリシー制御では見逃してしまうような異常を検出します。
• 先駆的な技術の活用行動分析: ExabeamのUser and Entity Behavior Analytics (UEBA)は、すべてのユーザー、デバイス、アプリケーションについて、正常な動作の動的なベースラインを構築します。これにより、通常とは異なるデータ・アクセス・パターン、権限昇格の試み、不正なリソース使用などの微妙な逸脱を特定することができます。
• 包括的なセッション・タイムラインの構築：個別のアラートではなく、Exabeam、個々のイベントをつなぎ合わせて完全なセッション・タイムラインを作成します。これにより、ユーザーのアクティビティ・ストリーム全体を理解するために必要な重要なコンテキストが提供され、ユーザーの現在の行動が、確立された行動プロファイルとゼロ・トラスト・ポリシーに合致しているかどうかを判断することが可能になります。
• リスク適応型認証の実現：Exabeamは、観察された行動に基づいて、ユーザーとセッションに動的なリスクスコアを割り当てます。このリアルタイムのリスク評価は、Zero Trustの適応的な性質を直接サポートし、組織がより厳格な管理を実施したり、多要素認証を起動したり、あるいはユーザーのリスク・スコアが上昇した場合に即座にアクセスを取り消したりすることを可能にします。
• 既存のZero Trustコンポーネントとの統合：Exabeamは、既存のZero TrustやSASEのデプロイメントとシームレスに統合するインテリジェンス層として機能します。異種のセキュリティ・ツールからのデータを相関させ、ユーザー・アクティビティのコンテキストを充実させ、セキュリティ・ポスチャの統一されたビューを提供することで、現在のセキュリティ投資の価値を最大化します。

継続的な行動ベースの検証を前面に押し出すことで、Exabeam、ゼロ・トラストの原則が単なる理論的ガイドラインではなく、デジタル・エコシステム全体で積極的に実施され、継続的に検証されることを保証する。