Categories: セキュリティ

ゼロトラスト考察 – The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020

日本時刻 2020/9/25（金）早朝に、 “The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020“ がリリースされました。これは前回のエントリの後半で紹介・引用した Forrester社のゼロトラストベンダー評価レポートである “The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q4 2019“ からの更新版です。前回のリリースから一年弱が経過しましたが最新情報として、再度このレポートの位置づけ、2019年版からの異なる評価項目、Forrester社からの新基準、基準の重要性の変更点、そしてCiscoのゼロトラストに対する評価内容などをまとめます。

ゼロトラストの重要性の変化

2020年ではCOVID-19による危機的影響により、本来組織におけるこれまでのゼロトラストの実装において何年もかかるかもしれないと思われていた「長旅」が大きく加速され、この影響により世界中の組織のワークフォースがこれまで定義されていたネットワーク境界の外に大きく押し出されることになりました、これによりZero Trust eXtended (ZTX) の原則を踏襲するセキュリティ体制を余儀なくされている、と現状を分析されています。これは誰もが共通に感じている、また、ゼロトラストそのものが何かということをそれほど意識することを必要とせず、ゼロトラストに関係し得る要素がこれから必要になっていくセキュリティの要素であると核心できるきっかけとなる、大きな状況変化だったと言えます。

ゼロトラストには異なるプラットフォームとアプローチがある

ゼロトラストにおける理解を困難にさせる一つの理由としても誰もが共通に感じることは、どのベンダーも異なる実装を提案しているということがあるかもしれませんが、この点については改めて言及されています。これは例として過去の定義であったFirewallによるゼロトラストだけでは無い、またはクラウドアクセスに対するゼロトラストだけでは無いという点です。

Zero Trust eXtended (ZTX) の原則を実現できるアプローチの実装技術要素として、Zero Trust eXtended (ZTX) の主要ピラーと共通する、前回の評価軸と同様な以下の7つの主要ゼロトラストアーキテクチャテクノロジーに加え、「Manageability and Usability (管理性とユーザビリティ)」、「API」の充実度、そして本レポートで追加された「Future State of Zero Trust Infrastructure (ゼロトラストインフラの将来像)」という点について、ゼロトラストプラットフォームベンダーがこれらをどれだけ広くカバーすることができるかという点で評価されています。

network security
device security
people/identity security
workload/application security
data security
security visibility and analytics
security automation and orchestration
Manageability and Usability
API
Future State of Zero Trust Infrastructure

以下、ゼロトラストベンダーによる異なるプラットフォームが提供されおり選択できることを前提として、その中からプラットフォームを選定するべき要素として重要視するポイントが示されています。

ゼロトラスト実装を継続できる活動

COVID-19の影響においてゼロトラストの実装、検討は加速されたことは事実ですが、それでも組織のプランであるゼロトラストは「長旅」であることはこれまでと同様に言及されています。この状況において、Zero Trust eXtended (ZTX) ベンダーは組織の既存投資を保証しながら長期計画に寄り添い支援、継続的に機能調達をできるベンダーを選択することが重要であるとされています。「長旅」であるゼロトラストに対して将来的なソリューションへの投資、継続性を期待できるベンダー選定がポイントになると考えられます。

ゼロトラスト実装におけるユーザ体感の向上と維持

従業員・エンドユーザ側へ新しく適用するゼロトラストプラットフォームの導入に対し、その体感低下を最低限に抑え、同様にシームレスに必要な追加型ゼロトラストセキュリティ機能を適用できるという点が重要であるとされています。仮に体感低下を理由に新しい機能を利用者側で回避できてしまう実装であれば有益ではありません。これまでの利用体感を維持しつつ、ゼロトラストの実装を追加してもユーザにとって煩わしさを感じさせない、気づかせない実装ができるプラットフォームの選定が望ましいとされています。

既存システムのリプレースを必要としない

過去・従来の「境界セキュリティアプローチ」による既存のセキュリティツール、古いセキュリティ対策ハードウェア、またはエンドポイントのソフトウェアは、基本的に更新のたびに過去の実装を削除し更新することが前提になっていました。過去に実装したセキュリティツール、プラットフォームをリプレースすることは、少なからず組織への人的リソース、コストに対しマイナスに働きます。現在のデジタル化、モバイル化に合わせた、現在の主要なゼロトラストプラットフォームの主要なアプローチとしては、こうしたリプレースの必要性を最低限抑える実装が主流になっているとされています。こちらに関して特に具体的なプラットフォームの例について触れられてはいません。SASE (Secure Access Service Edge) のようなクラウド提供型セキュリティプラットフォームが一つの例としてリプレースを最低限に抑えることが可能な選択肢であると考えることができます。

前回のレポートと同様にシスコはゼロトラストベンダーとしてのリーダーポジションの評価を獲得しました

シスコへの評価の主要ポイントは以下のようにまとめられています。

シスコシステムズは正しい道でゼロトラストを広げています

Duo Security の機能提供は、Cisco のゼロトラストのメインピラーである、Cisco WWW (Workforce, Workplace, Workload) 機能に全体に対して完全に統合が可能
Zero Trust eXtended (ZTX) に基づく Cisco のアプローチは、統合された分析と自動化された意思決定を提供でき、インフラ全体にまたがるセグメンテーションコントロールを展開できる
Ciscoのゼロトラストの既存顧客は改善されたUIとシステム全体の能力を高く評価している
十分に構築されたセキュリティ装置を導入しモバイル化を進めている組織は、Ciscoが提供する機能を強化することを検討すべきである

評価項目

縦軸 : 現在の提案力 (current offering)
提供可能なソリューションの強さ
ソリューション基準 : network security, data security, workload security, people/workforce security, device security, visibility and analytics, automation and orchestration, manageability and usability, APIs
横軸 : 戦略 (strategy)
ゼロトラスト戦略の強さ、ロードマップと差別化、市場アプローチ、技術開発等

評価対象ベンダー

Forrester社の本評価レポートの対象ゼロトラストベンダーとして、予め以下の条件にて15社（昨年度は14社）が選定されている
ゼロトラストにおける固有収益が最低限として2,000万ドルの実績がある（昨年度は最低2,500万ドルの収益という条件）
Zero Trust eXtended (ZTX) 提供可能テクノロジとして前述カテゴリより4つ以上を提供できる（昨年度はテクノロジーカテゴリから最低3種類のテクノロジを提供できるという条件）
Zero Trust eXtended (ZTX) に合致できる将来的戦略が示されている
統合のための定義された、文書化されたAPIがあり、多数のパートナー連携が可能
Forrester社のクライアントが、ゼロトラストベンダーとして常に候補に挙げている
ゼロトラストを自社内で展開、実証している