CASB と ZTNA はどちらかではなく、両方採用すべき：その理由とは?

大規模なセキュリティ関連のカンファレンスで展示フロアを歩いていると、アルファベット頭文字の用語が氾濫していて混乱します。これらは現代のサイバーセキュリティ空間におけるリモートアクセスへのニーズに応えるためのテクノロジーです。特にCloud Access Security Brokers（CASB）とZero Trust Network Access（ZTNA）は本来違うものですが、同じ意味で使われることが多いようです。

CASBは10年以上前から多くの企業で使われており、SaaSアプリケーションの保護と管理を行っています。一方でゼロトラストのコンセプトは以前からありましたが、Zero Trust Network Access（ZTNA）は比較的新しい概念です。これはアプリケーションへのアクセス制御だけでなく、アプリケーションと連携したセキュリティ制御を実装することで信頼性を確保するという、多くの可能性を秘めた新しいテクノロジーです。

パンデミックの発生により、CASBとZTNAの両方への関心が高まりました。米調査会社のGartnerは、今後5年間におけるCASBの年平均成長率は40％に達し、ZTNAの導入も加速すると予測しています。企業はクラウドへの移行を加速させるだけでなく、世界中に散らばる完全なリモートワーカーをサポートする必要に迫られているのです。これは、企業が長年かけて構築してきたオンプレミスのデータセンターでは対応できません。

その結果、CASBとZTNAはSASE（Secure Access Service Edge）フレームワークの主要なコンポーネントとなりました。このフレームワークでは、従業員がいつでも、そしてどこからでも安全に仕事ができるように、セキュリティツールとSD-WAN機能が組み合わされています。今ではリモートで業務を行う社員だけで無く、オフィスに戻る社員も増えつつあるため、企業はアプリケーションセキュリティ戦略を迅速に変化させ、進化し続けるハイブリッドな業務環境を保護し続けなければなりません。

CASBとZTNAは、全体的なアプリケーションセキュリティ戦略の一部として今後も密接に連携して行くでしょうが、（少なくとも当面は）それぞれに異なるユースケースが存在します。

CASB を使用するケース：

パブリッククラウドに保存されたリソースを保護する

SaaSのように、アプリケーションをすべてクラウド上でホストしている企業は、CASB採用の有力な潜在顧客となります。この分野はCASBが得意とするところであり、ユーザーも慣れ親しんでいます。また価格的にもこなれているため、予算が限られているITセキュリティ部門にとっても魅力的です。

シャドーITを可視化する

見えていないものは、守ることができません。シャドーIT（従業員がクラウドサービスを不正に利用すること）は、企業のIT活動の多くの部分を占めており、セキュリティインシデントのリスクがより高くなると言われています。CASBはシャドーITを可視化し、企業がシャドーITをコントロールできるよう支援します。

法規制を遵守する

業界によっては、多くの厳しい規制の対象になる場合があります。CASBは、クラウドサービスの利用状況を監視しポリシーによる制御を行うことで、これらの規制に準拠するためのシンプルなソリューションを提供します。

レガシーなVPNを拡張する

かつては絶大な信頼を得ていたVPNは、パンデミック後のリモートワーク環境ではうまく機能していません。VPNは、全従業員がリモートから業務を行うような状況下では、単純に拡張性を発揮できなかったのです。CASBは、VPNでは実現できないコンピューティング環境全体の可視性を提供し、ITセキュリティがアプリケーションの使用状況をよりよく理解し、ネットワーク資産をよりよく管理できるようにします。

CASBは強力なセキュリティツールです。しかし、あらゆる状況に対応できるわけではありません。

ZTNA を使用するケース：

プライベートアプリケーション、またはプライベートとパブリッククラウドが混在するアプリケーションを保護する

CASBだけでは、現代の企業のセキュリティニーズをすべて満たすことはできません。2019年の時点では、98%の企業がオンプレミスのサーバーを利用していましたが、CASBではほとんど、またはまったく可視化できていませんでした。また現状のCASBでは、急速に増加するSaaSアプリに対応することができません。しかしZTNAなら、ネットワーク全体を可視化することができます。

セキュリティ制御をアプリケーションに近づける

ZTNAは、アプリケーションへの安全なアクセスを可能にするだけではありません。DLP違反や悪意のあるファイルのアップロード/ダウンロードのスキャン、アプリケーションを読み取り専用にするなど、重要なセキュリティ制御をプライベートアプリケーションに確実に連携させることができます。ZTNAは、CASBにはできない内部サイトへのアクセスが可能なため、イントラネットへのアクセスが必要な企業に特に適しています。これはVPNとは対照的です。

アクセスを制限する

時にはSalesforceのようなSaaSアプリでさえ、アクセスを制御するために特定のIPアドレス範囲を設定しなければならないことがあります。この場合、ユーザーがVPN経由でSaaSアプリに接続することで、アプリはIPアドレスが制限内にあることを認識します。CASBはこのような制限には対応できませんが、ZTNAソリューションはSaaSアプリに接続するための定義済みのロケーションとして使用できるため、セキュリティを強化できます。

社内アプリの利用状況を把握する

セキュリティチームは堅固なアプリ戦略のために、社内のアプリケーションの使用状況を把握する必要があります。その情報を基に、ITセキュリティチームはアプリとその使用に関するセキュリティポリシーを策定することができます。

プライベートアプリケーションを非公開にする

ZTNAソリューションの中には、プライベートアプリケーションにもパブリックアドレスを要求するものがありますが、プライベートアプリケーションを外部の目に触れさせないようにできるものもあります。ZTNAインフラを通じてのみ、これらのアプリケーションにアクセスできるようにすることで、プライバシーを最大限に確保しながらアクセスを許可することができます。

脅威を迅速に検知し、処理する

ZTNAは、ネットワークとそのシステム全体にわたる真のエンドツーエンドの可視性を提供します。防御者側がアプリケーションとその使用に関するセキュリティポリシーを設定できるだけでなく、脅威の可能性のある活動や行動をより迅速に検知し、それを阻止することができます。

両者の良い部分を組み合わせる

現実の世界では、多くの企業がすでにCASBを導入し、従業員やサードパーティ、請負業者がCASBを使いこなすようになっています。このソリューションは、現在でもSaaSアプリケーションの保護という重要な役割を担っています。しかし、将来はZTNA、あるいは少なくとも分散した従業員が必要とするすべてのアプリケーションを保護し制御できる2つの技術が混合した環境に向かうでしょう。

したがって現代の企業は、SaaSとプライベートアプリケーションの両方を包含する、より広範なアプリケーションセキュリティ戦略を構築する必要があります。この戦略には、管理の優先順位付けが不可欠です。サポートしなければならないアプリケーションが複数あっても、アプリケーションに関するポリシーを作成する際には、使い慣れたフォーマットで作れるようにすべきです。そうでなければ、管理者が複数のツールを習得する必要があります。アプリ空間全体の保護と監視に真剣に取り組んでいる企業は、可視化のための集中管理できるコンソールを備え、ZTNAへと進化させられるソリューションを探すべきです。