『概念から実用へ』、既にバズワード化しているのではないかと思ってしまう「ゼロトラスト」。実際に導入するとなるとどのようなサービスや機器が必要になるのでしょうか。
“決して信用せず、常に検証する”という「ゼロトラスト」の概念を実現するセキュリティ製品がここにきて続々と登場しています。
今回は「ゼロトラスト」の生みの親、Forrester社が発表した、ゼロトラストセキュリティを牽引する企業トップ14を紹介します。
是非導入の際の予備知識として覚えておいてください。

ゼロトラストソリューションを提供する企業トップ14

繰り返しになりますが、”すべてを疑い、すべてを確認する”という概念「ゼロトラストモデル」は、アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ（John Kindervag）氏が2010年に提唱しました。Forrester社では、その後、2018年11月に「Zero Trust eXtended (ZTX)フレームワーク」と改めています。

そのForrester社が2019年10月、「Zero Trust eXtended Ecosystem Platform Providers, Q4 2019」において、ゼロトラストソリューションを提供するベンダー14社を発表しています。この14社は、ゼロトラストを推進する企業であり、ゼロトラストの元祖であるForrester社が特に認めた企業ということになります。
Forrester社が注目すべき企業として発表した14社と評価対象製品の一覧は、下表のとおりです。

Googleについては、自社の為に使っていたサービスを展開した「BeyondCorp」の記事でご存じとは思いますが、その他にもセキュリティ関連で名の知れるSymantecやCheck Point、SSOのイメージが強いOktaなど、様々な企業が選出されています。

 

ゼロセキュリティを牽引するリーダー5社

更にForrester社は、この14社の中から、ゼロセキュリティを牽引するリーダー企業として、次の5社を選出しています。
リーダーの選出理由も含めて紹介します。

Palo alto Networks

Palo alto Networksは、最初にゼロトラストを採用したベンダーの1つです。なぜなら、ゼロトラストの概念を提唱したジョン・キンダーバーグ（John Kindervag）氏も現在はPalo alto Networksに在籍しているからです。

Palo alto Networksが考える、ゼロトラストを実現する最も簡単かつ唯一の方法とは、インフラ全体で防御機能を検証・認証・適用する、アーキテクチャと製品を持つことです。

結果として、同社はポートフォリオを拡大し続け、「Puresec」・「redLock」・「Twistlock」といった多数のベンダーを買収しています。

このため、Palo alto Networksは、ゼロトラストを構築するために必要な全ての要素を備える企業になった一方で、そのツールは多岐にわたり、UIもツールごとに異なっています。

Forrester社は、これらのツールが完全に統合・統一するまでには数年を要するため、Palo alto Networksのソリューションを採用した場合、一定期間、様々なツールやUIに精通する必要があると評価の中で言及しています。

Cisco

Ciscoは、ゼロトラストを実現するセキュリティソリューションを提供していくため、膨大な時間とコストを投じてCisco製品のポートフォリオを再構築しました。その後、統合型のセキュリティ戦略「ゼロトラスト セキュリティ」を発表し、ゼロトラストセキュリティ企業であることをアピールしています。

Ciscoの新しいセキュリティ戦略で重要な位置を占めるのが、ネットワークセキュリティと認証関連クラウドサービスを手がける「Duo Security」の買収です。Ciscoは、買収によりユニファイドアクセスと多要素認証関連市場で足場を固め、セキュリティ業界で優位に立とうとしています。

また、ワークフォース（Workforce）・ワークロード（Workload）・ワークプレース（Workplace）の3つの「ワーク」の観点からゼロトラストを実現する、CiscoのWWWアプローチも高く評価されました。

Illumio

Illumioは、ネットワークのマイクロセグメント化に強みを持つ企業です。
ゼロトラストモデルを実現するための7つの要件のうちのひとつが、マイクロセグメント化（ネットワークを小さな論理セグメントに分割すること）です。マイクロセグメント化により、データセンターやクラウド内で万が一、問題が発生した場合でも被害の拡散を防止できます。

「Illumio Adaptive Security Platform（ASP）」は、Illumio独自のセキュリティプラットフォームで、病院のMRI検査のようにデータセンター内を可視化して、脆弱性などのセキュリティ上の問題を瞬時に解析します。

Illumioは、マイクロセグメント化技術の高さと独自性が評価され、ゼロセキュリティ企業のリーダーに選出されています。

Akamai Technologies

米大手ネットワーク事業者のAkamai Technologiesと言えば、CDNと思い浮かぶ方が多いのではないでしょうか？　エンタープライズ・セキュリティの領域にも進出しており、ゼロトラストを重要な戦略として位置付けています。

Akamai Technologiesのゼロトラストソリューションは、クラウドサービスの課題を解決することを目的として、

認証・認可機能を強化して過剰なアクセス権限の付与を防ぐことにより、万が一、マルウェアに感染したり、内部犯行者が現れたりしても、その不正行為の影響を最小限に留めることができます。

また、ユーザーや企業に対して、ゼロトラストの概念や利点に関するトレーニングコースを公開していることも、Akamai Technologiesが高く評価された点です。

Okta

米国のクラウド管理サービス企業Okta（オクタ）が提供する「Identity as a Service（IDaaS）」が、「Okta Identity Cloud」です。
Oktaのゼロトラストセキュリティへのアプローチは”ID管理”に集約されます。

「Okta Identity Cloud」は、「Microsoft Office 365」や「Box」など、5,500以上のクラウドサービスやアプリケーションと連携して、アカウント・アクセス権限などをクラウド上で管理します。

2018年、Oktaは、ゼロトラストを前提としたアクセス管理を実現する製品を開発する企業「ScaleFT」を買収しました。これにより、Oktaは、VPNに置き換わる安全なリモートアクセスを提供する能力を取得しています。

 

 

このように「ゼロトラスト」を実現するセキュリティ製品は、実に様々なアプローチで設計されており、どの製品も似ていて選べないという悩みは抱えずに済みそうです。

ゼロトラストを実現するセキュリティ製品を検討する前に、自社内でセキュリティ方針を明確に決定して、自社の方針と合致したセキュリティ企業・製品を選ぶべきかもしれません。

 

次回、「「ゼロから学ぶ」ゼロトラスト#6」では、実際にゼロトラストセキュリティを導入した企業やその状況について紹介します。

 

【執筆：編集Gp　近藤真理】