【図解】ゼロトラストとSASEの違いを詳しく解説

  • 投稿日
  • 更新日
  • 著者 佐藤日向子
  • カテゴリー ゼロトラスト

クラウドサービスの普及やリモートワークの増加に伴い、既存の境界防御型セキュリティでは対策しきれなくなりました。そこで、近年「ゼロトラスト」や「SASE」といった新しいセキュリティ概念が提唱され、様々な企業からゼロトラストに関する製品が提供されるようになっています。しかし、SASEとゼロトラストの違いを正しく認識できているでしょうか。本記事では、ゼロトラストとSASEの違い、関係性などについて解説していきます。

ゼロトラスト・SASEの概要

まずは、ゼロトラストとSASEの概要について解説します。

ゼロトラストの概要

ゼロトラストは、全ての通信(トラフィック)を危険と考え、必ず認証・認可・端末情報などを確認するという概念です。近年まで主流だった、「内は安全、外は危険」とする境界防御型とは大きく異なるセキュリティ概念と言えます。

以上の説明からも分かる通り、ゼロトラストは非常に抽象的なものです。より具体的に記述しているものとして、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が「SP 800-207 Zero Trust Architecture(2nd Draft)」を発行しています。ここでは定義と7つの基本原則を以下のように定めています。

ゼロトラストの定義

「ネットワークが侵害された場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小限の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のこと。」

ゼロトラストの基本原則

  1. データソースとコンピュータサービスは、全てリソースと見なす
  2. 「ネットワークの場所」に関係なく、通信は全て保護される
  3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
  4. リソースへのアクセスは動的なポリシーによって決定される
  5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
  6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
  7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

参考:『NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳』

上記の基本原則と7つの定義をもとにしたセキュリティ概念がゼロトラストになります。
ゼロトラストについて詳しくはこちらの記事をご覧ください。
「ゼロトラストモデルとは」

SASEの概要

SASEはSecure Access Service Edgeの略で、2019年に米調査会社Gartner社が発表した新しいセキュリティ概念・枠組みに該当します。コンセプトとしては、テレワークやモバイル化に伴い、個人が自由な働き方へと移行しても、安全で快適なインターネット接続を実現するセキュリティを提供するものです。

SASEが誕生したきっかけとしては、モバイル化やインターネットの普及、テレワークの増加により、オフィス以外から業務を行うことが増えたことが挙げられます。従来の構成では、快適性や安全性に問題があったため、新しいSASEという概念が誕生しました。

安全で快適にインターネットに接続できるよう、ネットワーク機能とセキュリティ機能の2つを組み合わせて、SASEを構成しています。

SASEについてはこちらの記事をご覧ください。
「SASE(サシー)とは?概要から製品導入までわかりやすく解説」

ゼロトラストとSASEの違いとは

上記の概要をまとめると、それぞれ以下のように表せます。

  • ゼロトラスト:全ての通信を疑うという考え方のセキュリティ概念
  • SASE:安全で快適なインターネット接続を実現する、セキュリティの枠組み、製品群

つまり、ゼロトラストの概念の一部を実現するのが、SASEに該当します。
ゼロトラストとSASEの関係性を図示すると、以下のようになります。

ゼロトラストとSASEの違い・関係性

上図のようにゼロトラストとSASEは概念レベルが異なっているものになります。

図内で表記されている他のソリューションはこちらの記事で紹介しております。
「ゼロトラストを導入する4つのステップについて詳しく解説」

まとめ

ゼロトラストは様々な構成要素が必要で、純粋に全ての製品を導入したらいいというわけではありません。しかし、SASEはゼロトラストで重要なネットワークとアクセスに関するセキュリティをカバーしており、ゼロトラスト実現には不可欠とも言える枠組みと言えるでしょう。ただし、拙速で製品を導入するのではなく、企業内で抱える課題やセキュリティホールをしっかりと分析し、それに最適な対策・製品導入を進めていくべきでしょう。

かもめエンジニアリングでは、SASEの構成要素であるZTNA、KeygatewayC1を提供しております。ご興味、ご相談がある方はお気軽に下記フォームよりご連絡ください。

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら

※フリーメールでのお問い合わせは受け付けておりません。

必須
必須
必須
必須
必須
必須
必須
お問い合わせに関する個人情報取扱い同意書