成熟し実用的な状態にある包括的で測定可能なゼロトラスト・プログラムの実装は、ノイズや誇大広告に満ちた気の遠くなるような道のりになる可能性がある。Gartner Distinguished VPのAndrew Lerner（アンドリュー・ラーナー）氏は、同社の最新のゼロトラストネットワーキングのハイプ・サイクルを使用し、ゼロトラスト及びセキュアアクセスサービスエッジ（SASE）への移行を支援する方法を説明した。

顧客の興味、混乱、そしてゼロトラストにまつわる宣伝を考慮した結果、Gartnerは新しいハイプ・サイクルを導入した。このハイプ・サイクルでは、最も関連性が高く宣伝されているゼロトラスト技術を19にカテゴリー分けしている。Lerner氏はSDxCentralに対し、レポートでは定義を説明し、これらの各テクノロジーに関する具体的な推奨事項を提供していると語った。

「ゼロトラストは今、クラウドやソフトウェア定義のような言葉のように多くの人が使っているため、それが誰にでも何かを意味しているように見えますが、実際には誰に対しても何も意味していない状態です」と氏。「私たちのクライアントが抱える一つの問題は、本当にゼロトラストの特性を持つものと、単にベンダーの宣伝だけのものを区別することが難しいということです」と述べた。

Gartnerはレポートの中で年間売上が10億ドル以上かつ従業員数が1,000人以上の大企業のうち、総合的で成熟し、測定可能なゼロトラスト・プログラムを導入している割合は、2023年時点の1％未満から大きく増加し、将来的には10％に達すると予測している。

包括的で成熟しており測定可能なゼロトラスト・プログラムとは、どのようなものを指すのだろうか？「包括的とは、広範で堅牢で、組織に深く根付いていることを意味します。成熟とは、まだ始まったばかりではなく、十分に確立されていることを意味します。測定可能とは、実際にゼロトラスト・プログラムを指摘し、具体的なメリットを特定できることを意味します」とLerner氏は述べ、
ゼロトラスト・プログラムの成熟度を測定することは難しく、多くの要因が関与していると認めた。「ゼロトラスト・プログラムの成熟度を測定する方法の１つは、組織内のいくつの部門がゼロトラストとは何か、自部門の技術がゼロトラストにどのように影響するか、を理解しているか見ることです。また、率直に言うならば、いつからそうした成熟をしているか。ある場合には時間も要素になります」と氏は述べた。

組織が採用すべきゼロトラスト・テクノロジーとは？

Gartnerの新しいハイプ・サイクルでは、19のゼロトラスト・ネットワーキング・テクノロジーを成熟度に基づいて5段階に分類している。

1. イノベーションのトリガー: エンタープライズのブラウザ、サービスとしてのエクストラネット、継続的アクセス評価プロファイル (CAEP)、統合エンドポイント セキュリティ、ネットワーク アシュアランス、マネージド・セキュア・アクセス・サービス・エッジ (MSASE)、ユニバーサル ZTNA、サービス接続レイヤー、ハイブリッドメッシュファイアウォールプラットフォーム
2. 膨らんだ期待のピーク:セキュリティ サービス エッジ (SSE)、ゼロトラスト戦略、Kubernetesネットワーキング
3. 幻滅の谷: デジタル エクスペリエンス モニタリングと SASE
4. 啓発の方向性: ゼロトラスト ネットワーク アクセス (ZTNA)、openID 接続、マイクロセグメンテーション、コンテナ セキュリティ、およびリモート ブラウザ分離
5. 生産性の停滞期: なし

「ハイプ・サイクルの右側にある成熟した技術は、より広く採用されており信頼性も高いですが、初期の導入には必ずしも最適ではない場合があります。代わりに、特定の要件に合った最適な技術は、ハイプ・サイクルのピークや左側にある場合もあるということです。それぞれの企業や組織のニーズや状況に合わせて、最善の技術を選択することが重要です」とLerner氏は述べた。

組織は自らのリスク許容度に基づいて、ハイプ・サイクルを活用する際にどの段階の技術を採用するかを検討する必要がある、と同氏は述べている。リスクを取って大きな報酬を狙うのか、安定して採用されている技術を選ぶのか、それぞれの利点と欠点をよく理解した上で判断することが重要だ。

SSE、SASE、マネージドSASEからの選択

Gartnerのレポートでは、SSE（Secure Access Service Edge）がピークのハイプにあると指摘する。「これは、パブリッククラウドやSaaSサービスに関連するトラフィックフローの変化、そして組織がセキュリティツールとベンダーを統合したいという要望によるものです」SSEは、5％から20％の市場浸透率を持ちながら、思春期の成熟度レベルに達している。

SSEのサンプルベンダーには、Broadcom、Cisco、Cloudflare、Forcepoint、iboss、Lookout、Netskope、Palo Alto Networks、SkyHigh Security、Zscalerなどがある。

SASEは、「多くのテクノロジー・ベンダーによる誇張されたマーケティングのせい」で谷底に深く沈んでいる。成熟度と市場浸透率はSSEと同レベルである。
SASEのサンプルベンダーには、Cato Networks、Cisco、Cloudflare、Forcepoint、Fortinet、Juniper Networks、Netskope、Palo Alto Networks、Versa Networks、Zscalerなどがある。

マネージド SASE は増加傾向にあり、設計、移行、構成、インストール、運用、管理を含むSASE 機能のライフサイクル全体をマネージドサービスとして提供する。その成熟度は高まりつつあり、対象ユーザーの 1% ～ 5% に浸透している。
これら3つのテクノロジーからどれを選ぶかは、組織の構造、規模、能力に大きく依存する、と氏は指摘する。

大規模な組織では、異なるベンダーの製品を組み合わせることで、SASEを実現しようとすることがある。これは、既存のネットワーキングやセキュリティ技術の実装が複数存在し、それらが独立して管理されている場合に、収束を困難にすることがあるからだ。「重要なのは、SSE 機能とSD-WAN機能を明確に統合しているベンダーを選択することです」と氏は述べる。
一方、小規模ながら十分に統合されたチームを擁する中堅企業は、統一された管理とシンプルさを求めて、単一ベンダーのSASEアプローチに傾くかもしれない。

マネージドSASEは、こうしたシステムを設計、実装、運用する専門知識が不足している組織にとって望ましい選択肢となる。例えば、「マネージド・ネットワーク・サービスやマネージド・セキュリティ・サービスを導入しているが、その導入を管理するための強力で深い、あるいはスケールの大きなチームを持っていない従来の組織です」と氏は述べた。

How to use Gartner’s Hype Cycle for your zero-trust and SASE strategies