自動化されたネットワーク制御で実現するゼロトラスト

ゼロトラストは、現代の企業における主流のセキュリティモデルとなっています。それには明確な理由があります。現在、ユーザー、デバイス、アプリケーションは従来の企業ネットワークの境界内に収まっているわけではありません。業務はあらゆる場所で行われ、デバイスは多様化し、アクセス経路も絶えず変化しています。しかし、多くの組織がゼロトラストの考え方には同意しているものの、それを実際に運用へ落とし込むことに課題を抱えています。

そこで登場するのが Extreme Platform ONE™ Security です。クラウドベースのネットワークおよびアプリケーションアクセス制御（NAC + ZTNA）をIDプロバイダー（IdP）およびモバイルデバイス管理（MDM）システムと統合することで、IDおよびデバイスのシグナルは、有線およびワイヤレスネットワーク全体で自動化されたゼロトラストの適用へと変換されます。

ゼロトラストのギャップ：シグナルがあっても適用されていない状態

ほとんどの組織には、すでにゼロトラストの構成要素が導入されています。

• IDプロバイダーがユーザー認証とロール付与を行う
• モバイルデバイス管理（MDM）プラットフォームがデバイスの所有者と状態を確認する
• ネットワーク基盤ユーザー・デバイス・アプリケーションを接続する

しかし、これらのシステムは多くの場合サイロ化しています。認証の判断はネットワークと連携せずに行われ、デバイス状態は確認されても、アクセス制御に一貫して反映されないことがあります。ネットワークポリシーは静的で手動に依存しており、有線・無線・リモートアクセスで一貫性なく適用されています。その結果、ネットワークは「制御を行う主体」ではなく、単なる通信の通り道として機能するだけになってしまいます。その結果はどうなるのでしょうか？

• ユーザーまたはデバイスの信頼レベルを超える過剰なアクセス権限
• アクセス方法全体での一貫性のないポリシー適用
• 管理されていない、準拠していない、または侵害されたデバイスからの**リスクの増大**

ゼロトラストでは、IDやデバイスの信号を検証するだけでは不十分です。リアルタイムの信頼に基づいてすべての接続に最小限のアクセスレベルが付与されることを保証するため、ネットワークにおける継続的かつ自動化されたポリシー適用が必要になります。

Extreme Platform ONE Security：ゼロトラスト適用エンジン

Extreme Platform ONE Security は、ID、デバイス、ネットワークのコンテキストを単一のクラウドベースのアクセス制御ソリューションに接続する適用層として機能します。最新のクラウドネイティブNACとZTNAを組み合わせたソリューションとして、以下を提供します：

• IDベースのネットワークとアプリケーションのアクセス制御
• 有線およびワイヤレスアクセス全体にわたる集中ポリシー管理
• IDとデバイス状態に基づくリアルタイムの強制

静的なネットワークルールに依存するのではなく、Extreme Platform ONE Security は信頼を動的に評価し、ユーザーがどのように、あるいはどこから接続しても、アクセスを一貫して適用します。

ID認識アクセスとIdP連携

IDはゼロトラストの基盤です。アクセスを許可するか否かはIDのみで決定されるのではなく、どの程度のアクセスが適切であるかによって決定されます。Extreme Platform ONE Securityは、Microsoft Entra ID、Okta、およびGoogle Workspaceなどの主要なIDプロバイダーと統合し、IDコンテキストをネットワークアクセスの判断に直接取り込みます。これらの統合を通じて、Extreme Platform ONE Security は取り込むことが可能です。

• ユーザーID と グループメンバーシップ
• 役割と組織のコンテキスト
• 認証属性

これにより、どこから接続しているかだけでなく、ユーザーが誰であるかに基づいてポリシーが適用される、**アイデンティティ認識型ネットワークアクセス**が可能になります。例：

• 従業員、請負業者、およびパートナーには、異なるアクセスレベルが自動的に付与されます。
• 特権ユーザーは、特定のセグメントまたはリソースに限定することができます。
• アクセスポリシーは、ネットワーク層における最小権限の原則に適合します。

MDM統合によるデバイス信頼の適用

ゼロトラストは、デバイスそのものへの信頼も求められます。Extreme Platform ONE Securityは、Microsoft Intune、Jamf、Google Workspaceのような主要なMDMプラットフォームと統合し、リアルタイムでデバイスのポスチャを評価し、アクセスを適用します。MDM連携により、Extreme Platform ONE Securityは判断できます。

• デバイスが企業所有であるか、BYODであるかに関わらず
• デバイスの遵守状況 (OSバージョン、暗号化、状態)
• 登録および管理の状態

このデバイスのコンテキストは、ネットワークアクセス決定における第一級の入力となります。Extreme Platform ONE Securityは以下を可能にします：

• 管理され、準拠した**デバイスには適切なアクセスが自動的に付与されます**。
• 管理されていない、または非準拠のデバイスは制限または隔離されます
• デバイスポスチャの変更は、**即時ポリシー適用**をトリガーします。

Extreme Platform ONE™ Securityは、IDコンテキストを活用して、ネットワーク層で最小権限のアクセスを自動的に適用し、ユーザータイプと権限レベルに応じてアクセス許可を継続的に調整します。

どこでも適用される単一のポリシー：アイデンティティ、デバイス、ネットワークコンテキスト

IDとデバイスのシグナルが単一の統合されたポリシーに統合されることで、Extreme Platform ONE Securityの真の力が発揮されます。有線、ワイヤレス、ユーザー、デバイスの個別のルールを管理するのではなく、組織は、以下を組み込んだポリシーを定義できます。

• ユーザーIDとロール（IdPから）
• デバイス信頼とコンプライアンス（MDMから）
• 接続タイプとネットワークコンテキスト

それらのポリシーは、有線およびワイヤレスのアクセス全体で一貫して適用され、ギャップや矛盾を解消します。この統合アプローチは、2つの重要なゼロトラスト成果を実現します。

• 一貫性—ユーザーがどのように接続しても、同じセキュリティ態勢が適用されます。
• 自動化：IDまたはデバイスのコンテキストが変化すると、アクセス決定が自動的に適応します。

Extreme Platform ONE Security は、ゼロトラストシグナルを認識するだけでなく、それに基づいて対処します。ゼロトラスト強制適用は、反応的ではなく、継続的かつ適応的になります。

実世界の活用事例

組織はExtreme Platform ONE Securityを、以下を含む幅広いゼロトラストへの取り組みをサポートするために活用しています。

• ハイブリッドなワークフォースアクセスとID認識型ポリシー
• VPNに依存しないBYODおよびコントラクターの安全なアクセス
• エージェントレス検出による IoT および管理対象外デバイスのセグメンテーション
• 規制対象業界向けのコンプライアンス主導型執行

各ケースで、ネットワークプラットフォームは、ユーザーの身元、使用デバイス、およびその信頼性に基づいてアクセスを許可します。

ゼロトラストの実用化

ゼロトラストは単一の製品ではなく、統合、コンテキスト、適用に基づいて構築されたセキュリティモデルです。

• IdPシステムはユーザーが誰であるかを答えます。
• MDMプラットフォームはデバイスの信頼性を検証します
• Extreme Platform ONE Security は、どこでもアクセスを強制します

IDとデバイスのコンテキストをクラウドベースのネットワークおよびアプリケーションアクセス制御と統合することで、Extreme Platform ONE Securityは、ゼロトラストを単なるフレームワークから測定可能で日常的なセキュリティの成果へと変えます。