SASEとゼロトラストの概要
SASE(Secure Access Service Edge)は、ゼロトラスト2.0のネットワークレイヤーを支える重要な統合プラットフォームです。増加するサイバー脅威と複雑化するネットワークインフラに対し、SASEはネットワークとセキュリティの機能を一元化し、攻撃対象領域を最小化することでセキュリティを強化します。
ステップ2: Netskopeのビジョンとガートナーの評価
Gartner, Inc.は、SASEに必要な技術要素を提示しており、複数のベンダーが買収を通じてこれを満たしています。しかし、NetskopeはガートナーがSASEビジョンを公表する前から、同様のビジョンを描いていた先駆者です。Netskopeは、ガートナーの示す必須機能をすべて満たしており、他社と異なり自然な技術の進化を通じてその機能を実現しています。
Netskopeの主要な特徴
SSE領域のリーダーシップ: Netskopeは、ガートナーのマジック・クアドラントで2年連続してセキュリティサービスエッジ(SSE)のリーダーに位置づけられ、最新の評価では総合的に最も優れたソリューションとして認められています。この評価は、Netskopeの市場での実績と革新性を強調しています。
SSEとSD-WANの統合エージェント: 多くのSASEソリューションでは、SSEとSD-WANが別々のエージェントとして提供されますが、Netskopeはこれらを一つのエージェントで提供します。この統合により、運用の複雑さを軽減し、ITリソースを効率的に活用できるため、運用負荷を大幅に削減します。
セキュリティとネットワーク人材のリスキリング支援: セキュリティやネットワークの専門家は慢性的に不足しており、その採用も困難な状況です。Netskopeは、セキュリティ機能とネットワーク機能を統合的に提供するため、運用を通じて両領域でのリスキリングを促進し、高度なゼロトラスト人材の育成を支援します。
内部および外部脅威への対応: 従来のゼロトラストアプローチでは、内部脅威が見過ごされることが多かったですが、Netskopeは内部および外部脅威の両方に対応する二重のセキュリティ機能を提供します。これにより、より総合的なセキュリティ戦略が実現されます。
具体的な機能
クラウドサービスのリスク分析: 近年、サプライチェーンリスクが多く取り上げられる中で、Netskopeはクラウドサービスに関連するリスクを高度に分析する機能を備えています。この機能により、クラウド上のデータとプロセスが常に安全に保たれることを確保し、攻撃のリスクを大幅に低減します。
SASEの重要性とNetskopeの価値
SASE(Secure Access Service Edge)は、ゼロトラスト2.0を支える重要な統合プラットフォームで、複雑化したネットワークとセキュリティの一元化を図ります。Netskopeは、この分野においてガートナーが提唱するビジョンを実現してきた先駆者であり、SSE領域でリーダーシップを発揮し続けています。特に、以下の4つの特徴がNetskopeの価値を高めています。
SSE領域のリーダーシップ: ガートナーのマジック・クアドラントで2年連続してリーダーの評価を受け、総合的に最も優れたソリューションとして認められています。
SSEとSD-WANの統合エージェント: Netskopeは、SSEとSD-WANを一つのエージェントで提供するため、運用の効率性を大幅に向上させています。
セキュリティとネットワーク人材のリスキリング支援: 人材不足に対応するため、Netskopeはゼロトラスト人材の育成を戦略的にサポートし、リスキリングを促進します。
内部および外部脅威への対応: 内部脅威と外部脅威の両方に対する強力なセキュリティ機能を提供し、組織全体のセキュリティを強化します。
これに加えて、Netskopeはクラウドサービスのリスク分析に優れ、サプライチェーンリスクへの対応能力を備えています。これにより、クラウド環境におけるデータ保護が強化され、セキュリティインシデントの発生を抑制します。
クラウドサービスの見落としとリスクの可視化
多くの企業が注目する中で、クラウドサービスに対するリスク管理が見落とされがちです。Netskopeの調査によると、企業平均で約2,400のクラウドサービスが利用されており、これらのサービスもサプライチェーンの一部として適切にリスク管理を行う必要があります。Netskopeは、クラウド上でのリスクを可視化し、企業全体のサプライチェーンリスクを軽減するための総合的なアプローチを提供しています。
JSON識別によるインスタンス特定とセキュリティ強化
JSON識別によるインスタンス特定
データ漏えい防止策として、URLフィルタリングはクラウドストレージの利用制限に有効ですが、業務で利用されるクラウドサービスには単純なフィルタリングだけでは十分ではありません。たとえば、Googleドライブの場合、企業アカウントと個人アカウントが同じドメイン(drive.google.com)を使用するため、従来のフィルタリングでは区別が困難です。Netskopeは、JSONの識別子を活用してテナントを特定する特許技術を持ち、こうしたケースにも対応できる高度なセキュリティソリューションを提供します。
DLPによるデータ保護と業界標準対応
DLP(Data Loss Prevention)による内部不正防止とデータ保護
NetskopeのDLP機能は、退職予定者や在宅勤務者によるデータの不正な持ち出しを防止し、重要なデータの動きをリアルタイムで監視します。単一のDLPポリシーで、クラウドやオンプレミスを含むすべての環境に適用可能です。Netskopeは3,000以上の識別子を使ってデータを精緻に分類し、HIPPAやPCI-DSSなど40を超える業界標準に準拠しています。さらに、AI技術を活用し、ホワイトボードに書かれた情報を文字認識技術でキャプチャし、不適切な共有を防ぐといった高度な機能も備えています。
クラウド時代に対応する「CloudPas」とCSMAの役割
クラウド時代のセキュリティ課題を解決する「CloudPas」
クラウド活用が進む中、企業のIT環境はますます複雑化し、セキュリティリスクも増大しています。ユニアデックスの「CloudPas」は、CSMA(サイバーセキュリティメッシュアーキテクチャ)の方向性に基づき、クラウド時代の複雑なセキュリティ課題に対応するために設計された包括的なソリューションです。多様な機能を統合的に提供し、企業のIT環境を効果的に保護します。
CloudPasの具体的なソリューションとSASEの重要性
SASEの重要性とNetskopeの役割
SASEは、ゼロトラスト2.0とCSMAにおいて不可欠な要素です。Netskopeは、CSMAの中核ソリューションの一つとして位置づけられており、CloudPasの主要なセキュリティプラットフォームとしても採用されています。SASEの導入により、クラウド環境におけるセキュリティとネットワークの一元管理が可能になり、企業のセキュリティ態勢を強化します。
CloudPas MSSによる統合的運用サービス
CloudPas MSSによる統合的運用サービス
ユニアデックスは、長年にわたる運用サービスの提供経験を活かし、「CloudPas MSS」を通じて包括的なマネージドセキュリティサービスを提供しています。クラウド環境におけるリスクに対応するためのソリューションのアセスメントから導入、さらにその運用の実効性を高めるためのサポートまで、統合的なサービスを展開しています。これにより、企業はクラウド活用によるリスクを最小化し、セキュリティ態勢を強化することができます。
クラウドのリスクはしばしば見落とされがちですが、Netskopeの調査によると、企業で利用されるクラウドサービスは平均で約2,400に及びます。これらのクラウドサービスもサプライチェーンの一部として認識し、リスク管理を行うことが求められています。Netskopeは、クラウド環境におけるリスクを可視化し、サプライチェーンリスクを軽減するための技術を提供しています。
Netskopeは、JSON識別子を用いた特許技術により、クラウドサービスの利用状況を精緻に管理し、内部不正を防ぐためのDLP機能も充実しています。特に、DLPは3,000を超える識別子に基づいてデータを分類し、業界標準にも対応しています。
ユニアデックスの「CloudPas」は、CSMAのビジョンを基に、複雑化するクラウド環境に対応したセキュリティソリューションを提供しており、CloudPas MSSによる統合的な運用サービスも展開しています。
「中途半端なSASE」を避けるべき理由と効果的な導入方法
パンデミックの影響で「SASE」(セキュアアクセスサービスエッジ)のニーズが高まり、企業のデジタルトランスフォーメーションが加速しています。しかし、ここで注意すべきは、**機能を寄せ集めただけの”なんちゃってSASE”**を導入することによるリスクです。本質的なSASEの導入には何が必要か、なぜ不完全なソリューションが問題なのかを明らかにし、賢い導入方法を提案します。
SASEとは?
SASEは、セキュリティとネットワーク機能を統合的に提供する新しいアーキテクチャです。クラウド環境が進展する中で、従来のオンプレミス中心のセキュリティでは対応しきれない新たな脅威に対抗するため、分散したリソースを一元的に管理・保護する目的で登場しました。
主な機能として、以下が挙げられます:
セキュアWebゲートウェイ:URLフィルタリングやマルウェア対策によるWebセキュリティの強化
CASB(クラウドアクセスセキュリティブローカー):クラウドサービスの通信を監視し、リスクの制御を行う
ZTNA(ゼロトラストネットワークアクセス):エンドユーザーのIDやデバイスを認証し、アプリケーションごとのアクセスを制御
SD-WAN(ソフトウェア定義WAN):WANをソフトウェアで最適化し、効率的なネットワーク接続を提供
「なんちゃってSASE」とは?
「なんちゃってSASE」とは、SASEの要素を部分的に導入したり、互換性の低い複数の製品を寄せ集めて、あたかもSASEを実現しているかのように見せかけるアプローチを指します。ポイントは、SASEは単なるセキュリティやネットワーク機能の寄せ集めではなく、統合的な管理と運用が不可欠であるという点です。
機能がバラバラ:個別の製品を導入した場合、各製品が異なる管理ポリシーや操作性を持ち、システム全体の一貫性が失われます。
コスト増大と複雑化:異なるベンダーの製品を管理するため、運用の負担が増加し、コストが想定以上にかかる場合があります。
セキュリティの隙間:統合されていないシステムでは、監視漏れやポリシーの不整合が生じやすく、セキュリティリスクが増大する恐れがあります。
なぜSASEを導入すべきか?
COVID-19によって、リモートワークやクラウド利用が急速に拡大し、従来の境界型セキュリティモデルは限界を迎えました。SASEは、場所に依存しない一貫したセキュリティとネットワーク管理を提供するため、企業のセキュリティ強化に大きく寄与します。
Gartnerの予測では、2024年までに40%の企業がSASEを導入するとされていますが、実際にはすでに2020年から急速に普及が進んでおり、今後もそのペースは加速する見込みです。理由としては、以下が挙げられます:
コスト削減:SD-WANの導入によるWANコストの最適化や、統合されたセキュリティサービスによる運用コストの削減が期待されます。
管理の効率化:複数の拠点やクラウド環境を統一的に管理でき、複雑さを軽減します。
高度なセキュリティ:ZTNAなどのゼロトラストアーキテクチャにより、リモート環境でも確実にユーザーやデバイスを認証し、安全なアクセスを提供します。
データコンサルタント視点での変更ポイント
統合的なアーキテクチャの重要性:SASEは、セキュリティとネットワークをシームレスに統合することで、効率的かつ効果的な運用を実現するアーキテクチャです。機能を個別に導入するのではなく、一元的なプラットフォームで管理できるようにすることが、セキュリティの隙間を防ぐポイントです。
長期的視点での投資:SASEの導入は、初期コストこそかかるものの、長期的に見れば運用コストの削減や管理の簡素化、セキュリティリスクの軽減といった効果が期待されます。データコンサルタントとしては、ROIを明確にしつつ、長期的な視点での価値をクライアントに伝えることが重要です。
ベンダー選定の重要性:「なんちゃってSASE」を避けるためにも、信頼性の高いベンダーを選定し、製品やサービスの互換性やサポート体制を確認することが不可欠です。
運用体制の見直し:SASEを導入する際には、セキュリティポリシーや運用体制の見直しも重要です。特にゼロトラストアーキテクチャの導入にあたっては、ID管理やアクセス制御の仕組みを強化し、従業員の教育も並行して進めることが求められます。
SASEとSCAPEの導入の増加に見る、セキュリティとネットワークの進化
新型コロナウイルス感染症の影響で、企業がリモートワークやクラウドサービスを急速に導入する中、セキュリティとネットワークの在り方も大きく変化しています。この変化を受けて、調査会社Nemertes ResearchのCEOヨハンナ・ティル・ジョンソン氏は「SASEへの関心が高まっている」と述べています。同社ではSASEと同様の概念を「SCAPE」(セキュアクラウドアクセス・ポリシー強制)として定義しており、クラウドとオンプレミスの両方にまたがる安全なアクセスと包括的なポリシーの適用を目指しています。
SASEの提唱者であるGartnerのニール・マクドナルド氏も、このトレンドに同意しています。彼の見解によれば、SASEの普及は「セキュリティとネットワークの焦点が、オンプレミスのデータセンターからクラウドに移行したことを反映している」とのことです。これまでは物理的な場所が重要視されていたセキュリティも、今やID、エンドユーザー、そしてデータが中心に据えられる時代になったのです。
SASEとSCAPEの違いとは?
SCAPEはSASEに似たコンセプトですが、Nemertes Researchでは特にポリシー強制に焦点を当てて定義しています。SCAPEのアプローチは、クラウドやオンプレミスに関係なく、全ての環境に対して統一的なポリシーを適用できるように設計されています。SASEは、クラウド中心のネットワークとセキュリティの統合を目指しているのに対し、SCAPEは特にポリシーの適用と強制力に重きを置き、柔軟性のあるセキュリティソリューションを提供します。
パンデミックが促進するSASEの需要
マクドナルド氏の予測によると、新型コロナウイルスの影響でSASEへの関心が急増し、特に2022年までに多くの企業がSASEを導入する見通しです。企業のセキュリティとネットワークの要点がクラウドにシフトしたことから、SASEの導入は急務となっています。これにより、ID管理、デバイスの認証、アプリケーション単位でのアクセス制御が可能となり、従来の境界型セキュリティモデルを置き換える新しいモデルが構築されつつあります。
Nemertes Researchによる**「2019-2020 Cloud and Cybersecurity Research Study」**では、2020年末までに62%の組織がSASEやSCAPEに該当するソリューションを導入または導入予定であると予測しています。この数字は、急激に進むリモートワークやクラウドの利用拡大に伴い、セキュリティ強化のニーズが高まっていることを如実に示しています。
データコンサルタントとしての視点
ポリシー適用の重要性:SASEやSCAPEを導入する際に重要なのは、クラウドとオンプレミスを含む全体の環境に一貫したセキュリティポリシーを適用することです。企業は環境の違いにかかわらず、統一されたポリシーによってセキュリティを維持する必要があります。ポリシーの自動化や強制機能が備わっているかが、セキュリティの一貫性を保つカギです。
IDとエンドユーザー中心のセキュリティモデル:従来のデータセンターを起点としたセキュリティは、クラウドベースの業務に対応しきれません。データコンサルタントとしては、ID管理、エンドユーザー認証、そしてデータ保護を中心に据えたセキュリティモデルへの移行を推奨するべきです。
セキュリティ統合の効率化:SASEやSCAPEは、複数のセキュリティソリューションを統合して管理できるプラットフォームです。これにより、企業は運用コストを削減しながらも、複雑化するセキュリティの課題に対応できます。データコンサルタントとして、クライアントに対して一貫した管理とコスト削減のメリットを伝えることが大切です。
将来を見据えた導入戦略:SASEの導入は一度に全てを完了させる必要はなく、段階的な導入が可能です。まずは必要な部分からSASEやSCAPEを導入し、将来的により高度な機能を追加する計画を立てることで、投資リスクを抑えつつ効果的なセキュリティ強化を図ることができます。
SASEやSCAPEの導入は、セキュリティとネットワークの変革を推進するために不可欠です。データコンサルタントとしては、クライアントに対して最新のセキュリティトレンドを踏まえた上で、具体的な導入戦略や投資の方向性を提案することが求められます。
SASE導入の必要性と賢い導入方法
新型コロナウイルス感染症の流行により、企業の業務スタイルが急激に変化しました。テレワークが広がる中、従来の「内部から内部」へのデータアクセス(オフィスとデータセンター間)が、「外部から外部」(自宅や外部からクラウドサービス間)のアクセスにシフトしており、セキュリティリスクも変わってきています。これが、SASE(セキュアアクセスサービスエッジ) の導入を検討する企業が増えている主な理由です。
SASEの導入が注目される理由
Nemertes ResearchのCEOであるヨハンナ・ティル・ジョンソン氏も、「当社の顧客の多くがSASEの導入を検討している」と指摘しています。データの移動経路が変わり、特にテレワークを中心とした新しい働き方が広がる中で、従来のセキュリティモデルでは限界が見えてきているためです。
また、Gartnerのニール・マクドナルド氏は、SASEが企業から注目される理由として次の4点を挙げています。
運用管理の複雑さやコストの削減
複数のセキュリティ製品やネットワークソリューションを一つに統合することで、管理の効率化が図れます。これにより、企業のIT部門は負担を軽減し、リソースを他の重要な課題に集中させることが可能です。
管理ツールの数の削減
統合管理プラットフォームを導入することで、セキュリティやネットワークのツールを個別に管理する必要がなくなり、一元化されたソリューションにより、管理の手間を大幅に減らせます。
ポリシー数の削減
異なるセキュリティツールやシステムごとに設定されるポリシーの数を減らし、統一されたセキュリティポリシーを適用できるため、漏れやミスを防ぎやすくなります。
端末管理の一括対応
テレワークを行う従業員が利用する社用端末や私物端末(BYOD)の管理を統合し、ポリシーやセキュリティを一元的に管理できるため、企業全体でセキュリティ対策を徹底できます。
賢いSASE導入方法
SASEの導入を検討する際に重要なのは、無理に一度に全ての機能を導入するのではなく、段階的かつ効率的な移行を目指すことです。マクドナルド氏は、既存のセキュリティ製品やサービス契約の更新時期を見極め、それをSASE導入のタイミングとして活用することを勧めています。
例えば、次のような状況があれば、SASE導入を検討する良いタイミングです:
セキュアWebゲートウェイやCASB(クラウドアクセスセキュリティブローカー)、**SD-WAN(ソフトウェア定義WAN)**の導入や更新が進行中の場合。
ネットワークアーキテクチャの再設計を計画している場合。
これらの製品やプロジェクトが動いているタイミングを活用し、セキュリティとネットワークアーキテクチャを同時に見直すことで、SASEへのスムーズな移行が可能となります。これにより、従来の分散されたセキュリティ管理から統合された管理体制への移行が効率よく行えるだけでなく、コストの削減やセキュリティの強化も実現できます。
データコンサルタントの視点での提案
段階的な導入計画
全ての機能を一度に導入するのではなく、まずは現行のセキュリティ製品や契約更新時期に合わせて段階的にSASEの構成要素を導入することが重要です。例えば、まずはWebゲートウェイやCASBから開始し、後にZTNA(ゼロトラストネットワークアクセス)やSD-WANを統合するアプローチが効果的です。
クラウドやテレワーク環境に対応したセキュリティモデルの提案
現代の業務環境においては、セキュリティとネットワークがクラウド中心にシフトしているため、従来の境界型セキュリティでは不十分です。データコンサルタントとしては、企業が抱えるセキュリティリスクに対し、SASEによる統合管理やポリシーの一貫性を提案し、全体的なリスク管理を強化する方針を打ち出すべきです。
長期的なコスト削減の視点
短期的な導入コストだけでなく、長期的な運用コストや管理の複雑さを削減できる点を強調します。SASEの導入は初期コストがかかることもありますが、運用管理の効率化やツールの統合により、長期的にはコスト削減が期待できます。
SASEの導入は、単なるセキュリティの強化にとどまらず、ITインフラ全体の効率化や将来を見据えたシステム最適化に寄与する重要なステップです。
「寄せ集めSASE」が危険な理由と効果的な対策
データコンサルタントの視点から見ると、企業がSASE(セキュアアクセスサービスエッジ)の導入を検討する際に、**統合的でない「なんちゃってSASE」**を選んでしまうリスクは、セキュリティとネットワーク管理に重大な問題を引き起こす可能性があります。ここでは、なぜ統合的でないSASEの実装が危険であり、どうすれば効果的に導入できるかについて解説します。
1. 複数ベンダーの技術を寄せ集めたSASEの危険性
SASEは、ネットワークとセキュリティ機能を統合したソリューションですが、複数のベンダーから技術や製品を個別に寄せ集めてSASEを構築する「なんちゃってSASE」は、セキュリティリスクを増大させます。これは、以下のような問題が発生するためです。
暗号化と復号のリスク
異なるベンダーのセキュリティ製品が連携している場合、データがセキュリティプロセスの途中で一旦復号される可能性があります。たとえば、あるベンダーの暗号化技術を使用した後にデータを復号して検査し、再度別のベンダーのセキュリティ製品で暗号化すると、その復号された瞬間にデータが漏洩するリスクが生じます。この繰り返しがセキュリティの脆弱性を高め、データ漏洩やサイバー攻撃に対して無防備になる恐れがあります。
セキュリティポリシーの一貫性の欠如
異なるベンダーのソリューションを寄せ集めると、それぞれが異なるセキュリティポリシーや管理基準を持っているため、全体の統一性が失われます。その結果、セキュリティポリシーの継続性が途切れ、ポリシー違反や監査の問題が発生するリスクが増大します。
2. 統合的SASEの必要性と効果的な導入方法
データコンサルタントの立場から、SASEを効果的に導入するためには、一元的で統合されたプラットフォームを選択することが重要です。これにより、次の利点が得られます。
一度だけの復号化によるリスク軽減
SASEの中心にあるセキュリティ技術では、一度だけ復号してデータを検査し、必要な処理を行った後は再暗号化するプロセスが推奨されます。これにより、データの復号回数が最小限に抑えられ、情報漏洩のリスクが大幅に軽減されます。統合されたプラットフォームを採用すれば、こうしたプロセスを一貫して管理できます。
運用管理の簡素化
単一のベンダーから提供されるSASEソリューションを導入することで、運用管理が一元化され、複数のツールやポリシーの管理が簡素化されます。これにより、運用コストの削減と、複雑さの軽減が実現できます。また、セキュリティの一貫性が保たれ、管理のしやすさが向上します。
セキュリティとネットワークの高度な統合
SASEを効果的に導入するためには、ネットワーク(SD-WAN)とセキュリティ(CASB、ZTNAなど)の深い統合が不可欠です。たとえば、Palo Alto NetworksやCiscoなどの一部のベンダーは、すでにクラウドアクセスセキュリティブローカー(CASB)やソフトウェア定義WAN(SD-WAN)技術を組み合わせた統合的なSASEソリューションを提供しています。このようなソリューションを導入することで、セキュリティ対策とネットワーク管理の高度な統合が実現できます。
3. ベンダー選定時の考慮ポイント
SASEを導入する際には、ベンダー選定が非常に重要です。以下のポイントを念頭に置いて、慎重に選定することが推奨されます。
エンドツーエンドの統合ソリューションを提供するベンダー
複数のセキュリティ要素を統合し、暗号化、復号化のリスクを抑える技術を提供するベンダーを選びましょう。統合ソリューションは、セキュリティの一貫性を確保するために不可欠です。
将来の拡張性と柔軟性
クラウドベースのアーキテクチャは進化を続けているため、導入するSASEソリューションが将来のビジネスニーズや技術の変化に対応できるかを確認することも重要です。柔軟で拡張性のあるプラットフォームを選定することで、長期的なセキュリティの適応力を維持できます。
データコンサルタントとしてのアドバイス
データコンサルタントとして、統合的なSASEソリューションの導入を強く推奨します。特に、従業員がリモートワークを行う現代においては、SASEは単なるセキュリティ強化ではなく、ビジネスの継続性やITインフラの合理化にもつながります。以下の具体的なステップを提案します。
統合ソリューションのベンダー選定
複数のセキュリティ要素を提供する信頼性の高いベンダーを選び、全体的なITインフラを統合的に保護するアプローチを取ることが、セキュリティリスクの低減に寄与します。
段階的な導入
いきなりすべての機能を導入するのではなく、まずはネットワークとセキュリティの基本的な部分から統合し、徐々に他の機能(CASBやZTNAなど)を加えていくアプローチが、スムーズな移行を実現します。
長期的な運用の視点を重視
コスト削減だけでなく、セキュリティ管理の効率化と、将来の拡張性を見据えたプラットフォーム選びをすることが、ビジネス全体の成長に寄与するでしょう。
データのやり取りがますます複雑になる今、SASEの導入は企業の競争力を強化するために必要不可欠です。しかし、その導入方法を誤ると、逆にセキュリティリスクを高めることになりかねません。したがって、統合的かつ柔軟なSASEアプローチを採用し、未来のITインフラに備えることが肝要です。