効果的なSASEソリューションの10の原則

モバイル・ユーザー、支店、データ、サービスが従来のネットワーク・セキュリティ・アプライアンスでは保護されていない場所に設置されていることが増えているため、組織は、ネットワークのセキュリティ、プライバシー、完全性を確保し、さらに重要なことには顧客のペースを維持するのに苦労しています。

今日、市場に出回っている現在の技術の多くは、すべてのタイプのトラフィックやセキュリティ上の脅威を処理するように設計されていないアーキテクチャに基づいて構築されています。このため、組織は、安全な Web ゲートウェイ、ファイアウォール、安全な VPN リモートアクセス、SD-WAN など、さまざまな要件に対応するために、複数のポイント製品を採用せざるを得なくなっています。すべての製品に対して、導入するアーキテクチャ、設定するポリシー、管理するインターフェイス、独自のログのセットがあります。これは、コスト、複雑さ、セキュリティ姿勢のギャップを導入する管理上の負担を生み出します。

これらの課題に対応するため、セキュア・アクセス・サービス・エッジ(SASE)が登場しました。SASE(発音は「サッシー」)は、共通のクラウド配信型アーキテクチャからネットワークとネットワークセキュリティサービスを提供することで、組織がクラウドとモビリティを受け入れることを支援するように設計されています。SASEソリューションは、共通のフレームワークを介して提供されるすべてのタイプのクラウドアプリケーション(パブリッククラウド、プライベートクラウド、SaaSなど)に一貫したセキュリティサービスとアクセスを提供する必要があります。複数のポイント製品を削除し、単一のクラウド配信型の SASE ソリューションを採用することで、企業は技術的、人的、財務的なリソースを大幅に節約しながら、複雑さを軽減することができます。

この記事を読めば、効果的なSASEの10原則を理解することができます。

原則1 : ソフトウェア定義の広域ネットワーク

うまくいっていないこと:

企業は、支社を企業ネットワークに接続し、コストのかかるMPLS接続に代わるものとして、ローカル・インターネット・ブレークアウトを提供するために、ソフトウェア定義広域ネットワーク(SD-WAN)を採用しています。しかし、SD-WANの課題は、セキュリティとSD-WANファブリックをどのように組み合わせるかという点にあり、複数のオーバーレイが必要になります。

SASEの方法

SASEソリューションでは、SD-WANエッジデバイスは、データセンターやコロケーション施設にある物理的なSD-WANハブではなく、クラウドベースのインフラストラクチャに接続することができます。これにより、物理的なSD-WANハブの導入と管理の複雑さを伴わずに、支店間の相互接続を可能にします。

重要なこと

SD-WANは、支店や遠隔地の従業員を安全に接続し、アクセスを制御するための方法として、組織のネットワークインフラにすでに検討されている、または採用されているものでなければなりません。SASEは、SD-WANサービスやその他のソリューションに接続するための統一されたフレームワークを作成し、ネットワークを保護するための単一の視点と簡素化された管理ソリューションを提供します。


「Gartner社は、2022年までにSD-WANへの支出が従来のブランチルーターへの支出を上回ると予測しています」- Gartner


原則2:仮想プライベートネットワーク

うまくいっていないこと:

組織は、モバイルユーザーや支店のオフィスが企業のデータ、アプリケーション、インターネットアクセスにアクセスするために、安全な暗号化された接続を提供するために、仮想プライベートネットワーク(VPN)に依存しています。VPN サービスには、IPsec VPN から SSL VPN、クライアントレス VPN、リモートアクセス VPN まで多くの種類がありますが、いずれも VPN ゲートウェイへの接続を必要とします。VPNはクラウドへのアクセスに最適化されていないため、ユーザーがクラウドのアプリやサービスにアクセスするために切断しても、セキュリティやアクセス制御ができません。

SASEの方法

SASEソリューションは、VPNサービスを包含し、パブリッククラウド、SaaS、インターネット、またはプライベートクラウドアプリへのトラフィックを安全にルーティングするために、クラウドベースのインフラストラクチャで動作する機能を強化します。IPsec VPNの例では、支店や小売店に設置された任意のIPsec対応デバイスから、ブランチルーター、無線アクセスポイント、SD-WANエッジデバイス、またはファイアウォールを介して、クラウドベースのインフラストラクチャへのサイト間接続を作成することができます。モバイルユーザーは、エンドポイントまたはモバイルデバイス間の常時接続のIPsecまたはSSL VPN接続を採用し、SASEソリューションは、一貫したトラフィックの暗号化と脅威の防止を保証します。

重要なこと

あなたの組織で使用するVPNサービスの種類に関係なく、SASEソリューションは、本社のVPNゲートウェイにバックホールする代わりに、接続するための統一されたクラウドインフラストラクチャを提供します。これにより、最少特権のアクセスルールを強制するために必要な管理とポリシーコントロールが劇的に簡素化されます。

原則3:ゼロトラスト・ネットワークアクセス


4つの基本的な保護機能をすべて備えている企業はわずか12%にとどまりました。

48%47%44%39%
公共ネットワーク上のすべての機密データを暗号化セキュリティシステムの定期的なテスト「知る必要がある」ベースでアクセスを制限するすべてのデフォルトパスワードを変更する

あなたの組織のセキュリティポリシーと一致するのはどれですか?
Verizon Mobile Security Index 2019 レポート


うまくいっていないこと:

上の表に見られるように、企業はユーザーとデータを適切に保護するために必要なセキュリティ保護とポリシーがまだ不足しています。ゼロトラスト・ネットワーク・アクセス(ZTNA)は、データ保護の必要性を認識するためにForrester社が開発した「絶対に信頼せず、常に検証する」というゼロトラストの哲学の重要な部分です。ZTNAでは、クラウドに接続したいユーザーが必要なアプリケーションにアクセスする前に、ゲートウェイを介して認証を行う必要があります。これにより、IT管理者はユーザーを特定し、アクセスを制限し、データ損失を最小限に抑え、発生する可能性のある問題や脅威を迅速に軽減するためのポリシーを作成することができるようになります。

多くのZTNA製品は、コンテンツ検査を提供しないSDP(Software-Defined Perimeter)アーキテクチャに基づいているため、各アプリケーションで利用できる保護の種類に不一致が生じています。一貫した保護という点では、組織はZTNAモデルの上に追加のコントロールを構築し、すべてのアプリケーションにまたがるすべてのトラフィックの検査を確立する必要があります。

SASEの方法

SASE は ZTNA の主要な原則に基づいて構築され、SASE ソリューション内の他のすべてのサービスに適用されます。ユーザー、デバイス、アプリケーションを識別することで、どこから接続しているかに関係なく、ポリシーの作成と管理が簡素化されます。SASEは、ネットワークサービスを単一の統一されたクラウド・インフラストラクチャに組み込むことで、ゲートウェイへの接続の複雑さを取り除きます。

重要なこと

SASEのソリューションは、アプリケーションを保護するためのZTNAの概念を組み込むだけでなく、データ損失防止(DLP)と脅威防止ポリシーの一貫した実施のために他のセキュリティサービスを適用する必要があります。これは、アクセスコントロールは、それ自体が誰であるかを確立するために有用ですが、他のセキュリティコントロールは、その行動や行動が組織に害を与えないことを確認するためにも必要だからです。また、すべてのアプリケーションにアクセスをまたいで同じコントロールを適用することも必要です。

原則4:サービスの質

うまくいっていないこと:

企業がブロードバンドサービスを利用してMPLSからSD-WANに移行すると、サービス品質が異なることがわかってきました。サービス品質(QoS)は、特定のアプリケーションやサービスに割り当てられた帯域幅の割り当てを確立します。企業は、医療機器やクレジットカード処理サービスなど、重要なアプリケーションやサービスが適切に動作するようにQoSに依存しています。これらのシステムが帯域幅不足のために停滞してしまうと、事業運営や売上に深刻な影響を与えてしまいます。QoSでは、ランキングシステムに基づいて、ビジネスに不可欠なアプリに優先順位をつけているため、どのアプリやサービスを優先するかを選択することができます。

SASEの方法

QoSは、MPLSからの移行を開始する際の重要なステップです。SASEソリューションは、クラウドにQoSサービスを組み込んでおり、VOIPなどのセンシティブなアプリケーションを、一般的なインターネット閲覧やエンターテイメントアプリよりも優先度の高いものとして簡単にマークすることができます。

重要なこと

QoS は、あらゆる規模のビジネスにとって非常に重要です。QoS トラフィックと割り当てを管理することは難しいことではありません。SASE は、重要なアプリケーション要件を優先させるポリシーに基づいてトラフィックを動的に形成することを可能にします。SASE ソリューションに QoS 機能が含まれていることを確認してください。

原則5: DNS セキュリティ

うまくいっていないこと:

すべての組織は、ドメイン名をIPアドレスに変換するためにDNS(Domain Name System)を使用しています。DNSはオープンなサービスであり、デフォルトではDNSベースの脅威を検出する手段を持っていません。その結果、DNS内の悪意のある活動が攻撃を伝播させるために使用される可能性があります。

SASEの方法

DNSセキュリティは、脅威を無力化しながら悪意のあるドメインを予測してブロックすることで、ユーザーを保護します。SASEソリューションは、ネットワークとユーザーに一貫したセキュリティを提供することで、DNSセキュリティ機能を採用しています。

重要なこと

SASEソリューションは、ネットワークアクセスの一部としてクラウド環境内で提供されるDNS保護機能を含んでいる必要があります。DNSセキュリティは、支店やモバイルユーザーがインターネットに接続するために使用するソリューションにボルトオンではなく、ビルトインされている必要があります。SASEソリューションで提供されるDNSセキュリティは、DNSトラフィックの脅威に対抗するために、予測分析、機械学習、自動化の組み合わせを活用する必要があります。


 

82%

DNS攻撃を受けた企業

9.45

1社あたりの平均攻撃回数

$ 107万

平均的なダメージコスト

63%

アプリケーションのダウンタイムが発生した企業

IDC 2019年グローバルDNS脅威レポート


原則6:サービスとしてのファイアウォール


「従業員500人の企業は、従来のハードウェアと比較して、FWaaSソリューションを使用することで平均37%のコスト削減が期待できます」
– Secure Data


うまくいっていないこと:

FWaaS(Firewall as a service)とは、ファイアウォールをクラウド上のサービスとして提供するための導入方法です。FWaaSは、次世代ファイアウォールと同じ機能を持ちながら、クラウド上に実装されています。ファイアウォールをクラウドに移行することで、企業は支店や小売店にセキュリティハードウェアを設置したり、維持したりする必要がなくなり、コスト削減のメリットが得られます。

SASEの方法

SASEのソリューションは、統合プラットフォームにFWaaSを組み込み、次世代ファイアウォールと同様のサービスをクラウド型サービスとして提供しています。FWaaSサービスを包含することで
モデルをSASEフレームワーク内で使用することで、組織は単一のプラットフォームから簡単にデプロイメントを管理することができます。

重要なこと

SASEソリューションは、クラウド上にネットワークセキュリティポリシーを実装して次世代ファイアウォールの保護を提供するために、FWaaS機能を有効にする必要があります。SASEソリューションは、基本的なポートブロッキングや最低限のファイアウォール保護だけではありません。次世代ファイアウォールと同様の機能と、脅威防止サービスやDNSセキュリティなどのクラウドベースのセキュリティ機能が必要となります。

原則7:脅威の防止


今日、脅威の検出と対応がより困難になっている理由

脅威の量や巧妙さが増加している。34%
脅威の検出/応答のワークロードが増加した。17%
攻撃面が大きくなった。16%
脅威の検出/対応は、私の組織では多くのマニュアルプロセスに依存している。13%
私の組織では、多数の異なる脅威の検出/対応ツールを使用している。11%
私の組織にはスキルや適切な規模のサイバーセキュリティスタッフがいない。8%

ESGマスター調査の結果。脅威の検出と対応の状況


うまくいっていないこと:

ランサムウェア攻撃が日常的に発生している小規模から大規模な侵害が発生している今日の世界では、組織のデータや従業員を保護するために脅威対策が重要な鍵となっています。マルウェア対策や侵入防止、SSL復号化、ファイルブロックなど、さまざまな脅威対策ツールが存在し、組織に脅威をブロックする方法を提供しています。しかし、これらのポイント製品は個別のソリューションを必要とし、管理や統合が難しくなっています。

SASEの方法

SASEソリューション内では、これらのすべてのポイント製品とサービスは、現在、単一のクラウドプラットフォームに統合されています。これにより、ネットワークとクラウド環境全体のすべての脅威と脆弱性の管理と監視が簡素化されます。

重要なこと

最新の脅威インテリジェンスを使用して悪用やマルウェアを阻止することは、従業員とデータを保護するために非常に重要です。あなたのSASEソリューションは、脅威を修正するために迅速かつ迅速に対応できるように、そのフレームワークに脅威防止ツールを組み込む必要があります。ベンダーが提供している脅威インテリジェンスの質を確認してください。ベンダーは、未知の脅威からの継続的な保護を提供するために、顧客、ベンダー、その他関連するオピニオンリーダーを含む様々なソースからデータを収集し、共有しているはずです。

原則8: 安全なウェブゲートウェイ


2019年7月以降、50万件以上の安全でないウェブサイトがGoogleに検出される

マルウェアサイト25,957
フィッシングサイト477,016

Google 透明度セーフブラウジングレポート


うまくいっていないこと:

企業は、悪意のあるウェブサイトへのアクセスから従業員やデバイスを保護するために、セキュア・ウェブ・ゲートウェイ(SWG)を利用しています。SWGは、不適切なコンテンツ(ポルノ、ギャンブルなど)や、Netflixのようなストリーミングサービスなど、企業が仕事中にユーザーにアクセスしてほしくないウェブサイトをブロックするために使用することができます。さらに、SWGは、インターネットアクセスが許可される前に、許容される使用ポリシー(AUP)を強制するために使用することができます。

SASEの方法

SWGは、SASEソリューションが提供しなければならない多くのセキュリティサービスの一つに過ぎません。組織が成長し、より多くのリモートユーザーを追加すると、カバレッジと保護はより困難になります。SASEソリューションはSWGをクラウドに移行し、ネットワーク全体の完全な可視性と制御のための統一されたプラットフォームを介してクラウドでの保護を提供します。

重要なこと

SASEソリューションは、SWGに同じセキュリティサービスが含まれており、組織はウェブへのアクセスを制御し、敵対的なウェブサイトからユーザーを保護するセキュリティポリシーを実施することができます。SWGはSASEソリューションのサービスの一つに過ぎないことを覚えておくことが重要です。FWaaS、DNSセキュリティ、脅威防止、DLP、CASBなどの他のセキュリティサービスも含まれているはずです。

原則9:データ損失の防止

うまくいっていないこと:

データ損失防止(DLP)ツールは、機密データを保護し、紛失、盗難、悪用されないようにします。DLPは、データが配置されている環境(ネットワーク、エンドポイント、クラウドなど)内のデータと、それらの出口を介してデータを監視する複合ソリューションです。また、ポリシーに違反した場合には、主要な利害関係者に警告を発します。HIPAA、PCI、GDPRなどのコンプライアンス要件のため、DLPはデータセキュリティとコンプライアンスに必要な重要なソリューションです。レガシーDLPは、最初はオンプレミスの境界線用に設計され、その後クラウドアプリケーションに拡張・適応された古いコア技術に依存しています。機能やバラバラなポリシー、構成、回避策が満載された DLP は、非常に複雑で、大規模な展開が難しく、コストがかかりすぎています。デジタルトランスフォーメーションと新しいデータ利用モデルは、データ保護に対する新たなアプローチを必要としています。

SASEの方法

SASEのアプローチにより、DLPはデータ自体を中心としたクラウド型のソリューションとなり、どこにいてもデータを提供することができます。同じポリシーが、静止中、動作中、使用中のセンシティブなデータにも、その場所に関係なく一貫して適用されます。SASEアーキテクチャでは、DLPはもはやスタンドアロンのソリューションではなく、組織の既存のコントロールポイントに組み込まれているため、複数のツールを展開して維持する必要がありません。SASEによって、組織は最終的にスケーラブルでシンプルなアーキテクチャに依存し、グローバルなトラフィックへのアクセスを活用して効果的な機械学習を可能にする包括的なデータ保護ソリューションを実現することができます。

重要なこと

DLPは、機密データを保護し、組織全体のコンプライアンスを確保するために必要なツールです。この目的のために、SASEソリューションにはこのコア機能が含まれていなければなりません。SASEでは、DLPは、ネットワーク、クラウド、ユーザーをまたいで、どこにいてもセンシティブなデータを正確かつ一貫して識別し、監視し、保護するために使用される組み込み型のクラウド配信サービスです。


「Gartnerは、2021年までに90%の組織が少なくとも1つの形態の統合DLPを導入し、2017年の50%から増加すると予測しています」- Gartner


原則10:クラウド・アクセス・セキュリティ・ブローカー


Gartnerは、2022年までに大企業の60%がCASBを使用すると予測しています。2018年末に利用した20%からアップ。


うまくいっていないこと:

多くの組織では、SaaSアプリケーションの利用状況を可視化し、機密データがどこにあるかを把握し、ユーザーアクセスに関する社内ポリシーを実施し、ハッカーからデータを保護するために、クラウド・アクセス・セキュリティ・ブローカー(CASB)に依存しています。CASBはクラウドベースのセキュリティ・ポリシー施行ポイントであり、SaaSプロバイダーと従業員のためのゲートウェイを提供します。

SASEの方法

CASBは、関係者がセキュリティ管理を行うための単一のプラットフォームを作成し、SASEソリューションの一部である別のセキュリティ機能である必要があります。SASEソリューションは、ユーザーがどこにいるかに関係なく、どのSaaSアプリが使用されているか、データがどこに行くのかを理解するのに役立ちます。

重要なこと

SASEソリューションは、ガバナンス、アクセス制御、データ保護のためのインラインとAPIベースのSaaSコントロールの両方を組み込む必要があります。マルチモードCASBとも呼ばれ、インラインとAPIベースのCASB機能を組み合わせることで、新たな脅威に対する優れた可視性、管理、セキュリティ、ゼロデイの保護を提供します。

結論

お客様のビジネスが成長し、クラウドの旅を続けていく中で、Prisma AccessのようなSecure Access Service Edgeの包括的なソリューションを検討し、お客様のネットワークとネットワークセキュリティのニーズを解決することをお勧めします。SASEからお客様のビジネスが実現する戦略的メリットのトップ3は以下の通りです。

ビジネスの俊敏性とスピード

  • 最新のクラウドベースのネットワークとセキュリティインフラを使用して、デジタルトランスフォーメーションを実現します。
  • 組織を成長させることができ、地域的にもグローバルにも新しい拠点を拡大して、新しいイニシアティブを活用することができます。
  • オペレーションを合理化することで、競争優位性を高め、コストを削減し、利益を増加させることができます。

複雑さの軽減

  • ポイント商品の不必要な限定的な利用を排除。
  • クラウドからの運用により、運用の複雑さとコストを削減します。
  • ハードウェアの出荷、インストール、アップグレードに伴う物流上の問題を回避します。

サイバー攻撃を防ぐために設計された一貫したセキュリティ

  • 一貫性のあるセキュリティポリシーにより、組織のリスクプロファイルを強化します。
  • すべてのトラフィックに完全な可視性とセキュリティを提供します。
  • あらゆる場所のユーザーに保護を提供します。

 

要するに、成功したSASEソリューションは、単一の、統一された、クラウド配信されたプラットフォームから優れた保護とパフォーマンスを提供しながら、ネットワーク全体の全体的なビューを提供します。

 

コメント

タイトルとURLをコピーしました