効率性と高いパフォーマンスを保証する、信頼性の高い...
MPLSのメリットとデメリット:ご利用中のネットワークに合致していますか? 効率性と高いパフォーマンスを保証する、信頼性の高いルーティング技術であるMPLS。しかしリモートワークの普及、モバイル接続の増加、クラウドベースのインフラの台頭に代表される世界的な変化により、企業はMPLSネットワーク戦略を考え直す必要に迫られています。当ブログ記事では、MPLSとは何か、どのように機能するのか、MPLSのメリットとデメリット、その次は何を検討するべきかについて説明します。
MPLSとは?
MPLS(Multiprotocol Label Switching)とは、ルーターがリアルタイムでデータの転送先(ネクストホップ)を決定するのではなく、あらかじめ決められた経路を基に決定するネットワークルーティング技術です。複雑なルーティングテーブル上でアドレスの宛先を調べる代わりに、ルーターはパケットのラベルを見るだけでよいので、より迅速で効率的なルーティングが可能となります。またMPLSを利用するには専用の接続を設定しなければならないため、事実上のプライベートネットワークといえます。
MPLSの仕組み
MPLSでは経路上の最初のルータによって、データパケットがネットワークに入るときにラベルが割り当てられます。そしてラベルはパケットが通るべき経路をあらかじめ決定します。ラベルには値の他に、必要なQoS(Quality of Service、サービス品質)、スタック内のラベルの位置、タイム・トゥー・ライブ(Time To Live)を決定するための追加フィールドが含まれています。パケットはこのラベルに基づき、経路上の次のルーターにルーティングされます。
パケットを受信した2番目のルーターはこのラベルを読み取り、ネットワーク内の次の転送先を決定するために使用します。またパケットから既存のラベルを取り外し、新しいラベルを取り付けます。このプロセスは、データパケットが宛先に到達するまで繰り返されます。経路上最後のルーターは、データパケットからラベルを取り外します。
経路があらかじめ決まっているため、ルーターはラベルを読み取るだけで、パケットのIPアドレスを確認する必要がありません。よって、より高速かつ効率的なルーティングが可能になるのです。
MPLSルーティング用語集:
ラベル・エッジ・ルーター(LER)ー 最初または最後のルーター。データに最初のラベルを割り当てて経路を決定するか、パケットからラベルを取り外す。最初のルーターはIngress Label Switching Router(IngressLSR)、最後のルーターはEgress LSRとも呼ばれる。
ラベル・スイッチ・ルーター(LSR)ー 経路上のルーター。ラベルの読み取りと切り替えおよび、パケットの転送先の決定をする。
ラベル・スイッチ・パス(LSP)ー パケットが通過するネットワーク上の経路。
ここでMPLSルーティングのメリットとデメリットを確認しましょう。
リンク:誰も教えてくれないMPLSのこと | 詳しく読む
MPLSのメリット
MPLSにより、ネットワーク管理者やビジネスにもたらされる複数の利点は以下の通りです。
確実性
ラベルに基づいたルーティングをプライベートネットワーク上で行うことにより、パケットを宛先に確実に届けることが可能となります。また、MPLSではパケットの種類に応じて優先順位をつけることができ、例えばリアルタイムのビデオパケットを、より遅延の少ない経路でルーティングすることもできます。この確実性はSLA(Service Level Agreement、サービス水準合意)によって保証され、MPLSプロバイダーがサービス停止を解決したり、ペナルティを支払うかについても保証されています。
高パフォーマンス
高品質、低遅延、低ジッターのパフォーマンスを保証するMPLS専用インフラにより、効率性と優れたユーザーエクスペリエンスが保証されます。また音声やビデオ、ミッションクリティカルな情報などのリアルタイム通信にも不可欠です。
MPLSのデメリット
ただし、MPLSには次のような欠点もあります。
費用が高い
広帯域、高パフォーマンス、競争力のあるSLAを確保するため、MPLSサービスは高価です。また必要とされるプライベート接続の導入やアップグレードは、リソース集約的なプロセスになる可能性があります。
柔軟性の欠如
MPLSはクラウドではなく、ポイント・ツー・ポイント接続用に構築されています。そのため、WANにはロケーションの再構成や新規展開をするための集中型オペレーションセンターがなく、迅速なスケーラビリティを実現できません。
全てのエッジをサポートしない
MPLSは専用インフラを必要とするため、クラウドに拡張することはできません。そのため、リモートユーザーやSaaSアプリケーションへの接続には適していません。
結論
企業のレガシー・アプリケーションのための信頼できるソリューションです。しかしクラウドやリモートワークへの移行に伴い、企業はネットワーク戦略を再考し、よりコスト効率が高く効率的なソリューションを導入する必要があります。SASE(Secure Access Service Edge)は、MPLS、SD-WANなどの利点を全て兼ね備えた代替手段です。
SASEについてより詳しく知りたい方、またMPLS接続の改善方法については、当社までお問い合わせください。
主要なネットワーク・プロバイダやネットワークセキュ...
ガートナーのシングルベンダーSASE製品マーケットガイド:SASEマジック・クアドラントレポートに最も近い製品とは 主要なネットワーク・プロバイダやネットワークセキュリティベンダーがSecure Access Service Edge(SASE)の採用をはじめて以来、ITリーダー達はガートナーによるSASEマジック・クアドラントレポートを待ち望んでいます。
これは一体、どのような理由があるのでしょうか。
この業界では、様々なアプローチによる製品がSASEとして販売されています。ある企業は他の企業と提携し、一部だけが統合された製品による共同ソリューションを提供しています。ZscalerとそのほとんどのSD-WANパートナーがそれに当たります。また別の企業は、単に既存のソリューションをSASEとしてリブランディングしました。VMware SD-WAN(以前のVeloCloud)がVMware SASEへと呼称を変更したのがこの例にあたります。
市場が統合されたことにより、何年もかけて統合する必要があるような、本質的に異なるサービスを提供する会社がさらに増えています。例えば、HPE、Aruba、Silver Peakは統合作業を行うことでSASE製品を生み出しています。一方Cato Networksは、完全に統合されたグローバルネットワークとセキュリティのソリューションを一から構築するという、全く異なる道を選びました。ガートナーはこれを「シングルベンダーSASE」と呼んでいます。
SASEマジック・クアドラントレポートが発表されれば、このような業界の混乱は沈静化し、誰がリーダーであるかが明らかとなるでしょう。ガートナーは、まだSASEマジック・クアドラント発表の準備はできていないようですが、次善の策として、SASE市場、特にシングルベンダーSASEを詳細に分析したMarket Guide for Single-Vendor SASE(シングルベンダーSASEのマーケットガイド)を発行しています。
大幅な拡大が予想されるシングルベンダーSASE市場
シングルベンダーSASEとは、クラウド中心のアーキテクチャを使用し、ネットワークとSecurity as a Service(SECaaS)を統合した機能を提供するものであるとガートナーにより定義されています。Catoは、シングルベンダーSASEプロトタイプのリーダーです。シングルベンダーSASEのサービス例としては、SD-WAN、SWG、FWaaS、ZTNA、CASBなどがあります。これらすべてのサービスが、基本的なアーキテクチャ、サービス提供、および管理インターフェイスにおいて完全に統合されている点が重要です。シングルベンダーSASEが他のアプローチと異なるのは、これらが本当に単一クラウドサービスである点です。
こういった統合サービスは、シングルベンダーSASE市場の新たな参入者たちの全機能を網羅しているかもしれませんが、Catoにとってはスタート地点に過ぎません。これらのサービスに加え、Catoはグローバルプライベートバックボーン、データ漏洩防止(DLP)、迅速かつ精度の高い脆弱性軽減(CVEベース)、検知対応のマネージドサービス(MDR)、SaaS最適化、UCとUCaaS最適化などを含む様々な機能を提供しています。
ガートナーは、シングルベンダーSASEの導入が今後数年間で急速に進み、2022年のシングルベンダーSASEソリューションの導入が全体の10%だったのに対し、2025年までに新規SASE導入の3分の1がシングルベンダーになるとしています。また同じ時期までに、SD-WANの新規購入の半分が、シングルベンダーSASEのソリューションに含まれるだろうとも予想しています。
この市場の大きな成長要因となったのは、導入されるソリューションやベンダーの数を減らし、シンプルにすべきであるという要望です。Catoは長年にわたり、エンタープライズクラスの機能を提供しつつ、複雑さの低減も実現してきました。
ガートナー® シングルベンダーSASEのマーケットガイド | レポート
この「未熟な」市場の未来を牽引するCato
レポートの著者は「シングルベンダーSASEは、コアカテゴリーに含まれる各機能を所有、または直接管理している(OEM、パートナーとのサービスチェーンではない)必要がある」と述べています。「適切に設計された」ソリューションは、すべてのサービスが完全に統合されていること、単一の統合制御プレーンと単一のセキュリティポリシー、統一された拡張可能なソフトウェアベースのアーキテクチャ、および柔軟性と使いやすさを備えていることが必要とされます。レポートでは、セキュアWebゲートウェイ、CASB(クラウドアクセスセキュリティブローカー)、ZTNA(ゼロトラストネットワークアクセス)、SD-WANの各分野における中核的な機能要件が挙げられています。
ガートナーは、「未熟な」業界には、分析会社の最低要件を満たすベンダーが複数存在しており、似て非なるも多く存在すると指摘します。
シングルベンダーSASEは、ネットワークとセキュリティを1つのソリューションにまとめ、多くの機能を提供します。そのためガートナーは、ネットワーク専門家とセキュリティ専門家の合同チームを編成し、組織の最も重要なニーズに基づいてソリューションを評価するよう推奨しています。
シングルベンダーSASEによる沢山のメリット
このように、シングルベンダーSASEは多くのメリットを持っています。ガートナーは、シングルベンダーSASEソリューション導入の理由として、以下を挙げています。
組織のセキュリティ体制の向上:様々なセキュリティ機能の複雑さが軽減され、あらゆる場所で単一のポリシーが適用されることで、攻撃対象が縮小することによりもたらされます。
ネットワークとセキュリティスタッフのマンパワーの有効活用:導入時間の短縮、統合されたプラットフォームによる管理スキルやリソースの削減、様々なセキュリティ機能に単一のポリシーが適用されることから、無駄な作業から開放されます。
ユーザーとシステム管理者のエクスペリエンスの向上:レイテンシーやジッタなどのパフォーマンス問題を抑制あるいは排除しやすくなり、問題をエンドツーエンドで診断することが容易になるほか、ログやその他のイベントデータのリポジトリも一元化されます。
もちろん、このようなソリューションの導入にあたっては、組織の縦割り構造や、既存のIT投資についてどうするかなどの課題もあります。また、初期段階のベンダーにとっては、グローバルなカバレッジが問題になることもあります。Catoは現在、世界中に75以上のPoPを持ち、広範囲をカバーしています。ソリューションの成熟度が問題となるのは、主に新規参入ベンダーの問題であるとガートナーは述べています。Catoは、シングルベンダーSASE業界において8年以上の実績があり、市場で最も成熟したベンダーの一社です。
ガートナーの推奨
ガートナーは、戦略・計画、評価、導入に関する推奨事項を発表しています。
ネットワークとセキュリティの両方を担当する部門横断的なチームを立ち上げ、実装成功の可能性を高めること
シングルベンダーSASEと、マルチベンダーまたはマネージドベンダーSASEと比較して評価し、どの方式が最も柔軟性があるか判断すること
シングルパス・スキャン、単一統合コンソール、全機能をカバーするデータレイクを提供するシングルベンダーSASEを選択し、ユーザー体験とスタッフの効率性を改善すること(Catoはこれら全てを提供しています)
概念実証(PoC)プロジェクトを実際のロケーションとユーザーで行い、ニーズをどの程度満たすことができるかを検証すること(Catoは、いますぐPoCのセットアップが可能です)
最も成熟した、機能豊富なシングルベンダーSASEをお探しなら、世界中で最も多くのPoPを持つCato Networksをおいて他にはありません。デモのご依頼はこちらから。https://www.catonetworks.com/ja/contact-us/.
サイバーセキュリティ関連の略語や略称は、AVやVP...
覚えておきたいサイバーセキュリティ関連略称・略語26選 サイバーセキュリティ関連の略語や略称は、AVやVPNといった馴染みの深い単語以外にも多く存在します。ここでは、常に進化し続けるサイバーセキュリティにまつわる状況への対応に役立つ、主要な略語をご紹介します。
SASE
セキュアアクセスサービスエッジ(SASE)は、ネットワークとセキュリティの機能を統合したクラウドベースのソリューションです。SASEに実装されたSD-WAN機能がネットワークを最適化し、次世代ファイアウォール(NGFW)、セキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)などを含む統合セキュリティスタックが企業WAN上のトラフィックを安全に保護します。この用語を生み出したガートナーは、SASEを「ネットワーク・セキュリティの未来」であると位置づけています。
CASB
クラウド・アプリケーションとユーザーの間に位置するのがクラウド・アクセス・セキュリティ・ブローカー(CASB)です。クラウドベースのアプリケーションとのすべてのやりとりを監視し、企業のセキュリティ・ポリシーを適用します。クラウドの導入が進むにつれ、CASB(SASEソリューションにネイティブに統合されている)は、企業のセキュリティ・ポリシーに不可欠な要素となっています。
ZTNA
Software-Defined Perimeter(SDP:ソフトウェア定義の境界)とも呼ばれるZero Trust Network Access(ZTNA)は、VPNに代わる安全なリモートアクセスのためのソリューションです。VPNと違って、ZTNAはゼロ・トラスト・セキュリティ・ポリシーに準拠し、臨機応変に企業リソースへのアクセスを提供します。ZTNAを、SASEソリューションの一部として導入することで、分散化した今日のリモートワーカーをサポートすることが可能です。
SDP
Software-Defined Perimeter (SDP:ソフトウェア定義の境界)は、ZTNAの別名です。従来型のリモートアクセスソリューションとは異なり、ゼロトラストの原則を適用したセキュアなリモートアクセスソリューションです。
ZTE
Zero Trust Edge(ZTE)は、Forrester版のSASEといえるでしょう。物理的に離れている拠点およびワーカーに、ZTNAを使用することでより安全なインターネット接続ポイントを提供します。ZTEモデルは、ネットワークエッジにセキュリティ機能を分散させ、企業WAN全体にゼロトラスト原則を適用するSASEとともに導入するのが効果的です。
DPI
ディープパケットインスペクション(DPI)は、ネットワークパケットのヘッダだけでなく内容も検査する機能で、アプリケーション層で発生するサイバー攻撃検知のために不可欠です。SASEソリューションでは、DPIを利用することで統合型セキュリティ機能をサポートしています。
NGFW
ディープパケットインスペクション(DPI)を使用して、レイヤー7のアプリケーション・トラフィック解析と侵入検知を実行するのが次世代ファイアウォール(NGFW)です。また、情報に基づいた脅威の判断を行うために脅威インテリジェンスを使用する機能を備え、従来のファイアウォールのポート/ プロトコルインスペクションを超えるそれ以上の高度な機能を搭載していることもあります。
FWaaS
Firewall as a Service(FWaaS)は、NGFWの機能をクラウドベースのサービスとして提供する、SASEソリューションの基盤となるセキュリティ機能の1つです。
IPS
Intrusion Prevention System(IPS)は、ネットワークやシステムに対する攻撃の試みを検知し、ブロックするために設計されました。侵入検知システム(IDS)のように警告を発するだけでなく、必要に応じてファイアウォールのルールを更新するなどして、悪意のあるトラフィックをブロックすることができます。
SWG
Secure Web Gateway(SWG)は、フィッシングやマルウェアなどのインターネット上の脅威から保護と、インターネット閲覧に関する企業ポリシーの実施のために設計されています。SWGはSASEソリューションの組み込み機能であり、企業の全従業員に安全なブラウジングを提供します。
NG-AM
次世代マルウェア対策(NG-AM)は、機械学習や異常検知といった高度な技術を使って潜在的なマルウェアを特定します。これによって、従来のシグネチャベースの検知スキームを回避するように設計された、最新のマルウェアを検知することができます。
UTM
統合脅威管理(UTM:Unified Threat Management)は、複数の異なるネットワークセキュリティ機能を提供するセキュリティソリューションを表す用語です。SASEは、ネットワークセキュリティに必要なすべての機能をクラウドサービスで提供するため、UTMアプライアンスのライフサイクル管理をシンプルにします。
DLP
情報漏洩防止(DLP:Data Loss Prevention)ソリューションは、故意または偶発的なデータ漏洩試行の特定と対処をします。SASEのもつ詳細なネットワーク可視性は、企業WAN全体にわたるDLP機能の提供を可能とします。
WAF
Webアプリケーションファイアウォール(WAF)は、Webアプリケーションへのトラフィックを監視・フィルタリングし、Webアプリケーションの悪用やデータ窃盗試行をブロックします。SASEは、オンプレミスのデータセンターおよびクラウドの両方で、Webアプリケーションを保護するためのWAF機能を実装しています。
SIEM
Security Information and Event Management(SIEM:セキュリティ情報イベント管理)は、セキュリティアプライアンスからデータを収集、集約、分析し、コンテキストに沿ったデータとアラートをセキュリティチームに提供します。この機能は、SASEなどの統合されたネットワーク・セキュリティ・インフラストラクチャではなく、多くのスタンドアロン・ソリューションに依存するレガシーセキュリティの配置に必要とされるものです。
SOC
サイバー攻撃から企業を保護する役割を担うのが、セキュリティオペレーションセンター(SOC)です。セキュリティアナリストがアラートを調査し、それが実際のインシデントであるかどうかを判断し、インシデントレスポンスと修復を行います。
MDR
Managed Detection and Response(MDR:検知と対応のマネージドサービス)は、AIや機械学習を利用して脅威の調査、警告、封じ込めを行い、継続的に脅威の検知と対応を行うマネージドセキュリティサービスモデルです。SASEソリューションにMDRを組み込むことで、SOCチームはあらゆるトラフィックを瞬時に完全に可視化できるため、ネットワークプローブやソフトウェアエージェントの追加の必要がありません。
TLS
トランスポート・レイヤー・セキュリティ(TLS)は、トラフィックをレイヤーで覆うことで暗号化し、サーバーとクライアントの認証を行うネットワークプロトコルです。WebブラウジングにおけるHTTPとHTTPSの違いが、TLSとなります。
SSL
TLSの前身にあたるのがSecure Sockets Layer (SSL)プロトコルで、しばしばSSLまたはTLSとも呼ばれます。
TI
サイバー攻撃の検知と防止に役立つように設計された情報のことを、脅威インテリジェンス(TI: Threat Intelligence)といいます。TIには、マルウェアのシグネチャ、既知の悪質なIPアドレスやドメイン名、現在のサイバー攻撃キャンペーンに関する情報などが含まれることがあります。
CVE
Common Vulnerabilities and Exposure(CVE:共通脆弱性識別子)は、一般公開されているコンピューターのセキュリティ上の欠陥のリストです。新たに発見された脆弱性には、MITRE社などの機関によりCVEが付与され、脆弱性の名称や説明が異なる複数のソース間での情報の追跡と照合を容易にします。
APT
Advanced Persistent Threat(APT:標的型攻撃)は、国家や組織犯罪から資金提供を受ける、高度なサイバー脅威の実行者を通常指します。企業のサイバーセキュリティに持続的な脅威を与えるために必要なリソースと能力を持つという事実から名付けられました。
DDoS
分散型サービス妨害(DDoS: Distributed Denial of Service)攻撃とは、複数の侵害されたシステムが標的となるサービスに対してスパムリクエストを送信するものです。この攻撃の目的は、ターゲットとなるシステムに極端な量のリクエストを送信し、本来のユーザーによるリクエストに応答できないようにすることです。
XDR
Extended Detection and Response(XDR)は、複数の異なるセキュリティ機能を統合し、サイバー脅威に対してより包括的でまとまりのある保護を提供するクラウドベースのソリューションです。高度でステルス性の高いサイバー攻撃を特定し、ブロックすることで、攻撃に対する主体的防御を実現します。
SSE
セキュリティサービスエッジ(SSE)は、セキュリティ機能をネットワークの境界からネットワークのエッジに移動させるものであり、これはSASEソリューションの基本原理でもあります。
IoC
Indicators of Compromise (IoC) は、マルウェアのシグネチャ、既知のIPアドレスやドメインなど、システムがサイバー攻撃によって侵害されているかどうかを判断するために使用できるデータです。IOCは、一般的に脅威インテリジェンスフィードの一部として配布されます。
CISOへの道は人それぞれ CISOになるための道...
CISOになるために:5ステップの行動計画 CISOへの道は人それぞれ
CISOになるための道は決してひとつではありません。
ですから、ご自身のキャリアパスが上記に当てはまらなくても、所謂「典型的」なものでなくても落胆しないでください。最終目標が「CISOになること」であるのなら問題ありません。今章では、IT、IS、またはサイバーセキュリティにおける現在の職務から、世界レベルのCISOになるための総合的な行動計画について解説します。
ステップ1:
CISOになるためには、視点を変える必要がある
IS、IT、サイバーセキュリティとCISOの役割の違い:戦術的な役割から戦略的な役割へ
セキュリティ・エンジニアから未来のCISOへとシフトする
CISOになりたいセキュリティ・エンジニアはしばしば焦点が狂いがちです。セキュリティ・エンジニアとして成功するためには、問題解決にフォーカスすることが重要です。一流のセキュリティ専門家であるためには、他の人が見つけることのできない脆弱性を特定し、修正することにかけてプロフェッショナルである必要があります。
CISOを目指すものとしてどう考え、行動するか
CISOは、セキュリティ・エンジニアが発見した問題の解決策を、経営幹部、CEO、取締役会向けに提案します。CISOとしての役割を果たすには、問題志向から解決志向への変換スキルが必須です。
CISOになる際に犯しがちな間違いとして、自分の技術的能力を売り込むという最も慣れ親しんだ方法でリードしてしまうことがあります。セキュリティ・チームとの対話において技術的な理解は不可欠ですが、経営陣や役員との対話では必要ありません。経営幹部や役員は、問題そのものではなく、解決策に関心を持っています。あなた自身はビジネスを完全に理解し、サイバー・ソリューションを特定し、ビジネス・リスク、利益、損失の観点からそれら自身を持って説明できなければなりません。新しいビジネスタスクを成功させるためには、ビジネス目標への成長予測を達成するためのイネーブラーとして、サイバー活用に重点を置いてください。
CISOになるために必要なスキル一覧
技術的な要件をビジネス要件に変換する
経営幹部、VPS、Cレベル、投資家、取締役会へのブリーフィングの実施
担当するビジネスを高レベルで理解する
(会社、目標、競合他社、年間売上高、売上予測、競合他社の直面する脅威など)
高度なコミュニケーション能力。効果的なメール送信、インパクトあるプレゼンテーション
リスク評価を実施し、機能性とセキュリティのバランシングをする
組織における収益と利益率の向上に注力する
問題志向ではなく、解決志向を重視する
ステップ2:
CISOの役割を明確にする:CISOの実際の役割とは?
CISOの役割と責任(R&R)を知る
CISOは、基本的にセキュリティ技術チームと経営陣の間を取り持つ存在です。
ステップ3:
CISOとして成功するために、何が重要であるかを判断する。
最終的にキャリアの成功を決定づけるのは、自分の役割の中でどう判断するかにかかっています。CISOはしばしば、ゼロサムセキュリティゲームにより自ら失敗の可能性を高めてしまうことがあります。
これは、セキュリティインシデントが発生する=CISOが解雇される=関係者すべての不利益となる、ということを意味します。
一方有能なCISOは、サイバーセキュリティとはセキュリティと機能性の確保という微妙なバランスの上に成り立つ行為であることを知っています。
100%のセキュリティとは0%の機能性を意味します。逆も然りです。
戦略的なCISOは、このことを理解し、CEOや取締役会と協力して露出を最小限に抑えながら、成功への現実的なKPIを確立し、成功への道を切り開きます。
CISOの役割を成功させるための指標を確立する
CISOの役割を成功させるためには?
唯一の成功の指標:99.999%の可用性
これにより、CISOは目標達成に必要とされるR&Rに集中することができます。
CISOのKPIとKPI設定プロセスの提案
組織において攻撃未遂が毎週何件発生しているかを分析し、ベンチマークを設定する。
エグゼクティブレポートに毎週の攻撃試行の指標(例:300 件)を記載する。
成功に向けたベンチマーク案を作成する:例: 98%の攻撃を防御する
提案したKPIについて、経営陣の同意を得る。
攻撃に関する指標(週次攻撃試行回数+防御回数)を定義し、経営陣に週次報告する。(セキュリティインシデントを経営幹部および取締役会に速やかに報告するようにする)
必要に応じてKPIを調整し、経営陣の同意を得る
ステップ4:
ギャップを意識する:現在の技術的なギャップとビジネス上のギャップを埋める
推奨される技術的教育
GIAC / GSEC Security Essentials
CISSP (セキュリティ プロフェッショナル認定資格制度)
またはCISM(公認情報セキュリティマネージャー)認定資格またはCISA(公認情報システム監査人)認定資格
SASE(セキュアアクセスサービスエッジ)認定資格
SSE(セキュリティサービスエッジ)認定資格
推奨される技術経験
IS、サイバーセキュリティ、ネットワーク、ITの分野で3~5年以上の経験を有し、セキュリティに強い関心を持っていること。
推奨されるビジネス教育
MBAまたは同等のビジネス学位、または関連するビジネス経験
CPAまたは会計コース
推奨されるビジネス経験
3〜5年のビジネス経験
ビジネスオペレーション、ビジネスマネジメント、SOCマネージャー、またはビジネス、マネジメント、リーダーシップのスキルを証明する職務経験
推奨される理解度:
業界のセキュリティの標準(NIST、ISO、SANS、COBIT、CERT、HIPAAを含む)
現行のデータプライバシー規制(例:GDPR、CCPA、地域別基準)
ステップ5:
CISOの仕事に未経験で就く方法
共通したジレンマ - 関連する経験を、未経験で積むにはどうしたらよいのでしょうか。
バーチャルCISOの役割を友人や家族の中小企業で引き受ける。
週に3時間、バーチャルCISOとしてサービスを提供する。
その代わり、月に3回推薦してもらい、ポジティブな参考文献としてのサービス提供を依頼する。
既存のCISOから指導を受けることは可能か?
友人、家族、元同僚など、コンタクト可能なCISOから始めてみましょう。
LinkedInでCISOにコンタクトを取り、お茶やディナーに招待する。
月に一度、夕食を共にし、指導を受けることができないか聞いてみましょう(彼らが決めた場所へ出向き、費用はあなた持ち)。
何度か断られたり、反応がなくても、がっかりしないでください。
最初のCISOとしての仕事を得るために:キャリアを成功させるためのアクションプラン
求人に応募する
履歴書を送付し、面接にこぎつけましょう。
1週目:
CISOの求人に既存の履歴書を20通送る。
何人が返信し、面接を申し込んだか(2週間以内)?
成功率が50~70%未満であれば、履歴書を修正する必要があります。
このプロセスを繰り返し、20通の履歴書送付ごとに、最低10通のポジティブな反応を得ることを目標とします(リクルーターが反応するまでは1.5~2週間ほどかかります)。
面接獲得のために履歴書を修正する
面接獲得率が50~70%に達しない場合は、履歴書を修正する必要があります。しかし、一体どこを修正すればいいのでしょうか?
CISOの履歴書における最も一般的な誤り(要注意!)
履歴書においては、技術的能力だけでなく、ビジネスセンスをアピールすべきです。前述の戦略的スキルを見直し、それらをアピールしましょう(関連する学歴、職歴、キャリアなどがあればそれも追加しましょう)。
経営陣や役員への説明経験はあるか?
有効なプレゼンテーションを行ったことがあるか?
リスク管理プログラムを作成し、組織全体の調整の経験があるか?
サイバーセキュリティのベストプラクティスに関するオンラインフォーラムを主宰しているか?
実際の技術的な能力だけでなく、ビジネスやリーダーシップに精通していることをアピールする方法を考えましょう。
面接ラウンド
通常、CISOの面接は5〜7回行われます。
覚えておこう:一次面接のゴールは、二次面接を受けることです。二次面接のゴールは、三次面接を受けることです。法務、財務、CEO、CIO、人事担当などとの面接に備えましょう。
ポジション獲得:CISO就任までの道のり
「未来を予測する最良の方法は、未来を創造することである」とは、アブラハム・リンカーンの言葉です。このガイドが、新しいエキサイティングなCISOとしての未来に向けたスタートとなることを願っています。皆さんと皆さんの将来の成功を信じています。幸運を祈ります。また、このガイドが役に立ったと感じたら、新たにCISOのポジションを探している友人や同僚に、積極的に共有してあげてください。
CISOのポジションを獲得した後にすべきこと
おめでとうございます!あなたはCISOとして採用されました。
ついにここまできましたね。CISOのポジションに初めて就きました。ここまでの努力と献身を、私たちはとても誇りに思います。新しい職務に就く前に、キャリアを成功に導くためのベストプラクティスをいくつかご紹介します。
CISOとして成功するために:念頭に置くべきこと
2016年以降、1000人以上のCISOと対話した結果、次のことを念頭に置くことが重要です。
CISOの焦点と影響を決めるネットワークセキュリティアーキテクチャ
組織や範囲に関わらず、CISOの役割は、約束したKPIを過不足なく満たすことです。そこで、セキュリティ・チームへの対応を事後対応型にするか、事前対応型にするかを決めなくてはなりません。セキュリティ脆弱性の精査やパッチ適用、異なるセキュリティ・ポリシーの緩和に時間を割きたいですか?それとも、収益を生み出す大きなミッションの達成にサイバーセキュリティを通じて専念したいですか?あなたは、ネットワーク・セキュリティ・アーキテクチャによって企業の攻撃対象領域を最小化し、自身と担当するチームが適切に注意を払うことができるようにしなければなりません。
そのために、WAN、クラウド、インターネットのトラフィックを完全に可視化・制御し、サイバーセキュリティを通じてビジネス目標を達成するためのタスクを実行する必要があります。さもなければ、サイバーセキュリティを通じたビジネスの実現は絵空事となり、機能が戦術的なものに戻ってしまいます。
Cato SSE 360 = SSE + 完全な可視化&制御
一貫性のないセキュリティポイントソリューションは、リソースに限りのあるセキュリティチームへの過度の負担となり、セキュリティ体制に影響を与え、設定ミスによる総合的リスクを増大させます。従来のSSE(Security Service Edge)への収束はこれらの課題を軽減しますが、インターネット、パブリッククラウドアプリケーション、一部の内部アプリケーションにしか可視性と制御は提供されません。WANトラフィックは精査されず、最適化もされないまま放置されます。また、シングルベンダーのSASEを基としないSSEプラットフォームでは、SD-WANへの収束を拡張し、SASEへアップグレードすることができません。
Cato NetworksのSSE 360 サービスはこの問題を解決します。SSE 360は、あらゆるWAN、クラウド、インターネットのアプリケーション・リソースに対して、またすべてのポートとプロトコルに渡って、すべてのトラフィックを最適化し、セキュリティを担保します。Catoの統合ネットワークセキュリティの全製品に関しては、SSE 360のホワイトペーパーをご覧ください。Cato SSE 360は、企業のISチームのニーズを満たす設定可能なセキュリティ・ポリシーを完備しています。
企業ネットワークのセキュリティ侵害において、悪意の...
ネットワーク上の悪質なボットを識別するための5つのステップ 企業ネットワークのセキュリティ侵害において、悪意のあるボットが深刻な被害をもたらすことは周知の事実です。ボットは、マルウェアを企業ネットワーク全体に伝播するために多く利用されます。しかし、ソフトウェアのアップデータなど、運用環境におけるルーチンプロセスの多くがボットであるため、悪意のあるボットの特定および削除は複雑になっています。
ごく最近まで、「悪い」ボットと「良い」ボットをセキュリティチームが区別するための効果的な方法は存在しませんでした。ボットを識別するとされるオープンソースのフィードやコミュニティルールはほとんど役に立たず、誤検出が多すぎます。結局セキュリティ・アナリストは、優良ボットによる無関係なセキュリティ・アラートをすべて分析・追跡するため、大変な手間となります。
Catoは、お客様のネットワークを保護する上で同様の問題に直面したため、解決のための新しいアプローチを開発しました。これは、当社のSECaaS (セキュリティ・アズ・ア・サービス)に実装された多次元的な手法で、オープンソースのフィードやコミュニティルールだけでは不可能だった72%以上の悪質なインシデントを特定することができます。
あなたのネットワークにも、同様の戦略導入が可能です。ネットワークへのアクセス、タップセンサーのようなトラフィックをキャプチャする方法、1週間分のパケットを保存できる十分なディスク容量など、ネットワーク・エンジニアにとって必要不可欠なツールが用意されています。これらのパケット・キャプチャを解析して、さらに強固なネットワークの保護方法を解説します。
悪質なボットトラフィック特定のための5つのベクトル
お話したとおり、当社は多次元的アプローチを採用しています。悪意のあるボットを正確に特定できる変数は存在しませんが、複数の方向からの評価による総合的インサイトにより、ボットをピンポイントで特定することができます。人が生成したセッションから、ネットワークに対するリスクの可能性のあるセッションまで、徐々にフィールドを絞り込むことで特定します。
当社のプロセスは次のように単純です:
ボットと人を区別する
ブラウザと他のクライアントを区別する
ブラウザ内のボットを区別する
動作内容を分析する
ターゲットのリスクを判断する
次に、それぞれのステップについて解説します。
通信頻度の測定によりボットと人間を区別する
ほとんどのボットは、コマンドの受信、キープアライブ信号の送信、データの流出などを行う必要があるため、ターゲットと継続的に通信する傾向があります。ボットと人間を区別するための最初のステップは、ターゲットに対して繰り返し通信しているマシンを識別することです。
つまり、多くのターゲットと定期的かつ継続的に通信しているホストを見つけることが重要だということです。私たちの経験上、1週間分のトラフィックがあれば、十分にクライアントとターゲットの通信の性質を判断することができます。統計的に、通信が均一な性質をもっていればいるほど、ボットによって生成されている可能性が高くなります(図1参照)。
図1:2021年5月中旬のボット通信を示したこの頻度グラフ。ボットトラフィックの強力な指標である通信が完全に同じパターンで分布していることに注目してください。
サイバーセキュリティ・マスタークラスに参加する:虚偽の情報からディープフェイクまで
ブラウザと他のクライアントを区別する
ボットがマシンに存在するという情報だけでは不十分です。お話したように、ほとんどのマシンは何らかのボット・トラフィックを発生させています。そこで、ネットワーク上で通信しているクライアントの種類を確認する必要がある。一般的に、「良い」ボットはブラウザ内に存在し、「悪い」ボットはブラウザ外で動作します。
OSには、トラフィックを生成するクライアントやライブラリの種類があります。例えば、「Chrome」、「WinInet」、「Java Runtime Environment」はすべて異なるクライアント・タイプです。最初は、クライアントのトラフィックは同じに見えるかもしれませんが、クライアントを区別し、コンテキストを強化する方法がいくつかあります。
まず、アプリケーション層のヘッダを見てみましょう。ほとんどのファイアウォールでは、どのアドレスにもHTTPとTLSを許可しているため、多くのボットがこれらのプロトコルを使ってターゲットと通信しています。ブラウザ以外で動作するボットは、クライアントが設定したHTTPとTLSの機能群を識別することで特定できます。
あらゆるHTTPセッションは、リクエストを定義する一連のリクエストヘッダと、どのようにサーバーがそれを処理すべきかの情報を持っています。それらのヘッダー、順番、値は HTTPリクエストの構成の際に設定されます (図 2 参照)。同様に、暗号スイート、拡張リスト、ALPN (Application-Layer Protocol Negotiation)、楕円曲線などのTLSセッション属性は、暗号化されていない最初のTLSパケット、「client hello」パケットで確立されます。HTTPとTLS属性の異なるシーケンスをクラスタリングすると、異なるボットが示されるでしょう。
例として、これにより異なる暗号スイートを使用したTLSトラフィックを発見することができます。これは、トラフィックがブラウザの外部で生成されていることを示すもので、人間離れしたアプローチであるため、ボットトラフィックの良い指標となります
図2:Windowsの暗号ライブラリで生成されたパケットヘッダのシーケンス(カンマ区切り)の例。ヘッダーの配列、キー、値を変更することで、ボットを分類することが可能
ブラウザ内のボットを区別する
悪意のあるボットを識別するもう一つの方法として、HTTPヘッダーに含まれる特定の情報に注目することが挙げられます。通常インターネットブラウザには、明確かつ標準的なヘッダーイメージがあります。通常のブラウジングセッションでは、ブラウザ内でリンクをクリックすると、そのURLに対する次のリクエストに含まれる「referrer」ヘッダが生成されます。ボットトラフィックは通常、「referrer」ヘッダーを持たないか、最悪の場合、偽造します。すべてのトラフィックフローで似たように見えるボットは、悪意の兆候を示している可能性があります。
図3:ブラウジングセッションのヘッダー内でのRefererヘッダー使用例
「User-agent」は、最もよく知られたリクエストを開始したプログラムを表す文字列です。fingerbank.orgなどのさまざまなソースは、ユーザーエージェントの値を既知のプログラムバージョンと照合します。この情報を利用することで、異常なボットを特定することができます。例えば、最近のブラウザは、ユーザーエージェントの欄に「Mozilla 5.0」という文字列を使用しています。Mozillaのバージョンが低いか、全く存在しない場合は、異常なボットのユーザーエージェント文字列であることを示しています。信頼できるブラウザは、ユーザーエージェントの値なしにトラフィックを生成することはありません。
動作内容を分析する
また、ボットの検索はHTTPとTLSのプロトコル以外を調べることで可能です。例えば、IRCプロトコルは、悪意のあるボットの活動によく使われます。また、既知のポート上で独自の未知のプロトコルを使用する既知のマルウェアサンプルも見つかっており、この場合はアプリケーション識別を使用することでフラグを立てることができます。
さらに、インバウンドまたはアウトバウンドといったトラフィックの方向も重要な意味を持ちます。インターネットに直接接続されているデバイスは、常にスキャン動作にさらされているため、これらのボットはインバウンドスキャナーでしょう。一方、スキャニング活動がアウトバウンドする場合は、スキャニングボットに感染したデバイスであることを示しています。スキャンされるターゲットにとって有害であり、これによって組織のIPアドレスの評価を失墜する可能性があります。以下のグラフは、トラフィックフローが短時間で急増していることを示しており、スキャンボットの活動である可能性があります。これは、フロー/秒の計算式を使用することで分析できます。
図4: 高頻度アウトバウンドスキャン動作の一例
ターゲットの分析:宛先を知る
ここまで、クライアントとサーバーの通信頻度やクライアントの種類からボットの指標を探してきました。ここでは、「宛先」または「ターゲット」についてお話します。悪意のあるターゲットを特定するためには、「ターゲットの評価」と「ターゲットの知名度」の要素を考慮する必要があります。
ターゲットの評価は、多くのフローから収集した履歴に基づき、ドメインが悪意あるものである可能性を計算します。評価は、サードパーティのサービスにより決定されるか、ユーザーがターゲットを悪意あるものとして報告するたびに記録される自己計算によって決定されます。
しかし、ターゲットの評価を決定するためには、URL評価フィードなどの単純なソースだけでは不十分なことが多くあります。毎月、何百万もの新しいドメインが登録されています。そのため、ドメイン評価レピュテーションメカニズムはそれらを適切に分類するための十分なコンテキストを持たず、高い確率で誤検出を引き起こします。
まとめ
以上のことを踏まえると、セッションは次のように大別されます:
人間ではなく、機械によって生成されたもの
ブラウザ以外で生成された、または異常なメタデータを含むブラウザトラフィックでること
知名度のないターゲット、特に分類されていない、または悪意があるとマークされているターゲットと通信すると、疑わしく思われる可能性があります。正規のボットや優良ボットは、知名度の低いターゲットと通信すべきではありません
Andromedaマルウェアのネットワーク下における実践
これらの方法を組み合わせることで、ネットワーク上のさまざまな種類の脅威を発見することができます。Andromedaボットの検出を例として見てみましょう。Andromedaは、他の種類のマルウェアのダウンローダーとして頻繁に利用されています。当社では、これまで説明した5つのアプローチのうち、4つのアプローチを用いてデータを分析し、Andromedaを特定しています。
ターゲットの評価
私たちは「disorderstatus[.]ru」が、複数の評価サービスによって悪意あるドメインと見做されていることに気づきました。様々なソースから見たこのサイトのカテゴリーは「既知の感染源、ボットネットワーク」ですが、特定のホストがAndromedaに感染しているかどうかが示されていないため、ユーザーがそのサイトを閲覧しているだけの可能性も捨てきれません。さらに前述の通り、URLは「不明」または「悪意がない」に分類されます。
ターゲットの知名度
1万人のユーザー中、このターゲットと通信しているユーザーのマシンは1台だけで、これは非常に珍しいことです。そのため、このターゲットの知名度は低くなっています。
通信頻度
クライアントとターゲット間において、1週間にわたって3日間の連続したトラフィックが検出されました。このように繰り返し通信が行われていることも、ボットであることを示す指標となっています。
図5:ユーザーとdisorderstatus[.]ruの間のクライアント・ターゲットの通信。頻度は1時間のバケットで3日間にわたって表示されている
ヘッダーの解析
要求しているユーザーエージェントは「Mozilla/4.0」であり、最新ブラウザではないことから、ユーザーエージェントはボットである可能性が高いことが示されています。
図6:disorderstatus[.]ruで取得したトラフィックからのHTTPヘッダー画像。これらのリクエストのいずれにも「referrer」ヘッダーがないことに注目してください。User-Agentの値もMozilla/4.0に設定されています。どちらもAndromedaセッションの指標です。
結論
IPネットワーク上のボット検出は容易ではありませんが、ネットワークセキュリティの実践やマルウェア検出が基礎となりつつあります。今回紹介した5つのテクニックを組み合わせることで、悪意のあるボットをより効率的に検出することができます。
セキュリティサービスの詳細についてはこちらをご覧ください。Catoのマネージド脅威検出・対応サービスについてはこちらをご参照ください。
世界的なパンデミックが起こるずっと以前から、少なく...
企業向けリモートアクセス技術の形態 世界的なパンデミックが起こるずっと以前から、少なくとも企業は一部の従業員にリモートワーク環境を提供していました。出張中の営業担当や、週に数日自宅で仕事をする在宅勤務者など、ごく一部の社員はリモートで会社のリソースにアクセスする必要がありました。
パンデミックにより一瞬にして、世界中に何百万人ものリモートワーカーが誕生したようです。従業員は、できる限り自宅から隔離状態で仕事をするように命ぜられました。企業は突如として、世界中のどこからでも同時にアクセスする、数百、数千のユーザーに対してリモートアクセスを提供することを余儀なくされました。すでに少数のリモートワーカーにVPNサービスを提供していた多くの企業は、自宅に隔離されたより多くの従業員向けに機能拡張を急ぎました。しかし現在、VPNは企業にとって最適なリモートアクセス技術なのか、他の技術の方がより優れた長期的ソリューションを提供できるのか、考え直す時期に来ているのではないでしょうか。
長期的なリモートアクセスが一定期間常態化する可能性
ナレッジワーカーの一部は従来のオフィスに戻りつつありますが、それ以上に多くの従業員がまだ自宅から仕事を続けており、今後もしばらくその状態が続くことになります。Global Workplace Analyticsは、2021年末までに労働人口の25~30%が週に数日、自宅から仕事をするだろうと予測しています。また、従来のオフィスに戻ることなく、この先もずっと在宅勤務(WFH)を続けることを選ぶ人もいるかもしれません。
企業はこれに対応するため、使いやすく高パフォーマンスで、安全性の高いネットワークアクセスといった、在宅勤務者にオフィスと同様のエクスペリエンスを提供するリモートアクセスソリューションを導入する必要があります。さらにそのソリューションは、技術者を増やすことなく、費用対効果が高く、管理が簡単でなければいけません。
VPNは依然、選択肢の1つとしてありますが、その他はどうでしょう。他の選択肢としては、アプライアンスベースのSD-WANやSASEが挙げられます。それぞれのアプローチについて解説します。
VPNはあらゆる従業員をサポートする設計ではない
一部の従業員にとっては便利なリモートアクセスソリューションですが、多人数の従業員にリモートアクセスを提供するには非効率的な技術です。VPNはポイント・ツー・ポイント接続用に設計されているため、リモートワーカーとデータセンター内のネットワークアクセスサーバー(NAS)間の安全な接続には、それぞれ独自のVPNリンクが必要です。各NASの同時接続可能なユーザー数には限りがあるため、大規模なリモートユーザーに対応するには、本格的なデータセンターのインフラが必要となる場合があります。
VPN接続では、ユーザーとVPN間のあらゆる通信が暗号化されます。この暗号化処理には時間がかかるため、使用する暗号の種類によっては、インターネット通信に大幅な遅延が生じる可能性があります。リモートユーザーが、IaaSやSaaSといったアプリケーションやサービスにアクセスの必要がある場合に発生する遅延はより重大です。トラフィックは、エンドユーザーとNASの間を移動してからクラウドに送信され、帰りはその逆経路を取るため、複雑化します。
VPNは、特定のリソースへのきめ細かいアクセス制御のオプションを持たないにも関わらず、ネットワーク全体への過剰なアクセス権を提供してしまうという重大な問題点を持っています。いくつかの有名なデータ流出事件に、VPNを使って盗まれた認証情報が関与しています。攻撃者は正規の認証情報を使用し、VPN経由で接続することで、標的とする企業ネットワークに侵入し、自由に移動することができたのです。さらに、接続するデバイスのセキュリティ状態を確認することができないため、安全でないユーザーデバイスを経由してマルウェアがネットワークに侵入する可能性もあります。
リモートユーザートラフィックのルーティングのためのインテリジェンスを提供するSD-WAN
在宅ワーカーにリモートアクセスを提供するためのもう一つの選択肢として、アプライアンスベースのSD-WANが挙げられます。SD-WANは、VPNでは実現しないインテリジェンスな接続を提供します。Doyle Researchの主席アナリストであるLee Doyle氏は、ホームオフィスのユーザーを企業ネットワークに接続するためにSD-WANを使用するメリットについて、次のように概説しています。
致命的要素となるアプリケーションや、遅延の影響を受けやすいアプリケーションの優先順位付け
クラウドベースサービスへのアクセスの高速化
暗号化、VPN、ファイアウォール、クラウドベースのセキュリティとの統合によるセキュリティ強化
IT管理者向け一元管理ツール
アプライアンスベースのSD-WANの注意点として、主に拠点の接続用に設計されていることです(在宅の個人ユーザーにも対応が可能)。しかし、企業がSD-WANを採用していない場合、何百、何千もの在宅ベースのユーザーに対する実装や設定が簡単にできる技術ではありません。さらに、多種多様な通信機器やセキュリティ機器に巨額の投資が必要となります。
よりシンプルかつ安全で、手軽に拡張可能なソリューションを提供するSASE
CatoのSecure Access Service Edge(SASE)プラットフォームは、多くの従業員が同時にリモートアクセスする場面で、VPNに代わる優れた選択肢となります。このプラットフォームは、スケーラブルなアクセス、最適化された接続性、および統合的な脅威防止といった、大規模リモートアクセスを継続的にサポートするために必要な要件を提供します。
Catoのプラットフォームを使って在宅勤務に対応する場合、企業はリモートユーザーの数に関係なく、簡単に素早く拡張が可能です。地域ごとにハブや、VPNコンセントレータを設置する必要はありません。Catoが所有する、世界規模で分散した数十のPoP(Point of Presence)上にSASEサービスは構築されており、あらゆるロケーションとユーザーに幅広いセキュリティとネットワークサービスを提供します。CatoのPoPに複雑なスケーリングは組み込まれており、組織が購入、設定、導入するインフラストラクチャはありません。エンドユーザーにリモートアクセスを提供する場合、ユーザーのデバイスにクライアントエージェントをインストールするか、セキュアブラウザ経由で特定のアプリケーションにクライアントレスでアクセスできるようにするだけです。
ゼロトラストネットワークアクセスを採用したCato SASEプラットフォームは、ユーザーが必要とする特定のリソースやアプリケーションへのアクセスを許可します。このきめ細やかなセキュリティは、SASEが要求するネットワークアクセスに対するIDベース管理型アプローチが実現します。すべてのトラフィックは、SASEサービスに組み込まれた完全なネットワークセキュリティスタックを通過します。そのため、リモートユーザーからのトラフィックにも、多要素認証と完全なアクセス制御、および脅威防御が適用されます。ユーザーに最も近いPOP内ですべての処理が行われ、企業のネットワークとセキュリティポリシーが完全に適用されます。これにより、ネットワーク上の特定のセキュリティチョークポイントにトラフィックを強制的に送り込むことで起こる「トロンボーン効果」を排除することが可能です。さらにIT管理者は、企業内WANのすべてのトラフィックを一貫して可視化し、制御することができます。
長短期の在宅勤務をサポートするSASE
従業員の一部がオフィスに戻りはじめている一方、多くの従業員は未だ在宅勤務を続けており、さらに継続する可能性すらあります。Cato SASEプラットフォームは、安全性が不十分かつ不便なVPNを経由することなく、通常のネットワーク環境にアクセスすることができる理想的な手段です。
世界中何百万人もの人々が、パンデミックによる不自由...
リモートアクセスセキュリティ:VPNの危険性 世界中何百万人もの人々が、パンデミックによる不自由な生活を未だ強いられており、リモートで仕事をしています。リモートワークという働き方が、多くのワーカーにとって今後のスタンダードとなる可能性も出てきました。このような状況を受けて、企業はVPNを利用したリモート・アクセスを提供するようになりましたが、これは長期的な接続方法として正しい選択なのでしょうか。
VPNは手軽な接続性を提供しますが、企業はその安全性と、濫用が組織にもたらすリスクについても考える必要があります。答えは明確であり、リモートアクセスのセキュリティに関するVPNの危険性や不具合を考慮し、長期的な使用を前提とした代替手段の検討の必要があります。代表的な代替手段である、ZTNA(Zero Trust Network Access)を組み込んだSASE(Secure Access Service Edge)プラットフォームは、VPNのセキュリティ上のリスクや、その他のデメリットを軽減します。
リモートアクセスセキュリティを危険に晒すVPN
VPNは一般に、トラフィックの暗号化と単純なユーザー認証によって最低限のセキュリティを提供するものであり、そのため以下のように多くのリスク要因を抱えています。
VPNユーザーに付与される過剰な権限:VPNは、特定のリソースへのきめ細かなユーザーアクセスを提供しません。ユーザーがVPNを使用してリモートで作業する場合、VPNに割り当てられた共有IPアドレスプールを介してネットワークにアクセスします。そのため、ユーザーはネットワーク上にある未承認のリソースを「見る」ことができ、パスワードさえあればアクセスできるようになります。
簡素で不十分な認証:VPNは簡素なユーザー認証を提供しますが、実際にはユーザーとそのデバイスに対するより強固な認証が不可欠です。多要素認証や企業内ディレクトリ・システム、RADIUS(Remote Authentication Dial In User Service)認証サーバーなどによる認証が提供されない場合、攻撃者は盗み出した認証情報を使ってネットワーク中にアクセス可能となります。
ネットワークにマルウェアを拡散する危険性のあるエンドポイント:接続するデバイスのセキュリティ状態を精査しないため、マルウェアがネットワークに侵入する可能性があります。
ユーザーの自宅はフルセキュリティスタックの範囲外:企業は、フルスタックのセキュリティソリューションを本社や支社オフィス内に構築しており、そのセキュリティは従業員の自宅には届きません。そのため、適切なセキュリティを維持するには、ネットワーク上のVPNエンドポイントでセキュリティ・スタックを経由し、トラフィックをルーティングする必要があります。非効率的なルーティングや、ネットワーク遅延の増加の他に、セキュリティ負荷分散のため、複数の拠点でセキュリティスタックの購入・導入・監視・保守の必要となる可能性もあります。
障害の原因となるVPNアプライアンス:大規模なリモートワークをVPNを使ってサポートする企業は、DoS攻撃などによってVPNが故障または機能しなくなった場合、業務の遂行ができなくなるリスクが高まります。アプライアンスが機能しない場合は、すべてのユーザーがアクセスできなくなります。
既知の脆弱性を持つVPNの存在:企業は、脆弱性を監視し、必要に応じてデバイスを更新し、パッチを適用する責任を負っています。パッチが適用されていない重大な欠陥は、組織を危険にさらす可能性があります。例えばイランのハッカーが、VPNの脆弱性を利用して企業や政府のネットワークにバックドアを設置していることが2020年3月に報告されました。知名度の高い複数のVPNブランドが、この攻撃キャンペーンの標的とされました。
ネットワーク全体を複雑化するVPN:データセンターに新たなVPNを追加して管理・設定することにより、ネットワーク管理全体の複雑さが増大し、その結果セキュリティ上の脆弱性が拡大する可能性があります。
ネットワーク管理者によるVPN接続の可視化ができない:IT部門は、VPN接続を可視化できません。これらのアプライアンス上で起こっていることを可視化できないため、問題が発生した場合、快適に利用できないばかりか、誰も根本的な原因を知ることができません。
スプリットトンネルによる攻撃の機会の増大:組織はVPNの容量制限の緩和のため、スプリットトンネルを採用することがあります。このネットワークアーキテクチャの構成では、トラフィックをVPNクライアントから企業ネットワークに誘導し、さらにゲートウェイを経由してインターネットに接続します。この場合、インターネットと企業ネットワークに同時にアクセスすることが可能となります。そのため、パブリック・ネットワーク上の攻撃者がリモート・コンピュータを危険にさらし、更にそれを利用して内部ネットワークにアクセスするリスクが生じます。
VPNのもうひとつの欠点セキュリティ上の問題以外にも、VPNは長期的なリモート・アクセス接続に向いていないという欠点があります。例えば、アプライアンスがサポート可能な同時接続ユーザー数に限りがあります。通常、リモートワークを行う従業員の割合が10%以下の企業では、問題になりません。しかし、それ以上の割合の従業員が同時かつ継続的にアクセスを必要とする場合、VPNの容量をすぐに超過してしまう可能性があります。そのため、より多くの、またはより大きなアプライアンスを導入する必要があり、コストと管理要件が大幅に増加します。企業はこの拡張性の欠如に対処するため、スプリットトンネルなどの回避策を使用しますが、これはトラフィックの可視性とセキュリティを低下させる可能性があります。
安全なリモートアクセス実現のための長期的ソリューションとはVPNはもはや、企業のリモートアクセスにおいて最良の選択肢ではありません。ガートナー社は『Zero Trust Network Access (ZTNA) に関するマーケットガイド』において、2023年までに60%の企業がVPNを廃止し、代わりにZTNAを採用すると予測しています。企業のネットワーク境界の形が変化していることが、ZTNA採用の主な要因です。クラウドワークロード、在宅勤務、モバイル、オンプレミスなどのネットワーク資産を考慮する必要がある場合、VPNアプライアンスのようなポイントソリューションは適したツールではありません。
ZTNAの主なメリットは、誰がどのエンドユーザーデバイスから、どのリソースに、ネットワークアクセスを取得・維持するかをきめ細かく制御できることに凝縮されます。アクセスはセキュリティポリシーに基づき、最小限の権限のみが許可されます。
しかしゼロトラストは、リモートアクセスソリューションの一部にすぎません。ZTNA単体では対処できない、パフォーマンスや継続的なセキュリティに関する問題が存在します。例えば、すべてのトラフィックは宛先に到達する前にセキュリティ検査を通過する必要があります。この場合、ZTNAをSASE(Secure Access Service Edge)ソリューションに完全に統合することが最も効果的です。
SASEは、ZTNA、次世代ファイアウォール(NGFW)などのセキュリティサービスを、SD-WAN、WANの最適化、帯域集約などのネットワークサービスとともに、クラウドネイティブプラットフォームに統合したものです。SASEネットワーク・アーキテクチャを活用する企業は、ZTNAのメリットに加え、管理が簡単かつ拡張性の高い統合ネットワーク、およびセキュリティ・ソリューションの完全なパッケージを利用可能です。CatoのSASEソリューションは、このすべてをクラウドネイティブプラットフォームで提供します。
SASEは、ZTNA、次世代ファイアウォール(NGFW)などのセキュリティサービスを、SD-WAN、WANの最適化、帯域集約などのネットワークサービスとともに、クラウドネイティブプラットフォームに統合したものです。SASEネットワーク・アーキテクチャを活用する企業は、ZTNAのメリットに加え、管理が簡単かつ拡張性の高い統合ネットワーク、およびセキュリティ・ソリューションの完全なパッケージを利用可能です。CatoのSASEソリューションは、このすべてをクラウドネイティブプラットフォームで提供します。
CatoのSASEソリューションは、リモートユーザーが安全かつ最適化された接続を介して、すべてのビジネスアプリケーションにアクセスすることを、クライアントまたはクライアントレスブラウザからのアクセスにより可能にします。グローバルなクラウドネイティブサービスであるCato Cloudは、専用のVPNインフラを導入することなく、任意の数のユーザーに適用するように拡張可能です。リモートワーカーが、最寄りのCatoのPoP(世界中に75以上のPoPを所有)に接続すると、Catoのグローバルなプライベートバックボーンを経由し、オンプレミスまたはクラウドアプリケーションへのトラフィックが最適にルーティングされます。Catoのセキュリティサービスは、リモートユーザーを脅威から保護し、アプリケーションのアクセス制御を実現します。
要約すると、CatoのSASEプラットフォームは、あらゆるリモートワーカーに最適化された安全性の高いアクセスを迅速かつ簡単に提供することを可能とします。リモートワーカーをどうやってサポートするかについて、詳しくは、無料のCato eBook『Work From Anywhere for Everyone』をご参照ください。
WANが何の略語かをご存知の方は多いと思いますが、...
知っておくべきネットワーク関連略語23選 WANが何の略語かをご存知の方は多いと思いますが、他のネットワーク関連の略語についてはどうでしょうか。ここでは、WANの最新情報の入手に役立つ主な略語をご紹介します。
SASE
Secure Access Service Edge (セキュア・アクセス・サービス・エッジ、SASE)は、ネットワークとセキュリティの機能をクラウドベースの単一ソリューションに統合したものです。SASEは、SD-WANのネットワーク最適化機能と、次世代ファイアウォール(NGFW)、セキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)などを含むフルセキュリティスタックを統合します。この用語を生み出したガートナーは、SASEは「ネットワークセキュリティの未来」と位置づけています。
SD-WAN
Software-Defined Wide Area Network (SD-WAN) は、ブロードバンド、MPLS、5G/LTEなど複数の異なるメディアにおいて、最適なトラフィックルーティングを提供する仮想WANアーキテクチャです。SD-WANは、利用可能な最良の経路を選択することにより、ブロードバンドインターネット接続よりも優れたパフォーマンスと信頼性を提供します。ただし、SASEの一部としてSD-WANを導入しない場合、グローバルな接続性やネットワークの最適化、WANとインターネットのセキュリティ、クラウドの高速化、リモートユーザーのサポートができないことにご注意ください。
MPLS
Multiprotocol Label Switching (マルチ・プロトコル・ラベル・スイッチング、MPLS) は、長いネットワークアドレスの代わりに短いパスラベルを使って、通信ネットワーク上のトラフィックのルーティングをします。MPLSは、トラフィックフローのパフォーマンスと信頼性を向上させますが、容量に制限があり、高価で柔軟性に欠けるソリューションであることに変わりはありません。
[boxlink link="https://www.catonetworks.com/resources/the-top-seven-use-cases-for-sase?utm_source=blog&utm_medium=top_cta&utm_campaign=7_sase_usecase"] Top 7 Use Cases for SASE | Download eBook [/boxlink]
PoP
A Point of Presence (PoP) (ポイント・オブ・プレゼンス、PoP) は、SASEやSD-WANアプライアンスといったネットワークへのアクセスポイントです。トラフィックはPoPを介することで、これらのネットワークに出入りできます。ガートナーによると、最近台頭しているエッジアプリケーションの多くは「クラウド配信ベースのアプローチが必要であり、多くのPoPを持つプロバイダーが有利である」そうです。
出典: Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge, 29 July 2019, Joe Skorupa, Neil MacDonald
VPN
Virtual Private Network 仮想プライベートネットワーク、VPN)ソリューションは、ネットワーク間、またはネットワークとリモートユーザー間に、暗号化された接続を提供します。VPNを介して送信されるトラフィックは、まるでリモートデバイスが企業リソースへのフルアクセスが可能なネットワークに直接接続されているかのように動作します。VPNはきめ細かなセキュリティ、グローバルな拡張性、パフォーマンスの最適化機能を備えていないため、これまでVPNに依存してきた企業は、クラウドへの移行や、どこでも仕事ができるという現実にそぐわないことに気付きはじめています。
UC
音声、メッセージング、ビデオ会議など、企業のコミュニケーション・サービスを統合することを Unified Communications (ユニファイド・コミュニケーション、UC)といいます。UCは、複数の通信メディアにおいて一貫性のあるユーザーインターフェイスとエクスペリエンスを実現しますが、地理的に分散した高性能で信頼性の高いネットワークを必要とします。
UCaaS
音声、メッセージング、ビデオ会議など、企業のコミュニケーション・サービスを統合することを Unified Communications ユニファイド・コミュニケーション、UC)といいます。UCは、複数の通信メディアにおいて一貫性のあるユーザーインターフェイスとエクスペリエンスを実現しますが、地理的に分散した高性能で信頼性の高いネットワークを必要とします。
QoE
Quality of Experience クオリティ・オブ・エクスペリエンス、QoE)は、ネットワークパフォーマンスがエンドユーザーに与える影響を測定します。QoEは、パフォーマンス問題がアプリケーションのパフォーマンスにほとんど影響を与えない場合もある一方、アプリケーションが使用できなくなる場合もあるという事実を考慮します。例えば、SASEはクラウドベースのアプリケーションのトラフィックを、企業ネットワークを通じて中継する必要がないため、VPNよりも高いQoEを提供します。
PbR
Policy-based Routing (ポリシー・ベース・ルーティング、PbR)は、ネットワーク管理者が定義したポリシーに基づき、ネットワークフローをルーティングします。特定の種類のトラフィックを優先的に処理したり、より高価なMPLS回線などの経路の使用も可能です。PbR機能は、SD-WANやSASEソリューションにおいて提供されています。
5G
第五世代モバイルネットワークは、最新の携帯電話ネットワークです。前世代よりも高速で、より高密度のデバイスをサポートします。SD-WANやSASEは、5Gネットワークに接続し、耐障害性を向上させます。
AIOps
IT運用のための人工知能 (AIOps) は、IT運用の改善ため機械学習とビッグデータを使用します。AIOpsは、IT運用のためのデータ処理、意思決定、応答の自動化を実現します。AIOpsの可能性を最大限に引き出すSASEアーキテクチャは、IT部門の負担を減らし、ユーザー体験や収益、成長などの価値あるビジネスゴールへの取り組みを支援します。
VoIP
Voice over IP (ボイス・オーバー・IP、VoIP)は、ブロードバンドインターネットを介した音声通信を可能とします。ネットワークパケットにエンコードされた電話通信データは、従来の電話網ではなく、インターネット経由で目的地まで送信されます。VoIPはUCソリューションと同様、高性能で信頼性が高く、地理的に分散したネットワークを必要とします。
CDN
Content Delivery Network コンテンツ・デリバリー・ネットワーク、CDN)は、ウェブコンテンツのキャッシュコピーを提供する、地理的に分散したサーバーネットワークです。CDNは、エンドユーザーの近くにサービスを移動することでオリジンサーバーの負荷を軽減し、ウェブサイトのパフォーマンスを向上させます。
NaaS
Network as a Service (NaaS)は、ネットワーキング・サービスのクラウドベース提供モデルです。NaaSでは、サービスプロバイダー独自のインフラを使用して、企業が独自のネットワークを展開・管理することができます。SASEはNaaSの一例であり、SASEのPoPは必要とされるネットワークサービスをすべてクラウドベースのアプライアンスで提供します。
ISP
インターネット・サービス・プロバイダー(ISP) は、インターネットアクセスを顧客に提供します。ISPはインターネットアクセスの他に、電子メール、ウェブホスティング、ドメイン登録などの他のサービスも提供することがあります。
uCPE
Universal Customer Premises Equipment uCPE)は、コンピューター、ストレージ、ネットワークを含む汎用オフザシェルフ型のサーバーです。uCPEはネットワーク機能を仮想化することで、ネットワークとセキュリティサービスを提供します。
NFV
Network Function Virtualization (ネットワーク仮想化、NFV)は、専用アプライアンスの代わりに、仮想化サービスを使ってネットワーク機能を提供します。これにより、uCPEやクラウドプラットフォームを利用して、高価な専用インフラと同等の機能提供が実現します。
VNF
Virtual Network Functions(仮想ネットワーク機能、VNF)は、専用のハードウェアアプライアンスに代わる、仮想化されたネットワークサービスです。VNFは、サービスチェイニングにより互いにリンクさせることで、より複雑な機能を実現することができます。VNFとサービスチェーンの利用は、SASEの代替サービスプロバイダーの間で一般的ですが、SASEに必要なサービスコンバージェンスには欠ける部分があります。
SDN
Software-Defined Networks (ソフトウェア定義ネットワーク、SDN)は、コントロールプレーンとデータプレーンを切り離します。ネットワークはソフトウェアで定義され、管理されるため、より柔軟性と適応性が高くなります。SD-WANおよびSASEは、SDNを企業WANに適用した例です。
LAN
Local Area Networks ローカル・エリア・ネットワーク、LAN)は、組織内のコンピューター同士を繋ぐネットワークを指します。通常LANは、1社以上のISPを介してインターネットに接続されています。
BGP
The Border Gateway Protocol は、異なるインターネット上の自律システム(AS)間で、ルーティング情報を交換するためのプロトコルです。それぞれの自律システムがトラフィックをルーティングできるIPアドレスを通知し、ソースAS から宛先に最も近いASへのトラフィックの移動を実現します。
OSPF
The Open Shortest Path First (オープン・ショーテスト・パス・ファースト、OSPF)プロトコルは、自律システム内のトラフィックをルーティングするために設計されています。ダイクストラ法を使用することで宛先への最短経路を特定し、トラフィックの移動距離を最小限に抑え、可能であれば待ち時間も短縮します。
DNS
The Domain Name Service ドメイン・ネーム・サービス、DNS)は、インターネットの「アドレス帳」です。DNSサーバーは、(catonetworks.comなどの)ドメイン名を、コンピューターがトラフィックをルーティングするために使用するIPアドレスに変換します。
上に挙げた略語は、最も一般的で重要なネットワーク関連の略語のほんの一部です。今日のネットワークがどのように機能するのか、詳細はCato Networksの ブログでご確認ください。
2019年に米ITアドバイザリ企業であるガートナー...
5分でわかる:なぜSASEの2年後に「SSE」が提唱されたのか 2019年に米ITアドバイザリ企業であるガートナー社により提唱された、新しいエンタープライズネットワーキングのカテゴリである「SASE」。SASEの概念が提唱された半年後、世界的にコロナウィルスのパンデミックが拡大し、リモートワークの機会が激増しました。これにより多くの企業が、根本的に自社のネットワークとセキュリティを見直さなければならない事態に直面したため、2020年はSASEを導入する企業が飛躍的に増加した「SASE元年」とでもいうべき年となったのです。
しかしその直後の2021年、ガートナーは「クラウド・セキュリティのハイプ・サイクル:2021年」において「SSE(Security Service Edge)」を提唱しています。なぜガートナーはSASE提唱後、たった2年でSSEの提唱に踏み切ったのでしょうか。
SASEとSSEの違い
ガートナーのSSE定義により、SASEはオンプレミスのSD-WANを中心としたネットワークサービスと、クラウドネイティブなセキュリティサービスの組み合わせであることが明確となりました。SASEのネットワークとセキュリティ機能という2つの柱のうち、セキュリティ機能に該当する部分がSSE(下図参照)であると位置付けられています。
SASEは、よりカバー範囲が広く総合的なアプローチにより、安全で最適化されたアクセスを実現することで、ユーザー環境を最適化し、すべてのアクセスとトラフィックを脅威、攻撃、データ損失から保護します。SSEは、統合クラウドネイティブサービスとしてSWGやCASB/DLP、ZTNAを組み合わせたもので、インターネットやSaaS、特定のプライベートアプリケーションへのセキュアなアクセスを提供する一方、WANリソースへのセキュアなアクセスには対応しません。
なぜ今SSEなのか
SD-WANは、本社やデータセンターを経由せずとも、支店や営業所など直接インターネットに接続することを可能とし、これによりSaaSやクラウドへのアクセス速度向上を実現します。しかしながらSD-WANは、ほとんどのワーカーがオフィスに出社するという、コロナ以前の環境に合致したソリューションでした。コロナ禍に多くの企業がリモート/ ハイブリッドワークへ移行したことにより、オフィスから直接インターネット接続することの必要性が低下し、それに伴いSD-WANの必要性も低下しました。一方、リモートワーカーへの保護の必要性は拡大しているため、ガートナーはSASEに比べ導入の難易度もコストも低いSSEを提唱したものと考えられます。
SASEとSSE、組織はどちらを選ぶべきなのか
ガートナーは、2022年に求められるクラウドセキュリティ技術としてSASEとSSEの両方を挙げ、SASEは今後2~5年、SSEは3~5年で変革的インパクトを与えると予測しています。そんな中ITの専門家たちは、今後のITインフラの在り方にどう取り組むべきかの岐路に立っています。最初から完全に統合されたSASEを選ぶべきなのか、SSEの導入からセキュリティの変革をはじめて、段階的にSD-WANレイヤーを統合していくべきなのか、様々なアプローチがあると思います。いずれにせよSSEの導入は、確実に将来のネットワーク変革やアーキテクチャの統合、ビジネススピードの向上、運用負荷とコストの軽減を実現する戦略的な意思決定といえます。業界の流れはSSE提唱後も変わらず、最終的にSASEへと行き着くものと予想されています。
Cato SSE 360は、SSEを拡張し、すべてのトラフィックに対する完全な可視化と制御、グローバルなアプリケーションアクセスの最適化を提供します。完全なシングルベンダーによるSASEへのシームレスな接続を、必要に応じてサポートする唯一のサービスであるCato SSE 360をより詳しく知るには、ホワイトペーパーをお読みください。
デジタルという国境のない新たな世界では、世界中にい...
活動開始:タグ・ホイヤー・ポルシェ・フォーミュラEチームとの新たなパートナーシップ デジタルという国境のない新たな世界では、世界中にいる同僚やパートナーと共にイノベーションを起こすことが可能です。成長めざましいABB FIAフォーミュラE世界選手権は、モータースポーツのみならず、自動車業界全体にとって最新のイノベーションの実験場となっています。そこでCatoは、タグ・ホイヤー・ポルシェ・フォーミュラEチームの公式SASEパートナーとして、パートナーシップを開始したことをご報告します。
1950年代から続く壮大なレースの歴史を持つポルシェは、フォーミュラEの第6シーズンにおいて、フォーミュラカーレースへ待望の上位復帰を果たすなど、積極的に過去3年間前進し続けてきました。昨シーズンのメキシコシティでは上位2位を独占し、フォーミュラE初優勝を果たしました。
Catoは、お客様がロケーションに関わらず安全に協業できるよう、ポイントソリューションの複雑性を排除し、安全なネットワークアーキテクチャを単一ベンダーのSASEクラウドプラットフォームとして提供することで支援します。世界的なモータースポーツ大会はしばしば「旅するサーカス」に例えられ、各国で週次または月次でレースを行い、荷物をまとめたら次の国へと移動します。そういったフォーミュラEのレースシーズンの性質と、チームのテクノロジーとデータの広範な使用を考慮して、クラウドネイティブなネットワークとセキュリティインフラをチーム戦略の基礎としました。
画像を拡大するにはここをクリック
すべての企業組織の決断と同様、タグ・ホイヤー・ポルシェチームによる決断は、タイヤの温度からバッテリーの消耗まで、あらゆるデータポイントをリアルタイムで分析する必要があります。さらにサーキット上で違いを生み出すためには、チーム本部が地球の裏側にあってもチームとして瞬時に判断を下すことが不可欠です。
フォーミュラEの各イベントと広範な車両開発を通じて、チームが収集した膨大なデータセットによっ てそれらの判断は下されます。このデータに基づくインサイトは、レース中のチームパフォーマンスに大きく影響します。そのため、セキュリティと運用上のリスクを最小限に抑え、最適なアプリケーションとデータアクセスを実現する方法をとる必要があるのです。
Catoは、タグ・ホイヤー・ポルシェ・フォーミュラEチームのシーズンを通じたオペレーションの最適化と、ネットワークとSaaSアプリケーションへの安全なアクセスを可能とするため、重要な役割を担っています。私たちは今シーズンに向けて、わくわくしながらも楽観的に、勝利を共に掴むため努力しています。
“2023年1月14日、メキシコシティで開幕するフォーミュラEシーズン9では、タグ・ホイヤー・ポルシェ・フォーミュラEチームへのご声援をお願いします。今後数週間以内に、パートナーシップに関する詳細を発表しますので、ご期待ください。”
タグ・ホイヤー・ポルシェ・フォーミュラEチームの詳細はこちら: https://motorsports.porsche.com/international/en/category/formulae
ある窮地を描いた短いストーリーをお読みください ス...
コダックのフィルムやノキアの携帯電話は、未だに利用できる? ある窮地を描いた短いストーリーをお読みください
ストーリー
あなたは、サーバー、ハードディスク、マウントラックを満載した巨大なコンテナ船の船長です。今荒波の中を進んでいます。重すぎる積荷で船はバランスを崩し、目的地まで安全にたどり着くことが困難な状況です。突然、目前に大きな岩が迫ってきました。過重により、舵を思うように切ることができず、衝突を免れそうにありません。あなたは警報を鳴らすと同時に、躊躇することなく、救命ボート1隻にありったけの積荷を積み込み始めます。船員たちは遠巻きに戸惑いながらあなたの行動を見守っています。しかし、あなたはポジティブです。自分自身、船員たちそしてすべての積荷を守ることができと信じています。ことの発端が積荷の過重重であることは、もはや眼中にありません。
正当な行動? 無駄な抵抗? 何とも言えない?
同じような窮地に立たされた場合、どのような行動をとりますか?
貴社は、収益の50~90%をアプライアンスベースのポイントソリューションの再販で得ています。利益率は低く、差別化を図り、提供する価値を顧客に説明することがますます難しくなっています。優秀なエンジニアや営業担当者は、クラウドソリューションの販売や将来のキャリアアップで多忙を極めているため、採用することが困難です。
今目前に荒波が押し寄せています。舵取りが刻一刻と困難になっています。
最近の状況を見てみる
2021年11月16日、Riverbed Technology社は連邦破産法第11条の適用申請を発表しました。Check Point Software Technologies社は、つい最近ナスダック100指数から除外されました。一方で、ネットワークセキュリティビジネスが急成長し続ける中、競合他社はかつてない最高の時価総額と収益成長率を更新しています。Riverbed社とCheck Point社の共通点は何でしょうか? 先ず、両社ともネットワークとネットワークセキュリティのコンバージェンスに取り組んでいません。次に、依然として物理的または仮想的なエッジアプライアンスに大きく依存し、ソリューションをサービスとしてクラウドで提供していません。SD-WANとネットワークアクセラレーションを専業とする大半の企業が、SASEへの取り組みの一環として買収されていく中(VMware社がVeloCloud社、PAN社がCloudGenix社、Cisco社がViptela社を買収)、Riverbed社はアプライアンスベースのポイントソリューションの立場を貫きました。セキュリティ業界の大手ベンダーの大半が、SASEのコンバージェンスやクラウドへの統合に積極的に移行する中(PAN社、Fortinet社、VMware社、Cisco社など)、Check Point社はネットワーキングから距離を置き、クラウド配信ソリューションの立ち上げに出遅れていました。
これらはすべて、ITアーキテクチャの根本的なシフトを示す、明らかな前兆であり、警戒信号といえます。このような傾向を無視することは、30メートルの大波にもまれながら救命ボートに積荷を移し替える行動に等しいといえます。再販業者やサービスプロバイダーが、レガシー技術にしがみつくことはもはや現実的ではありません。進化はもはや勇猛果敢なイノベーターに限られたことではなく、どの企業も現状を見据えて進化していく必要があります。
ビジネスの展開方法を決めるのはあなたです。
次にSASEについて見てみましょう。
クラウドネイティブSASE再販業者の状況
クラウドネイティブSASEソリューション再販業者やサービスプロバイダーは、ネットワークを俊敏かつ柔軟性のあるメンテナンスフリー環境に変革して顧客を支援します。
差別化されたサービスを提供している再販業者やサービスプロバイダーは、デジタルトランスフォーメーションに取り組む企業から高い評価を受けています。
顧客とのパートナーシップを通じて、将来の財務を担保する、経常収益を確保できます。
マネージドサービスを購入する顧客にもメリットがもたらされます。SASEクラウドプロバイダーは、業界のベストプラクティスに従って、ネットワークを管理し、適切な人材を派遣およびメンテナンス、パッチ適用、更新作業などをすべて行います。プロバイダーは、すぐに利用できる新機能を顧客にリリースし、サービスを提供するネットワークやセキュリティコンポーネントに全責任を負います。このように「責任を一手に引き受けている」SASEパートナーは、比類のないSLAによる恩恵を受けています。
SASEパートナーは、SASEを扱うことで高い利益率を達成すると同時に、専門サービスやマネージドサービスを追加して、さらに利幅を拡大しています。
SASEパートナーは、最新の技術を習得して、現状維持の考えから脱却するように顧客に提案して、自信を持って変革を推進しています。
SASEパートナーの顧客が、アプライアンスベースのソリューションに戻ることはあり得ません。信頼できるパートナーが、拡張性と耐障害性に優れたクラウドネイティブネットワークとクラウドサービスとして提供される完全なセキュリティスタックを提供しています。
また、SASEの専門家やソートリーダーになって、ブログを投稿しているパートナーの従業員もいます。
ここで最も重要なのは、パートナーと共に荒波を乗り切れることです。安全な船と信頼できる船長は、乗客を守ることができます。
今後の見通し:変化するビジネス環境において成功を果たすには
クラウド提供ソリューションの勢力が広がっています。世界中でオンプレミスのデータセンターがクラウドデータセンターに置き換わっています。オンプレミスのアプリケーションのほとんどが、クラウドアプリケーションに移行しています。2019年に世界中で発生したコロナ危機が、リモートワークの導入に拍車をかけ、クラウドとSASEの採用を加速さています。
世界をリードするアナリストが予測したとおり、今まさに革新的なSASEが、ネットワーキングとネットワークセキュリティを変革しています。2022年から2025年までが、SASEの採用が企業顧客の主流となる移行期です。1
すべての音楽がクラウドにあります。もはやCDやMP3プレーヤーは必要ありません。誰もがスマートフォンを使っています。クラウドとコンバージェンスが、私たちが日々利用している技術を革新しています。片やネットワークとネットワークセキュリティは、まだ道半ばです。このような市場のシフトは、一朝一夕ではありません。変化を察知している経営者は、現状を見据えて収益を確保する手段を講じています。
アプライアンスがすべてなくなってしまうわけではありません。中にはアプライアンスを選択する顧客も一部いるはずです。しかし、それらは過去の産物です。CDやコダックのフィルム、ノキアの旧式の携帯電話をまだ利用できるのと同じように、エッジアプライアンスも根強く残るはずです。しかし、貴社のビジネスが旧式のソリューションに頼っていると見なされることは望ましいことでしょうか? 貴社のビジネスがレガシーソリューションの成否にかかっていることは望ましいことでしょうか?
前向きな選択肢を選ぶべきではないでしょうか。
1 Gartner, “Hype Cycle for Enterprise Networking ” Andrew Lerner. 2021年10月11日
GARTNER(ガートナー)は、米国およびその他の国におけるGartner, Inc.および/またはその関連会社の登録商標およびサービスマークであり、本書では同社の許可に基づいて使用しています。
SD-WANネットワークは、特にMPLSと比較した...
グローバル企業にとってSD-WANは十分なのか? SD-WANネットワークは、特にMPLSと比較した場合、組織に複数のメリットを提供します。SD-WANはクラウドアプリケーションのパフォーマンスを向上させ、WANコストを削減し、ビジネスの機動性を向上させます。ただしSD-WANには、今日の組織がその選択や導入を計画する段階で考慮すべきいくつかのデメリットもあります。SD-WANの評価・導入をしている企業にとって、考慮すべき重要事項の一覧が当記事で確認できます。この内容は、eブック「SD-WANのデメリット」に基づいています。
ラストマイルに関する考察
SD-WANはMPLSと比べ、組織にとって柔軟性とコスト効率というメリットを提供します。ラストマイルについては、SD-WANユーザーはMPLSやファイバー、ブロードバンド、LTE/4Gなどのラストマイル・サービスなど、好みのサービスを選択することができます。ラストマイルソリューションを選択、決定する際に考慮すべき基準は次の通りです。
費用
冗長性(可用性を確保するため
信頼性
ラストマイルの最適化についてはこちらをご覧ください。
ミドルマイルに関する考察
MPLSはミドルマイル全体において、予測可能性と安定性を提供します。組織はSD-WANのミドルマイルを設計する場合、それらと同じ機能を提供するソリューションを選ぶ必要があります。
この場合、予測不可能なインターネットへの依存は推奨されません。ステートレスであるルーターは、コントロールプレーンのインテリジェンスが制限されています。したがって、アプリケーションの要件や現在のネットワークレベルに基づいたルーティングの決定が行われるわけではありません。その代わり、プロバイダーのビジネス的な選択が優先されることが多くあります。
信頼性の高いグローバルな接続性についてはこちらをご覧ください。
セキュリティに関する考察
分散型アーキテクチャでは、複数のエッジとデータセンターをサポートできるセキュリティソリューションが必要です。現在のところ、企業の主な選択肢は次の4つです。
SD-WANファイアウォール長所:SD-WANアプライアンスに組み込まれている短所:ユーザートラフィックの検査をしない
統合脅威管理デバイスの購入長所:ユーザートラフィックの検査をする短所:拠点ごとにデバイスが必要であり、コストと手間がかかる
クラウドベースのセキュリティ長所:各エッジでのファイアウォールを排除短所:データセンターのファイアウォール、SD-WAN、クラウドのセキュリティデバイスなど、複数のデバイスをベースとするため、高コストかつ複雑。
統合型ソリューションSASE(Secure Access Service Edge):SD-WANをエッジに、セキュリティを中央にそれぞれ統合し、ポリシー管理と分析を1つの場所で行う。
クラウドアクセスの最適化に関する考察
最新のネットワークにおいては、組織のユーザー・拠点・データセンターから外部のデータセンターとクラウドアプリケーションにアクセスする必要があります。インターネットへの依存は、パフォーマンスや可用性の面でリスクが高すぎます。
プレミアム接続を提供するソリューションを選択するか、ターゲットクラウドインスタンスにできるだけ近いエッジからトラフィックを出力するクラウドネットワークを選択することが推奨されます。
(リンク)SD-WANのデメリット|eBookを読む
ネットワーク監視に関する考察
ネットワークを監視する場合、企業は適切に問題を特定し、ISPでチケットを作成し、問題が解決するまで協力する必要があります。
これを組織化し、ビジネスに影響を与える可能性のあるダウンタイムの発生を防ぐために、24時間365日のサポートと監視の設定が推奨されます。
SD-WANを管理する際の考察
SD-WANに移行するには、ネットワークそのものだけでなく、すべてのラストマイルISPとの関係をどのように管理するか決定する必要があります。これらは内部で管理することも、プロバイダーにアウトソースすることもできます。以下の課題についてよく考えてみてください。
複数のプロバイダーを直接管理する場合と、単一の外部アグリゲーターを通じて管理する場合では、どちらが簡単か?
導入や統合について、どの程度コントロールする必要があるか?
社内の人材が必要とする、時間とリソースの優先順位は?
結論
今日の組織は、クラウドベースのアプリケーションの利用増加と、モバイルユーザーのサポートへの対応ができるようシフトする必要があります。多くの人がSD-WANを有効なオプションとみなしていますが、本当にそれで十分でしょうか?このブログ記事を参考に、SD-WAN導入の可否、およびその導入方法を評価してみてください。詳しくは完全版のeBookをお読みください。
SASEについてもっと知りたい方は、ご連絡ください。
リモートワーカーの急増とZTNAへの移行 従来、I...
リモートワーク環境におけるZTNAの優位性 リモートワーカーの急増とZTNAへの移行
従来、IT組織はVPN接続を利用して企業ネットワークへのリモートアクセス環境をユーザーに提供してきました。しかし、COVID-19の影響によるリモートワーカーの急増に伴い、VPN接続の容量が従業員の快適な同時アクセスを妨げるという現実に多くの企業が直面しています。現在、世界中で外出制限等は緩和されていますが、リモートワークの必要性は高まり続けており、リモートワーカーに対するこれまで以上のサポートが求められています。
ZTNA(ゼロトラストネットワークアクセス)は、明確に定義されたアクセス制御ポリシーに基づいて、組織のアプリケーションやデータ、サービスへの安全なリモートアクセスを提供するITセキュリティソリューションです。LANへの完全なアクセスを許可するVPNとは異なり、ZTNAソリューションはデフォルトでアクセスを拒否し、ユーザーが明示的に許可されたサービスへのアクセスのみが提供されます。ガートナー社によると、2022年までに新しいビジネスアプリケーションの約80%がZTNAを通じてアクセスされ、2023年までに企業の約60%がリモートアクセスVPNを廃止し、ZTNAに移行すると予想されています。
広域ネットワークアクセスの境界をなくすZTNA
従来のネットワークセキュリティは、その周辺部のみを保護しているに過ぎませんでした。許可されたネットワーク認証情報を持つユーザーは、ネットワーク上のすべての情報と内部リソースにアクセスすることができ、規制対象やビジネスクリティカルな情報にもアクセスできる状況にあったのです。従業員がオフィス内でデータにアクセスする場合や、情報がオンプレミスで一箇所に保存されている場合、広域ネットワーク境界は問題なく機能していましたが、ネットワークの境界外にあるクラウドデータへのアクセスの必要性や、リモートユーザーの劇的な増加により、データリソースをグループごとに保護するZTNAに移行する企業が増えています。
またデータ漏洩の約30%は組織内部に起因しますが、最小特権アクセス、多要素認証、マイクロセグメンテーションといったゼロトラストの原則を活用することで、ネットワーク内の個々のユーザーに対して厳格な管理を実施できます。ゼロトラスト・アプローチではネットワークの内外を問わず、すべてのユーザーが脅威とみなされ、各エントリーポイントでの認証が必要となります。ZTNAでは、広域ネットワーク境界に依存せずアクセスを許可するための明確な方法が確立されています。
ネットワークアクセスにおけるゼロトラストのメリット
ゼロ・トラストのコンセプトは、企業を保護し、外部からの脅威を阻止し、有害な内部脅威から個人を保護するための様々なポリシーを提供します。ゼロトラストは検証の概念に焦点を当て、次の点で組織にメリットをもたらします。
1. ネットワークの可視化
データとコンピューティングデバイスを横断し、組織全体の脅威を監視するアプローチを強化することで、ネットワークに対する洞察力が高まり、アクセス・リクエストごとのタイムスタンプ、アプリケーション、ユーザー、場所をより意識するようになります。標準的でない動作はすべてセキュリティ・インフラによってフラグが立てられ、リアルタイムですべてのアクティビティを追跡することが可能になります。ネットワーク全体の可視性を高めることで、誰が、あるいは何がネットワークへのアクセスを許可されているか、より深く理解することができます。
2. データ保護の向上
データ漏洩は、サイバー犯罪者が効果的に企業の身代金を要求する方法の一つですが、ZTNAはマルウェアやネットワークの大部分への不当なアクセスを防ぎ、攻撃の可能性を減らすことができます。また、たとえ侵入されたとしても、ネットワークへのアクセスが最小限であれば、被害を最小限に食い止めることができ、ビジネスだけでなく顧客や知的財産も保護することになります。その結果、顧客からの信頼を高め、データ流出から生じる混乱の収束のための財政的負担も回避することができます。
3. 遠隔地の従業員へのセキュリティ強化
COVID-19から生じた最も一般的なビジネス適応はリモートワークでした。しかしリモートワークが広く受け入れられるようになったにもかかわらず、ネットワークやデバイスのセキュリティ対策が不十分なためにリスクが高まっています。世界中で働くワーカーを抱える企業は、非効率なファイアウォールのためにリスクにさらされる可能性を持っています。
ZTNAはあらゆるレベルでユーザーの識別と確認を要求し、プライベートネットワークと別のパブリックネットワークの間にファイアウォールを設置する「境界の概念」に基づいています。すべてのユーザー、デバイス、アプリケーションは、アクセスのためのセキュリティレイヤーが保証され、世界中のどこにいても、データがどこに保管されていても、ワーカーに対してより強固な保護が提供されます。
4. 手作業によるIT管理の必要性を低減
ZTNAのコンセプトは継続的な監視に重点を置いており、自動化されたプロセスを取り入れることで、組織のITチームはよりシンプルに物事を進めることが可能となります。すべてを手作業で行っている場合、各リクエストの承認に多くの時間がかかるため、生産性やワークフローが低下し、ビジネスに悪影響を及ぼすことになります。
自動化パッケージは、特定のセキュリティ識別子に従ってアクセス要求の判断をプログラムすることができるため、ITチームがすべてのリクエストを手動で承認する必要がありません。また手動アクセスはワークフローの低下だけでなく、ヒューマンエラーの可能性も増大させます。自動化により全てが解決するわけではありませんが、自動化によってチームは煩雑な管理業務に追われることなく、ビジネスの改善と革新に取り組むことができるようになります。
リモートワークをサポートする方法について、詳しくはCato eBook「Work From Anywhere for Everyone」をご覧ください。
SASE(セキュアアクセスサービスエッジ)は、20...
SASEにより廃れゆくVPN:ゼロトラストネットワークアクセス(ZTNA)時代の幕開け SASE(セキュアアクセスサービスエッジ)は、2019年にガートナー社により提唱された、新しいエンタープライズ・テクノロジーのカテゴリです。SASEは、ネットワークおよび、エンドポイントセキュリティ・ソリューションの機能を、統合したされたグローバルなクラウドネイティブサービスに集約します。現在、SASEという用語は新たなトレンドとなっており、多くのベンダーは、真にSASEプラットフォームによるメリットを提供していないにも関わらず、自社製品にSASEという用語を取り入れています。それによって、SASE導入を検討する企業は、どのベンダーが真に要件を満たしているのか特定しなければならないという課題に直面しています。当記事では、SASEの背景的情報と、この新たなテクノロジーが今日の企業ネットワークに革命をもたらし、その過程で従来のVPNに取って代わりつつある理由について説明します。
SaaSアプリケーションと、IaaS型パブリッククラウド・プラットフォーム上に存在する多くのワークロードのために、クラウドで実行されるエンタープライズ・アプリケーションがますます増加傾向にあります。さらに、Covid19以降の「ニューノーマル」時代は、日常的にクラウドにアクセスし、自宅等からリモート環境で働く従業員数が右肩上がりで増えており、企業はこのクラウドの変革とモビリティの変化により、アクセスネットワークの設計方法を再考する必要に迫られています。
何故従来のVPNは時代にそぐわなくなったのでしょうか。典型的なVPNベースのアーキテクチャは、ユーザーが企業ネットワーク内のネットワークセグメントにアクセスできるようにする、ネットワーク中心のソリューションです。通常、アプライアンスとアクセス制御リスト(ACL)、ファイアウォールポリシーが必要であり、ユーザーからアプリケーションに対するきめ細かいマッピングは提供されません。企業の境界がインターネットにまで拡大することにより、リモートアクセスVPNなどのネットワーク中心のソリューションは時代遅れになったのです。従来のVPNなどのネットワーク中心のアプローチの落とし穴は、セキュリティやパフォーマンス、柔軟性、コストの観点から次のように要約できます。
セキュリティ:従来のVPNは、特定のアプリケーションアクセスに対する個々のユーザーのニーズを加味せず、ユーザーをネットワークセグメントに配置します。それらはネットワークアクセスに焦点を合わせており、ユーザーによる完全なネットワークアクセス要求に対して真偽の判断を提供するものですします。VPNサービスのユーザー側のアプリケーション需要に対するこの融通の効かなさと、アプリケーション関連のアクティビティに対するユーザーの可視性の欠如は、セキュリティリスクを大幅に増大させます。第三者のVPNクレデンシャルを盗むことができる悪意のある存在は、知的財産や顧客情報など、組織の機密データを手に入れるため、大胆な行動に出る可能性があります。多要素認証機能の追加がこれらの事故防止に一役買ってはいますが、それでもラテラルムーブメントの非常に大きなリスクは残ります。一方、「ゼロトラスト」の原則を採用するSASEは、データ制御と企業リソースの可視性を提供します。
パフォーマンス:SASEモデルは信頼の置けるブローカーを利用して、特定のプライベート・アプリケーションと、許可を与えられたユーザー間の接続を仲介します。ITチームはゼロトラストを基底としながら、コンテキスト(ID、デバイスなど)に基づいた接続の提供を可能とします。SASEはVPNとは異なり、ネットワークアクセスではなく、なしでアプリケーションにアクセスする手段と、オープンなインターネットからアプリケーションをマスクする機能を提供します。企業がクラウドでSaaSアプリケーションをサブスクライブする場合、パブリッククラウドによりホストされた複数のミラーサイトにアクセスすることが望ましいですを望んでいます。つまり、ユーザーに最適なパフォーマンスを提供するには、エンドポイントから最寄りのクラウドサービスプロバイダーの拠点にトラフィックを転送する必要があります。しかし従来のVPNモデルのセキュリティチェックは、トラフィックを集中型ハブにバックホール(中継)することに依存しています。今日、SaaSを利用した重要なビジネスアプリケーションが多数存在するため、データセンター中心のネットワークインフラストラクチャは、アプリケーションに多大なパフォーマンスのペナルティを課し、全体的なユーザーエクスペリエンスを低下させます。
柔軟性:VPNソリューションは、特定数のユーザーとレガシーネットワークに根ざしているため、柔軟性がありません。このようなソリューションは、トラフィックとユーザー数の変化に応じてスケールを変更することが困難です。ソリューションをスケールアップするために、組織は新しいハードウェアとライセンスを購入し、新しいリソースのインストールと構成にOPEXを割く必要があります。対してスケールダウンの機能はほとんど無視され、使用しない容量とライセンスへの料金を結局支払うことになります。COVID-19のパンデミックにより、ギグワーカーへのより大きな依存が加速しています。プロジェクトの開始・終了と共に変化する人的移動に伴い、組織は双方向のリモートアクセスを拡張する必要がありますが、多くの場合、実践的なIT作業が必要になります。クラウドネイティブのマルチテナントSASEソリューションは、手作業を最小限に抑え、必要に応じてネットワークやコンピュータの設備などのリソースを提供できるよう予測・準備する時間を合理化します。
コスト:SASEソリューションの導入により、企業ネットワークの日常業務の多くの側面でメリットを確認できます。SASEは、企業が複数のポイントプロダクトに代わって、単一のプラットフォームの使用を実現することで、コストを削減します。エンタープライズネットワーク全体でさまざまなポイントソリューションを調達、プロビジョニング、監視、保守することで、CAPEXとOPEXの両方が膨れ上がります向上します。
組織の外部に配置されるユーザー、デバイス、アプリケーション、およびデータが増えるにつれ、既存のVPNアーキテクチャは不十分なものとなっています。SASEは、クラウドから必要なすべてのネットワーキングとセキュリティテクノロジーを提供し、「サービスとして」提供することで、一般的なVPNソリューションの欠点を克服することを目的としています。
SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。 。また認定SASEエキスパートになることもできます。
CatoのSASEプラットフォームを実際にご覧いただくには、デモをご予約いただくか、今すぐお問い合わせください。
COVID-19の発生により、ビジネスVPNの使用...
企業向けVPNの欠点 COVID-19の発生により、ビジネスVPNの使用がごく短期間で急増しました。具体的に、VPNを使った通信量は複数の地域で、数週間で200%以上増加しました。ほとんどの企業はオフィスが閉鎖されているにもかかわらず、VPNを使用し率先して自宅から迅速に仕事を始めることによって、ビジネスの継続が可能となりました。
しかしニューノーマルが定着するにつれ、多くの企業がVPNにはいくつかの欠点が存在することを理解しつつあります。リモートアクセスVPNにおいては、スケーラビリティとパフォーマンス、セキュリティのすべてが課題となり得ます。SDP(ソフトウェア定義の境界)は、企業にこれらVPNの欠点に対するソリューションを提供します。SDP(ZTNAまたはゼロトラストネットワークアクセスとも呼ばれる)は、リモートアクセスとネットワークセキュリティにソフトウェア定義のアプローチを採用し、それらの課題への対処をより長期的で持続可能な方法で促進します。
それでは、SDPと従来のリモートアクセスVPNとの明確な違いは一体何なのかを確認してみましょう。
VPNの利点
リモートアクセスVPNは、企業にリモート作業を可能にする手段を提供します。ほとんどの場合、WAN内の仮想アプライアンスまたは物理アプライアンス、パブリックインターネット、および従業員のPC上のクライアントソフトウェアは、在宅勤務の主導をサポートするのに十分です。多くの場合、そのような厳密な種類のリモートアクセスVPN構成は、パンデミック発生の際に企業が活動を続けるのに役立ちました。
VPNの欠点
リモートアクセスVPNにより、一部の企業が窮地を脱したのは事実ですが、使用量の増加により、いくつかのVPNの大きな欠点がさらに拡大したのも事実です。
#1:継続使用のために設計されていない
企業全体をWANに接続することは、リモートアクセスVPNの活用事例ではありませんでした。企業は従来、ごく一部の従業員を短期間接続するためにVPNソリューションを購入していました。大規模な自宅からの作業への移行に伴い、既存のVPNインフラストラクチャは、意図されていない継続的な作業量のサポートを余儀なくされています。これにより、VPNサーバーが過度の負荷にさらされ、パフォーマンスとユーザーエクスペリエンスに悪影響を与える可能性のある環境が引き起こされます。
#2:スケーラビリティを妨げる複雑さ
企業が追加のVPNアプライアンスやVPNコンセントレーターを使用することで、VPNの過負荷の問題に対処しようとすることにより、ネットワークにコストと複雑さが加算されます。同様に、VPNアプライアンスをHA(高可用性)構成にするとコストが増加し、より複雑な構成が必要になります。
さらに、VPNサーバーはリモートアクセスを提供しますが、エンタープライズ・グレードのセキュリティと監視は提供されないため、管理ソリューションとセキュリティツールを使って補完する必要があります。これら追加のアプライアンスとアプリケーションは、さらに多くの構成とメンテナンスにつながります。追加のソリューションが階層化されるたびに、ネットワークはより複雑になり、より拡張が困難となります。
#3:きめ細やかなセキュリティの欠如
VPNアプライアンスは、典型的なCastle-and-Moat(城と堀)セキュリティの例です。ユーザーがVPN経由で接続すると、サブネットの他の部分にも事実上無制限にアクセス可能となります。これは一部の企業においては、管理者以外のユーザーが重要なインフラストラクチャに、不必要にネットワークアクセスできることを意味します。さらにCastle-and-Moatアプローチは、マルウェアの拡散とデータ侵害のリスクを増加します。
多くの場合、リモートアクセスVPNにきめ細かいセキュリティ制御を追加するためには、企業は追加のセキュリティポイントソリューションを配備する必要がありますが、これによって構成ミスや人的エラーの可能性が発生する他、コストが増し、より複雑となります。
#4:予測できないパフォーマンス
VPN接続はパブリックインターネットを介することで作成されるため、ネットワークパフォーマンスはパブリックインターネットのパフォーマンスに直接関係しています。インターネットに共通するジッタ(パケット遅延の変動)とパケットロスにより、ミッションクリティカルなアプリとユーザーエクスペリエンスに大打撃を与える可能性があります。さらに、グローバル・フットプリント指標を持つ企業は、さらなるVPNトンネリングのオーバーヘッドが追加されることを考慮するまでもなく、世界中にインターネットトラフィックを送信しようとすると、重大な遅延が課題となることを理解しています。
#5:可用性への低い信頼性
予測不可能なパフォーマンスの範囲を超えて、リモートアクセスをパブリックインターネットに依存する企業には、可用性の保証がありません。パブリックインターネットの停止が組織全体の生産性の低下を意味する場合、パブリックインターネットのみに依存するリスクは、そのメリットを遥かに上回る可能性があります。
SDPのリモートアクセスVPNの欠点への対処法
総合的なSecure Access Service Edge(またはSASE)プラットフォームの一部として使用される場合、SDPはVPNの欠点に直接対処し、企業にスケーラブルかつ信頼性の高いリモートネットワークアクセスへのソリューションを提供します。
SASEは、ネットワークとセキュリティ機能をクラウドネイティブサービスに統合する、エンタープライズネットワーキングのカテゴリのひとつです。SASEフレームワークの重要な一部であるSDPは、グローバル・パフォーマンスの最適化と脅威からの保護、きめ細かいアクセス制御が組み込まれた、リモートアプリケーションアクセスへの最新アプローチです。
次の通りSDPの考え方は簡単です:
√ ユーザーを安全に認証(例:MFAと暗号化されたネットワークプロトコルを使用)
√ プロファイルと特定のアプリケーションに基づいてアクセス権を割り当て
√ 各ユーザーセッション中に継続的に行われるリスク評価
一例として、CatoのSASEプラットフォームの導入により、企業はSASEとSDPを使用して次のようなリモートアクセスソリューションが利用可能となります:
継続的なアクセスを意図した構築。グローバルに分散されたCatoクラウドネイティブプラットフォームは、継続的なアクセスを目的として構築されています。クラウドネイティブなインフラで、単一のVPNアプライアンスへの過負荷を企業が心配する必要がありません。さらにCatoのグローバル・プライベートバックボーンには、パフォーマンスの最適化およびHAが組み込まれているため、VPNがパブリックインターネットに依存する原因となったパフォーマンス問題の多くが解消されます。
高いスケーラビリティの実現。拡張のためのアプライアンスを企業が追加する必要がありません。SDPとSASEにより、クラウドの高いスケーラビリティがリモートアクセスにもたらされます。
きめ細やかなアクセス制御を提供。SDPの使用により、企業はアプリケーションレベルでユーザープロファイルに基づいたアクセス制御を設計できます。これによってネットワークレベルでのVPNのアプローチと比較して、リスクが大幅に軽減されます。
積極的な脅威からの保護。ネットワークトラフィックはSDPを使用することにより、悪意のある動作を検出・防止するように設計された、堅牢なクラウドベースのセキュリティスタックを使用して、エンドツーエンドなパケットの検査を通過します。これは追加のセキュリティソリューションを展開・維持する必要なしに発生します。
99.999%の稼働率を誇るSLAによるサポート。Catoのグローバルプライベートバックボーンは、Tier-1 ISPにより相互接続され、99.999%稼働率のSLAにより支えられた、70を超えるPoPで構成されています。この可用性保証により、従業員全員が遠隔地にいるときに雲泥の差が生まれる可能性があります。
これらのすべてが一体となり、SASEとSDPを理想的なリモートアクセスVPNの代替手段にします。
リモートワークやSDP、SASEについてより詳しく知りたいですか?
ニューノーマルに対応するためには、リモートアクセスVPNが長期的なソリューションとして適切ではない可能性について企業は理解しつつあります。SASEとSDPが拡張可能かつ安全で信頼性が高く、高性能なリモートワークの実現のため理想的であることも多くの人が学んでいます。
レガシーVPNの持つ課題に、SDPとSASEがどのように対処できるかを詳しく知りたい場合は、Work from Anywhere forEveryone(eBook)をダウンロードしてください。ご自身で実際にCato SASEプラットフォームの動作を確認したい場合は、今すぐお問い合わせいただくか、デモにご登録ください。
Cato Networksは、既存のITアプローチ...
Total Economic Impact™(EI:総経済効果): CatoがROI246%およびNPV433万ドルを達成 Cato Networksは、既存のITアプローチに伴う複雑さ、コスト、リスクを排除する、クラウドネイティブアーキテクチャーを通じて、次世代のネットワークとネットワークセキュリティを実現するというビジョンとともに設立されました。ITチームの負担をゼロにして、新しい機能を素早く導入し、セキュリティ体制を維持することを目指しています。
果たして、この目標は達成されているのでしょうか?
Cato Networksがもたらす潜在的なインパクトとROIを、Catoをご検討されるお客様にご判断いただくために、このたびForrester Consulting社にTotal Economic Impact(TEI:総経済効果)を委託しました。実は、調査対象のお客様がCato SASEクラウドで達成している成果に、私どもも正直驚いています。
Cato Networksがコスト削減、間接費の回避、旧システムの廃止、セキュリティ強化、効率向上、従業員の意欲向上に大きな役割を果たしていることが、今回の調査結果で判明しています。
Catoにより、以下のような主なメリットが組織にもたらされていることが、Forreste社による調査の結果判明しました:
ROI246%
NPV433万ドル
6ヶ月以内の投資回収
オペレーションとメンテナンスの低減により、380万ドルの節約
Catoの新規サイトへの導入時間短縮により、約44,000ドルの節約
旧システムのCatoへの置き換えにより、220万ドルの節約
導入にかかる時間短縮およびコスト削減
一貫性のあるセキュリティ
その他
現在、セキュリティとネットワークサービスの管理が組織の課題となっています。VPN、インターネット、WANなどの専門チームが、各ネットワークサイトの更新を個別に管理する必要があります。これには、多大な時間とコストがかかります。長期的には、このままでは、ビジネスのデジタルトランスフォーメーションが妨げられ、競争優位性の維持および最善の顧客サービスの提供が困難になります。
調査結果をさらに詳しく見てみましょう。
オペレーション・メンテナンスコストの削減
Cato Networksによる、3年間で380万ドルのオペレーション・メンテナンスコストの削減が今回の調査で判明しました。ネットワーク/セキュリティエンジニアがシステムの最適化ではなく、システムの管理に多くの時間を費やしていることは、組織の複数の関係者にとって極めて重要な懸念材料です。
「率直に申し上げて、Catoダッシュボードを基盤とする、SD-WANソリューションのセットアップとメンテナンスがこんなに容易く行えることに、とても驚いています。[以前のソリューション]では、セットアップに10人、オペレーションに20人のエンジニアが必要でした。Catoにより、これらすべてが解消されました。着想の背景をダッシュボードに表示して、1時間以内に理解することができ、あとは実行するだけです。」
- 自動車部品メーカー、ITマネージャー
セットアップ時間の短縮
企業の規模が拡大し、従業員や顧客をどこからでも接続できる柔軟性が求められる中、セットアップや設定にかかる時間が、ネットワーク/セキュリティソリューション選定時の重要な検討事項となっています。今回の調査によると、Cato Networksは、3年間で約44,000ドルの節約をもたらし、膨大な数の手作業による時間を排除しています。
「当社は別のことも推進していました。合併やオフィス移転の増加、さまざまな地域への進出などが[理由]で、「担当者を1名だけ送り出し」、一度設定すれば後は何もする必要がない、管理面を簡素化するアプローチが必要でした。つまりチームメンバーのひとりが出向いて、多くの作業を行い、ある程度知識のある担当者が図示に従ってプラグを差し込み、管理ポータルを表示するだけで、ビジネスが成立します。
- 技術ディレクター、顧問、税務&保証
旧システム廃止による節約
高額なハードウェアは、ITチームやセキュリティチームにとって大きな難題です。メンテナンス、更新、修正、他のプラットフォームとの統合も必要です。Cato SASEに移行して旧システムを廃止することで、3年間で220万ドルの節約が可能です。
「インテリジェンスとセキュリティレイヤーを兼ね備えたCatoにより、必要なことをすべて行うことができ、他のソリューションへのさらなる投資も必要ありません。」
- 技術ディレクター、顧問、税務&保証
その他のメリット
今回の調査報告によると、Cato Networksは、以下のような、定量化できないその他のメリットも同時にもたらしています:
導入の時間短縮とコスト削減 - 遠隔サイトへの搬入導入の時間短縮とコスト削減。
セキュリティ体制の強化 - 組織全体にわたって、一貫性のあるセキュリティルール一式を確保。
アプリケーションの効率向上 - 実務担当者の仕事を迅速化。
従業員の意欲向上 - 顧問、税務、保証の技術ディレクターの見解:「元のシステムに戻すことは考えられません。そのスピードを考慮すると、従業員の大反発が火を見るよりも明らかです。当社のエンジニアは、客先でダッシュボードの設定を行い表示するだけで稼働できる、このシステムを高く評価しています。」
柔軟性 - インフラストラクチャを追加する必要なく、新しいモバイルユーザーを追加でき、サイト展開を加速。
調査報告書の全文
レポートの全文をお読みください。Cato Networksが企業のデジタルトランスフォーメーションをどのように実現するのか、より詳しくご理解いただけます。Cato Networkのビジネスインパクトをさらに詳しくご理解ただくために、この報告書には、すべての財務情報、より多くの引用、ユースケース、コストおよび節約の内訳が含まれています。こちらをクリックして調査報告書をご覧ください。
貴社がどのようにROIを達成できるのか、専門家がご説明いたします。こちらから お問い合わせください。
SASE、SD-WAN、およびクラウドベースのセキ...
Catoの評価額が25億ドルに上昇 SASE、SD-WAN、およびクラウドベースのセキュリティ市場は、ほとんどが超大手ベンダーで占められていることをご存知の方も多いはずです。SD-WANやCASBなどのカテゴリーの独立系企業の大半が、大手ベンダーにより、これまでに買収されています。その目的は、SD-WANとセキュリティの両方を含むオファーによる、SASE分野での競争体制の確保です。しかし、これらの買収価格は、現在のCatoの評価額の数分の1に過ぎません。
Catoと競合他社の違い?
Catoは設立当初から、根底的に差別化されたアーキテクチャと価値提案により、大手ソフトウェアベンダーやハードウェアベンダー、通信事業者など、さまざまな企業に果敢に挑んできました。
現在、オンプレミスでの展開に構築されたアプライアンスやポイントソリューションから、真のクラウドネイティブプラットフォームへの移行が進んでいます。例えば、Amazon Web Services(AWS)のネットワークおよびセキュリティです。しかしながら、SASE分野の競合他社はすべて、従来のビルディングブロックとクラウドネイティブポイントソリューションを継ぎはぎして提供しています。そして今後、よりシームレスで合理的なソリューションへ時間をかけて進化させていくことを望んでいます。Catoは、「AWSなど」のネットワーキングおよびセキュリティクラウドサービスの構築には、まったく新しいプラットフォームとアーキテクチャが必要という考えに基づき、
いち早くこれを2015年に実行しました。それ以来、Catoはクラウドサービスの機能、グローバルなフットプリント、そして顧客基盤を大規模に拡大し、真のクラウドネイティブデザインがもたらす自動化、効率化、回復力、拡張性を備えたネットワークとセキュリティを、サービスとして提供できることを実証しています。
Catoの将来性の基盤となるビジョン。それはビジネスおよびITのより良い未来です。IT部門が基礎となる技術をより効率的に提供することで、ビジネスを迅速に進めていくことができます。これは、AWSなどのサービスと同じように、ルーティング、最適化、冗長性、セキュリティその他に伴う、最も難しく手間がかかる部分をプラットフォームで行うことで実現できます。
新しい拠点やユーザーグループ、クラウドアプリケーションなど、今後発生するお客様のリソースをCato SASE Cloudに接続するだけで、安全な最適化されたアクセスをご利用いただけます。
市場においてCatoがやるべきことはまだまだあります。ネットワーキングとセキュリティのより良い未来を実現し、インフラの運用方法を常に変革していくことが、Catoのミッションです。
ご期待ください。
昨年、ガートナー(Gartner のゼロトラストネ...
SASE(セキュアアクセスサービスエッジ)[サシ―])のゼロトラストネットワークアクセス機能 昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、2023年までに企業の60%がVPNを段階的に廃止し、代わりにZTNAを使用すると予測しています。 ZTNA採用の主な推進力は、エンタープライズネットワーク境界の形状の変化です。 クラウドワークロード、テレワーク、モバイル、およびオンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。
大まかに言えば、VPNに対するZTNAの利点を1つの単語で要約できます: それは精度です。 ゼロトラストネットワークアクセスにより、企業はVPNレベルでアクセスを制限できますが、ネットワークセキュリティに対する他の「城と堀」のアプローチでは絶対に不可能です。
このきめ細かいレベルの制御は、ゼロトラストネットワークアクセスがネットワークアクセス SASE(セキュアアクセスサービスエッジ) の要求に対するアイデンティティ主導のアプローチを補完する理由でもあります。 ゼロトラストネットワークアクセスがクラウドネイティブネットワークプラットフォームに組み込まれているため、SASEは、モバイルユーザー、サイト、クラウドアプリケーション、クラウドデータセンターなどの最新の企業のリソースを適切なアクセスレベルで接続できます。 しかし、ZTNAとSASEは、この約束を果たすためにどのように正確に連携するのでしょうか。 見てみましょう…
ゼロトラストネットワークアクセスとは何か?
ソフトウェア定義の境界(ブラッククラウド)[SDP]software-defined perimeter (SDP)とも呼ばれるゼロトラストネットワークアクセスは、クラウドとオンプレミスの両方でアプリケーションとサービスへのアクセスを保護するための最新のアプローチです。 ZTNAの仕組みは単純です。明示的に許可されていない限り、リソースへのすべての人とすべてのアクセスを拒否します。 このアプローチにより、全体的なネットワークセキュリティとマイクロセグメンテーションが強化され、侵害が発生した場合に横方向の動き(ラテラルムーブメント)を制限できます。
今日、レガシーネットワークセキュリティポイントソリューションでは、ユーザーがセキュリティアプライアンスを通過すると、同じサブネット上のすべてのものへのネットワークアクセスが暗黙的に取得されます。 これは本質的にリスクと攻撃対象領域を増加させます。 ZTNAは、そのパラダイムを真っ向から反転させます。 ZTNAを使用すると、ITはネットワークリソースへのアクセスを明示的に許可する必要があり、アプリケーションレベルまで制限を適用できます。
ゼロトラストネットワークアクセスとSASEが連携する方法
ZTNAはSASEのごく一部です。 SASEは、ZTNAの原則に従って、すべてのエッジ(サイト、モバイルユーザー、およびクラウドリソース)へのアクセスを制限します。 言い換えると、SASEのNGFWおよびSWG機能は、SASEがアクセスを制限する方法です;ZTNAは、SASEエッジのアクセスが制限されている度合いです。
SASEは、ゼロトラストネットワークアクセス、NGFW、およびその他のセキュリティサービスを、SD-WAN、WAN最適化、帯域幅集約などのネットワークサービスとともにクラウドネイティブプラットフォームにバンドルします。 つまり、SASEアーキテクチャを活用する企業は、ゼロトラストネットワークアクセスのメリットに加えて、管理が簡単で拡張性の高いネットワークおよびセキュリティソリューションの完全なスイートを利用できます。
SASEとゼロトラストネットワークアクセスの利点
SASEとゼロトラストネットワークアクセスの最初の利点は、セキュリティに対するID主導のデフォルト拒否アプローチにより、セキュリティ体制が大幅に改善されることです。 悪意のあるユーザーがネットワーク資産を侵害した場合でも、ZTNAは被害を制限できます。 さらに、SASEセキュリティサービスは、通常のネットワーク動作のベースラインを確立できます。これにより、ネットワークセキュリティ全般、特に脅威検出へのよりプロアクティブなアプローチが可能になります。 ベースラインがしっかりしていると、悪意のある動作の検出、封じ込め、防止が容易になります。
セキュリティ上の利点に加えて、SASEとZTNAを組み合わせることで、ポイントソリューションが現代の企業にもたらす別の一連の問題、つまりアプライアンスの無秩序な増加とネットワークの複雑さを解決します。 VPNポイントソリューションを使用すると、企業はSD-WANやNGFWなどの機能のために追加のアプライアンスを展開する必要があります。 これは、アプライアンスを必要とするサイトが増えるごとに、運用コストと設備投資が増えることを意味します。 また、アプライアンス、モバイルユーザー、クラウドサービスを統合すると、ネットワークが大幅に複雑になります。
SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供することにより、これらの問題を取り除きます。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増加させることなく、同じレベルのセキュリティを利用できます。
要約すると、従来のポイントソリューションと比較すると、SASEを使用したゼロトラストネットワークアクセスは以下のとおりです:
拡大/縮小が容易. アプライアンスの無秩序な増加により、ネットワークの成長に伴ってVPNポイントソリューションの管理が困難になります。 SASEは、マルチテナントクラウドネイティブプラットフォームのスケーラビリティをネットワークセキュリティにもたらします。
よりきめ細かく。 . 従来のポイントソリューションを使用すると、企業はIPアドレスに基づいてアクセスを制限するポリシーを実装できます。 SASEとゼロトラストネットワークアクセスにより、特定のアプリケーションとIDのレベルまでアクセス制御とネットワークの可視性が可能になります。
より安全に。 . 城と堀」のパラダイムが十分なネットワークセキュリティを提供していた時代には、ポイントソリューションは十分に優れていました。 ただし、最新のネットワークには、このパラダイムに単純に適合しないトポロジがあります。 すべてのネットワークエッジが確実に考慮されるようにし(たとえば、クライアントレスモバイルアクセスを有効にすることによって)、最新のネットワークトポロジ専用に構築されたセキュリティソリューションを使用することで、SASEとZTNAはセキュリティ体制を大幅に向上させることができます。
より高速で信頼性が高くなります. くの場合、VPNアプライアンスはボトルネックになり、WANの速度が低下し、パフォーマンスに悪影響を及ぼします。 これは、個々のアプライアンスにCPUとリソースの制限があるためです。 クラウドネイティブアプローチにより、SASEはこれらのリソース制限を排除し、基盤となるネットワークファブリックの一部としてWAN最適化も提供することにより、WANパフォーマンスをさらに向上させます。
ゼロトラストネットワークアクセスを備えた最初の真のSASEプラットフォーム
SASE市場はまだ成熟しきったたわけではなく、多くのベンダーはSASEの真の使命を果たすには至っていません。 Cato Networksは、ガートナー(Gartner)の2019エンタープライズネットワークのハイプ・サイクル(2019 Hype Cycle for Enterprise Networking)でSASEのサンプルベンダーとして評価されているだけでなく、世界初の真のSASEプラットフォームでもあります。
CatoのSASEプラットフォームは、最新のエンタープライズネットワークを念頭に置いてゼロから構築されました。 このプラットフォームは、ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能をSD-WANや WAN最適化 などのネットワークサービス、および99.999%の稼働率SLAを備えたグローバルプライベートバックボーンと組み合わせています。 その結果、Catoは、パフォーマンス、セキュリティ、およびスケーラビリティの観点から目下SASEの真の約束を提供できる唯一のベンダーです。
Cato SASEプラットフォームの動作を確認したい場合は デモにサインアップ するか、今すぐおすぐお問い合わせください. SASEの詳細については、eBook 「デジタルビジネスのネットワークはセキュアアクセスサービスエッジ(SASE)から始まる」 をご覧ください。
時々、見込み客の皆さんから、Catoがサンドボック...
サンドボックス機能には制限があります。ゼロデイ脅威を阻止する理由と方法を以下にご紹介します 時々、見込み客の皆さんから、Catoがサンドボックスを提供しているかどうかを尋ねられることがあります。これは当を得た質問であり、当社が真剣に検討している課題でもあります。しかし、サンドボックス化を検討したところ、このテクノロジーは今日のよりスリムで俊敏な企業のニーズと一致していないと感じました。 代わりに、ゼロデイ脅威または脅威を含む未知のファイルを防止するために別のアプローチを採用しました。
サンドボックスとは?サンドボックスとは?
従来のマルウェア対策ソリューションは、脅威を検出するために、主にシグネチャと既知の攻撃のインジケーターに依存しているため、ゼロデイ攻撃やステルス攻撃を常に検出できるとは限りません。 サンドボックスは、他のすべての主流の方法が失敗した結果、悪意のあるコード、添付ファイル、およびWebリンクに隠された脅威を検出するためのツールとして機能することを意図していました。
アイデアは非常に単純です。未知のファイルが収集され、サンドボックスで実行されます。これは、ターゲットホスト環境の完全に分離されたシミュレーションです。 ファイルアクションを分析して、外部コマンドアンドコントロール(C&C)サーバーとの通信の試行、プロセスインジェクション、権限の昇格、レジストリの変更など、実際の本番ホストに損害を与える可能性のある悪意のあるアクションを検出します。 ファイルが実行されると、サンドボックスは複数のコード評価プロセスを実行し、脅威の可能性を説明および評価するレポートを管理者に送信します。
サンドボックスの導入には時間と専門知識が必要
ただし、すべてのセキュリティツールと同様に、サンドボックスには欠点があります。 この場合、これらの欠点により、特に脅威防止ソリューションとしての効率と効果が制限されます。 1つには、サンドボックスに関連するファイル分析には、ビジネスユーザーがリアルタイムで操作するには5分もかかります。
IT側では、長く詳細なサンドボックスレポートを評価するには、時間、専門知識、リソースが必要です。 セキュリティアナリストは、オペレーティング環境内でのコードの動作を理解するために、マルウェア分析とオペレーティングシステムの詳細を十分に理解する必要があります。 また、悪意のある動作を識別するために、正当なシステムコールと正当でないシステムコールを区別する必要があります。 それらは多くの企業に欠けている高度に専門化されたスキルです。
そのため、サンドボックス化は多くの場合、予防よりも検出およびフォレンジックに効果的です。 サンドボックスは、検出後にマルウェアを分析し、対応と根絶戦略を考案したり、将来の攻撃を防ぐための優れたツールです。 実際、Catoのセキュリティチームはまさにそのためにサンドボックスを使用しています。 しかし、攻撃を防ぐための方法としては、サンドボックスは時間がかかりすぎて複雑すぎます。
サンドボックスは常に機能するとは限りません
サンドボックスのもう1つの問題は、サンドボックスが常に機能するとは限らないことです。 セキュリティ業界が攻撃を検出および防止するための新しいツールと戦略を開発するにつれて、ハッカーはそれらを回避するための高度な方法を考え出します。サンドボックスも例外ではありません。 サンドボックス回避戦術には、悪意のあるコードの実行を遅らせることが含まれます。 マスキングファイルタイプ。 サンドボックス環境を検出するために、ハードウェア、インストールされているアプリケーション、マウスクリックのパターン、開いて保存したファイルを分析します。 悪意のあるコードは、マルウェアが実際のユーザー環境にあると判断した場合にのみ実行されます。
サンドボックスは、フィッシングに対する効果も思ったほど高くありません。 たとえば、フィッシングメールには、アクティブ化しても悪意のある動作を示さないが、悪意のあるサインインフォームへのユーザーリンクが含まれている単純なPDFファイルが含まれている場合があります。 ユーザーがリンクをクリックしたときにのみ、攻撃がアクティブになります。 残念ながら、ソーシャルエンジニアリングは、ハッカーがネットワークエントリを獲得するために使用する最も人気のある戦略の1つです。
結果:サンドボックスソリューションは、回避方法を検出および防止するためのより洗練された環境と手法を考案する必要があり、多くの企業にとって疑問視されるコスト/メリット比を生み出す、より多くの電力、ハードウェア、リソース、および費用を必要とします。
Catoアプローチ
問題は、ソリューションがサンドボックスを提供するかどうかではなく、セキュリティプラットフォームが未知の攻撃とゼロデイ脅威をリアルタイムで一貫して防止できるかどうかです。 Catoは、サンドボックス化の複雑さを伴わずに、これらの目的を満たすアプローチを開発しました。
既知の脅威は、マルウェア対策ソリューションによって検出されます。 暗号化されたトラフィックでも完全なトラフィックの可視性を利用して、ラインレートでファイルを抽出および分析します。 Catoは、ファイル拡張子(.pdf、.jpegなど)ではなく、ファイルの内容に基づいて、実際のファイルタイプを決定します。 これは、実行可能ファイルをドキュメントとしてマスキングするための回避策と戦うためです。 次に、Catoによって維持および更新されている既知のマルウェアシグネチャデータベースに対してファイルが検証されます。
次のレイヤーである高度なマルウェア対策ソリューションは、構造的属性に基づいて悪意のあるファイルを検出するSentinelOneの機械学習エンジンを利用して、未知の脅威やゼロデイ攻撃から防御します。 Catoの高度なマルウェア対策は、署名ベースの検査エンジンを回避するように設計されたポリモーフィック
加えて、Catoの高度なマルウェア対策ソリューションは高速です。 SentinelOneの高度な機械学習とAIツールを使用すると、ファイルを分析するのに1〜5分かかる代わりに、Catoは、最も洗練されたゼロデイ攻撃とステルス攻撃をわずか50〜100ミリ秒で分析、検出、ブロックできます。 これにより、Catoの高度なマルウェア対策をリアルタイムで予防モードで実行できます。
同時に、Catoは検出と応答を無視しません。 エンドポイントは依然として他の手段で感染する可能性があります。 Catoは、Catoのプライベートバックボーン全体のトラフィックフローのパターンを検出することにより、これらの脅威を識別します。 Catoは毎日、クラウドスケールのビッグデータ環境でCatoのグローバルプライベートバックボーンを通過する何十億ものネットワークフローの属性をキャプチャします。 この大規模なデータウェアハウスは、CatoのAIと異常検出アルゴリズムの分析のための豊富なコンテキストを提供し、マルウェアの症状を示す可能性のある有害な動作を発見します。 不審なフローは、Catoのリサーチャーによってレビュー、調査、および検証され、顧客のネットワーク上のライブ脅威の存在が判断されます。 修復を支援するために利用可能なCatoのリサーチャーには、明確なレポート(およびアラートが生成されます)が提供されます。
これらのダークリーディング記事をチェックして、Catoのネットワーク脅威探知機能が、これまで識別されていなかった悪意のあるボットアクティビティをどのように検出できたかを確認してください。 MDRとCatoのAI機能の詳細については、このCatoブログをご覧ください。
途絶することのないセキュリティ
企業は未知のファイルのゼロデイ脅威と攻撃を防止および検出する必要がありますが、サンドボックスの速度と複雑さは、今日の学習者である、俊敏なデジタルエンタープライズと互換性がないと感じています。 Catoは、これに代わるものとして、高度な専門知識を必要とせず、常に最新のリアルタイムアプローチを開発しました。 しかし、私たちの言葉にとらわれず、セキュリティプラットフォームのデモを依頼して、ご自身の目で確かめてください。