リモートワーク環境におけるZTNAの優位性

リモートワーカーの急増とZTNAへの移行 従来、IT組織はVPN接続を利用して企業ネットワークへのリモートアク...
リモートワーク環境におけるZTNAの優位性 リモートワーカーの急増とZTNAへの移行 従来、IT組織はVPN接続を利用して企業ネットワークへのリモートアクセス環境をユーザーに提供してきました。しかし、COVID-19の影響によるリモートワーカーの急増に伴い、VPN接続の容量が従業員の快適な同時アクセスを妨げるという現実に多くの企業が直面しています。現在、世界中で外出制限等は緩和されていますが、リモートワークの必要性は高まり続けており、リモートワーカーに対するこれまで以上のサポートが求められています。 ZTNA(ゼロトラストネットワークアクセス)は、明確に定義されたアクセス制御ポリシーに基づいて、組織のアプリケーションやデータ、サービスへの安全なリモートアクセスを提供するITセキュリティソリューションです。LANへの完全なアクセスを許可するVPNとは異なり、ZTNAソリューションはデフォルトでアクセスを拒否し、ユーザーが明示的に許可されたサービスへのアクセスのみが提供されます。ガートナー社によると、2022年までに新しいビジネスアプリケーションの約80%がZTNAを通じてアクセスされ、2023年までに企業の約60%がリモートアクセスVPNを廃止し、ZTNAに移行すると予想されています。 広域ネットワークアクセスの境界をなくすZTNA 従来のネットワークセキュリティは、その周辺部のみを保護しているに過ぎませんでした。許可されたネットワーク認証情報を持つユーザーは、ネットワーク上のすべての情報と内部リソースにアクセスすることができ、規制対象やビジネスクリティカルな情報にもアクセスできる状況にあったのです。従業員がオフィス内でデータにアクセスする場合や、情報がオンプレミスで一箇所に保存されている場合、広域ネットワーク境界は問題なく機能していましたが、ネットワークの境界外にあるクラウドデータへのアクセスの必要性や、リモートユーザーの劇的な増加により、データリソースをグループごとに保護するZTNAに移行する企業が増えています。 またデータ漏洩の約30%は組織内部に起因しますが、最小特権アクセス、多要素認証、マイクロセグメンテーションといったゼロトラストの原則を活用することで、ネットワーク内の個々のユーザーに対して厳格な管理を実施できます。ゼロトラスト・アプローチではネットワークの内外を問わず、すべてのユーザーが脅威とみなされ、各エントリーポイントでの認証が必要となります。ZTNAでは、広域ネットワーク境界に依存せずアクセスを許可するための明確な方法が確立されています。 ネットワークアクセスにおけるゼロトラストのメリット ゼロ・トラストのコンセプトは、企業を保護し、外部からの脅威を阻止し、有害な内部脅威から個人を保護するための様々なポリシーを提供します。ゼロトラストは検証の概念に焦点を当て、次の点で組織にメリットをもたらします。 1. ネットワークの可視化 データとコンピューティングデバイスを横断し、組織全体の脅威を監視するアプローチを強化することで、ネットワークに対する洞察力が高まり、アクセス・リクエストごとのタイムスタンプ、アプリケーション、ユーザー、場所をより意識するようになります。標準的でない動作はすべてセキュリティ・インフラによってフラグが立てられ、リアルタイムですべてのアクティビティを追跡することが可能になります。ネットワーク全体の可視性を高めることで、誰が、あるいは何がネットワークへのアクセスを許可されているか、より深く理解することができます。 2. データ保護の向上 データ漏洩は、サイバー犯罪者が効果的に企業の身代金を要求する方法の一つですが、ZTNAはマルウェアやネットワークの大部分への不当なアクセスを防ぎ、攻撃の可能性を減らすことができます。また、たとえ侵入されたとしても、ネットワークへのアクセスが最小限であれば、被害を最小限に食い止めることができ、ビジネスだけでなく顧客や知的財産も保護することになります。その結果、顧客からの信頼を高め、データ流出から生じる混乱の収束のための財政的負担も回避することができます。 3. 遠隔地の従業員へのセキュリティ強化 COVID-19から生じた最も一般的なビジネス適応はリモートワークでした。しかしリモートワークが広く受け入れられるようになったにもかかわらず、ネットワークやデバイスのセキュリティ対策が不十分なためにリスクが高まっています。世界中で働くワーカーを抱える企業は、非効率なファイアウォールのためにリスクにさらされる可能性を持っています。 ZTNAはあらゆるレベルでユーザーの識別と確認を要求し、プライベートネットワークと別のパブリックネットワークの間にファイアウォールを設置する「境界の概念」に基づいています。すべてのユーザー、デバイス、アプリケーションは、アクセスのためのセキュリティレイヤーが保証され、世界中のどこにいても、データがどこに保管されていても、ワーカーに対してより強固な保護が提供されます。 4. 手作業によるIT管理の必要性を低減 ZTNAのコンセプトは継続的な監視に重点を置いており、自動化されたプロセスを取り入れることで、組織のITチームはよりシンプルに物事を進めることが可能となります。すべてを手作業で行っている場合、各リクエストの承認に多くの時間がかかるため、生産性やワークフローが低下し、ビジネスに悪影響を及ぼすことになります。 自動化パッケージは、特定のセキュリティ識別子に従ってアクセス要求の判断をプログラムすることができるため、ITチームがすべてのリクエストを手動で承認する必要がありません。また手動アクセスはワークフローの低下だけでなく、ヒューマンエラーの可能性も増大させます。自動化により全てが解決するわけではありませんが、自動化によってチームは煩雑な管理業務に追われることなく、ビジネスの改善と革新に取り組むことができるようになります。 リモートワークをサポートする方法について、詳しくはCato eBook「Work From Anywhere for Everyone」をご覧ください。

SASEにより廃れゆくVPN:ゼロトラストネットワークアクセス(ZTNA)時代の幕開け

SASE(セキュアアクセスサービスエッジ)は、2019年にガートナー社により提唱された、新しいエンタープライズ...
SASEにより廃れゆくVPN:ゼロトラストネットワークアクセス(ZTNA)時代の幕開け SASE(セキュアアクセスサービスエッジ)は、2019年にガートナー社により提唱された、新しいエンタープライズ・テクノロジーのカテゴリです。SA​​SEは、ネットワークおよび、エンドポイントセキュリティ・ソリューションの機能を、統合したされたグローバルなクラウドネイティブサービスに集約します。現在、SASEという用語は新たなトレンドとなっており、多くのベンダーは、真にSASEプラットフォームによるメリットを提供していないにも関わらず、自社製品にSASEという用語を取り入れています。それによって、SASE導入を検討する企業は、どのベンダーが真に要件を満たしているのか特定しなければならないという課題に直面しています。当記事では、SASEの背景的情報と、この新たなテクノロジーが今日の企業ネットワークに革命をもたらし、その過程で従来のVPNに取って代わりつつある理由について説明します。 SaaSアプリケーションと、IaaS型パブリッククラウド・プラットフォーム上に存在する多くのワークロードのために、クラウドで実行されるエンタープライズ・アプリケーションがますます増加傾向にあります。さらに、Covid19以降の「ニューノーマル」時代は、日常的にクラウドにアクセスし、自宅等からリモート環境で働く従業員数が右肩上がりで増えており、企業はこのクラウドの変革とモビリティの変化により、アクセスネットワークの設計方法を再考する必要に迫られています。 何故従来のVPNは時代にそぐわなくなったのでしょうか。典型的なVPNベースのアーキテクチャは、ユーザーが企業ネットワーク内のネットワークセグメントにアクセスできるようにする、ネットワーク中心のソリューションです。通常、アプライアンスとアクセス制御リスト(ACL)、ファイアウォールポリシーが必要であり、ユーザーからアプリケーションに対するきめ細かいマッピングは提供されません。企業の境界がインターネットにまで拡大することにより、リモートアクセスVPNなどのネットワーク中心のソリューションは時代遅れになったのです。従来のVPNなどのネットワーク中心のアプローチの落とし穴は、セキュリティやパフォーマンス、柔軟性、コストの観点から次のように要約できます。 セキュリティ:従来のVPNは、特定のアプリケーションアクセスに対する個々のユーザーのニーズを加味せず、ユーザーをネットワークセグメントに配置します。それらはネットワークアクセスに焦点を合わせており、ユーザーによる完全なネットワークアクセス要求に対して真偽の判断を提供するものですします。VPNサービスのユーザー側のアプリケーション需要に対するこの融通の効かなさと、アプリケーション関連のアクティビティに対するユーザーの可視性の欠如は、セキュリティリスクを大幅に増大させます。第三者のVPNクレデンシャルを盗むことができる悪意のある存在は、知的財産や顧客情報など、組織の機密データを手に入れるため、大胆な行動に出る可能性があります。多要素認証機能の追加がこれらの事故防止に一役買ってはいますが、それでもラテラルムーブメントの非常に大きなリスクは残ります。一方、「ゼロトラスト」の原則を採用するSASEは、データ制御と企業リソースの可視性を提供します。 パフォーマンス:SASEモデルは信頼の置けるブローカーを利用して、特定のプライベート・アプリケーションと、許可を与えられたユーザー間の接続を仲介します。ITチームはゼロトラストを基底としながら、コンテキスト(ID、デバイスなど)に基づいた接続の提供を可能とします。SASEはVPNとは異なり、ネットワークアクセスではなく、なしでアプリケーションにアクセスする手段と、オープンなインターネットからアプリケーションをマスクする機能を提供します。企業がクラウドでSaaSアプリケーションをサブスクライブする場合、パブリッククラウドによりホストされた複数のミラーサイトにアクセスすることが望ましいですを望んでいます。つまり、ユーザーに最適なパフォーマンスを提供するには、エンドポイントから最寄りのクラウドサービスプロバイダーの拠点にトラフィックを転送する必要があります。しかし従来のVPNモデルのセキュリティチェックは、トラフィックを集中型ハブにバックホール(中継)することに依存しています。今日、SaaSを利用した重要なビジネスアプリケーションが多数存在するため、データセンター中心のネットワークインフラストラクチャは、アプリケーションに多大なパフォーマンスのペナルティを課し、全体的なユーザーエクスペリエンスを低下させます。 柔軟性:VPNソリューションは、特定数のユーザーとレガシーネットワークに根ざしているため、柔軟性がありません。このようなソリューションは、トラフィックとユーザー数の変化に応じてスケールを変更することが困難です。ソリューションをスケールアップするために、組織は新しいハードウェアとライセンスを購入し、新しいリソースのインストールと構成にOPEXを割く必要があります。対してスケールダウンの機能はほとんど無視され、使用しない容量とライセンスへの料金を結局支払うことになります。COVID-19のパンデミックにより、ギグワーカーへのより大きな依存が加速しています。プロジェクトの開始・終了と共に変化する人的移動に伴い、組織は双方向のリモートアクセスを拡張する必要がありますが、多くの場合、実践的なIT作業が必要になります。クラウドネイティブのマルチテナントSASEソリューションは、手作業を最小限に抑え、必要に応じてネットワークやコンピュータの設備などのリソースを提供できるよう予測・準備する時間を合理化します。 コスト:SASEソリューションの導入により、企業ネットワークの日常業務の多くの側面でメリットを確認できます。SASEは、企業が複数のポイントプロダクトに代わって、単一のプラットフォームの使用を実現することで、コストを削減します。エンタープライズネットワーク全体でさまざまなポイントソリューションを調達、プロビジョニング、監視、保守することで、CAPEXとOPEXの両方が膨れ上がります向上します。 組織の外部に配置されるユーザー、デバイス、アプリケーション、およびデータが増えるにつれ、既存のVPNアーキテクチャは不十分なものとなっています。SASEは、クラウドから必要なすべてのネットワーキングとセキュリティテクノロジーを提供し、「サービスとして」提供することで、一般的なVPNソリューションの欠点を克服することを目的としています。 SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。 。また認定SASEエキスパートになることもできます。 CatoのSASEプラットフォームを実際にご覧いただくには、デモをご予約いただくか、今すぐお問い合わせください。

企業向けVPNの欠点

COVID-19の発生により、ビジネスVPNの使用がごく短期間で急増しました。具体的に、VPNを使った通信量は...
企業向けVPNの欠点 COVID-19の発生により、ビジネスVPNの使用がごく短期間で急増しました。具体的に、VPNを使った通信量は複数の地域で、数週間で200%以上増加しました。ほとんどの企業はオフィスが閉鎖されているにもかかわらず、VPNを使用し率先して自宅から迅速に仕事を始めることによって、ビジネスの継続が可能となりました。 しかしニューノーマルが定着するにつれ、多くの企業がVPNにはいくつかの欠点が存在することを理解しつつあります。リモートアクセスVPNにおいては、スケーラビリティとパフォーマンス、セキュリティのすべてが課題となり得ます。SDP(ソフトウェア定義の境界)は、企業にこれらVPNの欠点に対するソリューションを提供します。SDP(ZTNAまたはゼロトラストネットワークアクセスとも呼ばれる)は、リモートアクセスとネットワークセキュリティにソフトウェア定義のアプローチを採用し、それらの課題への対処をより長期的で持続可能な方法で促進します。 それでは、SDPと従来のリモートアクセスVPNとの明確な違いは一体何なのかを確認してみましょう。 VPNの利点 リモートアクセスVPNは、企業にリモート作業を可能にする手段を提供します。ほとんどの場合、WAN内の仮想アプライアンスまたは物理アプライアンス、パブリックインターネット、および従業員のPC上のクライアントソフトウェアは、在宅勤務の主導をサポートするのに十分です。多くの場合、そのような厳密な種類のリモートアクセスVPN構成は、パンデミック発生の際に企業が活動を続けるのに役立ちました。 VPNの欠点 リモートアクセスVPNにより、一部の企業が窮地を脱したのは事実ですが、使用量の増加により、いくつかのVPNの大きな欠点がさらに拡大したのも事実です。 #1:継続使用のために設計されていない 企業全体をWANに接続することは、リモートアクセスVPNの活用事例ではありませんでした。企業は従来、ごく一部の従業員を短期間接続するためにVPNソリューションを購入していました。大規模な自宅からの作業への移行に伴い、既存のVPNインフラストラクチャは、意図されていない継続的な作業量のサポートを余儀なくされています。これにより、VPNサーバーが過度の負荷にさらされ、パフォーマンスとユーザーエクスペリエンスに悪影響を与える可能性のある環境が引き起こされます。 #2:スケーラビリティを妨げる複雑さ 企業が追加のVPNアプライアンスやVPNコンセントレーターを使用することで、VPNの過負荷の問題に対処しようとすることにより、ネットワークにコストと複雑さが加算されます。同様に、VPNアプライアンスをHA(高可用性)構成にするとコストが増加し、より複雑な構成が必要になります。 さらに、VPNサーバーはリモートアクセスを提供しますが、エンタープライズ・グレードのセキュリティと監視は提供されないため、管理ソリューションとセキュリティツールを使って補完する必要があります。これら追加のアプライアンスとアプリケーションは、さらに多くの構成とメンテナンスにつながります。追加のソリューションが階層化されるたびに、ネットワークはより複雑になり、より拡張が困難となります。 #3:きめ細やかなセキュリティの欠如 VPNアプライアンスは、典型的なCastle-and-Moat(城と堀)セキュリティの例です。ユーザーがVPN経由で接続すると、サブネットの他の部分にも事実上無制限にアクセス可能となります。これは一部の企業においては、管理者以外のユーザーが重要なインフラストラクチャに、不必要にネットワークアクセスできることを意味します。さらにCastle-and-Moatアプローチは、マルウェアの拡散とデータ侵害のリスクを増加します。 多くの場合、リモートアクセスVPNにきめ細かいセキュリティ制御を追加するためには、企業は追加のセキュリティポイントソリューションを配備する必要がありますが、これによって構成ミスや人的エラーの可能性が発生する他、コストが増し、より複雑となります。 #4:予測できないパフォーマンス VPN接続はパブリックインターネットを介することで作成されるため、ネットワークパフォーマンスはパブリックインターネットのパフォーマンスに直接関係しています。インターネットに共通するジッタ(パケット遅延の変動)とパケットロスにより、ミッションクリティカルなアプリとユーザーエクスペリエンスに大打撃を与える可能性があります。さらに、グローバル・フットプリント指標を持つ企業は、さらなるVPNトンネリングのオーバーヘッドが追加されることを考慮するまでもなく、世界中にインターネットトラフィックを送信しようとすると、重大な遅延が課題となることを理解しています。 #5:可用性への低い信頼性 予測不可能なパフォーマンスの範囲を超えて、リモートアクセスをパブリックインターネットに依存する企業には、可用性の保証がありません。パブリックインターネットの停止が組織全体の生産性の低下を意味する場合、パブリックインターネットのみに依存するリスクは、そのメリットを遥かに上回る可能性があります。 SDPのリモートアクセスVPNの欠点への対処法 総合的なSecure Access Service Edge(またはSASE)プラットフォームの一部として使用される場合、SDPはVPNの欠点に直接対処し、企業にスケーラブルかつ信頼性の高いリモートネットワークアクセスへのソリューションを提供します。 SASEは、ネットワークとセキュリティ機能をクラウドネイティブサービスに統合する、エンタープライズネットワーキングのカテゴリのひとつです。SASEフレームワークの重要な一部であるSDPは、グローバル・パフォーマンスの最適化と脅威からの保護、きめ細かいアクセス制御が組み込まれた、リモートアプリケーションアクセスへの最新アプローチです。 次の通りSDPの考え方は簡単です: √ ユーザーを安全に認証(例:MFAと暗号化されたネットワークプロトコルを使用) √ プロファイルと特定のアプリケーションに基づいてアクセス権を割り当て √ 各ユーザーセッション中に継続的に行われるリスク評価 一例として、CatoのSASEプラットフォームの導入により、企業はSASEとSDPを使用して次のようなリモートアクセスソリューションが利用可能となります: 継続的なアクセスを意図した構築。グローバルに分散されたCatoクラウドネイティブプラットフォームは、継続的なアクセスを目的として構築されています。クラウドネイティブなインフラで、単一のVPNアプライアンスへの過負荷を企業が心配する必要がありません。さらにCatoのグローバル・プライベートバックボーンには、パフォーマンスの最適化およびHAが組み込まれているため、VPNがパブリックインターネットに依存する原因となったパフォーマンス問題の多くが解消されます。 高いスケーラビリティの実現。拡張のためのアプライアンスを企業が追加する必要がありません。SDPとSASEにより、クラウドの高いスケーラビリティがリモートアクセスにもたらされます。 きめ細やかなアクセス制御を提供。SDPの使用により、企業はアプリケーションレベルでユーザープロファイルに基づいたアクセス制御を設計できます。これによってネットワークレベルでのVPNのアプローチと比較して、リスクが大幅に軽減されます。 積極的な脅威からの保護。ネットワークトラフィックはSDPを使用することにより、悪意のある動作を検出・防止するように設計された、堅牢なクラウドベースのセキュリティスタックを使用して、エンドツーエンドなパケットの検査を通過します。これは追加のセキュリティソリューションを展開・維持する必要なしに発生します。 99.999%の稼働率を誇るSLAによるサポート。Catoのグローバルプライベートバックボーンは、Tier-1 ISPにより相互接続され、99.999%稼働率のSLAにより支えられた、70を超えるPoPで構成されています。この可用性保証により、従業員全員が遠隔地にいるときに雲泥の差が生まれる可能性があります。 これらのすべてが一体となり、SASEとSDPを理想的なリモートアクセスVPNの代替手段にします。 リモートワークやSDP、SASEについてより詳しく知りたいですか? ニューノーマルに対応するためには、リモートアクセスVPNが長期的なソリューションとして適切ではない可能性について企業は理解しつつあります。SASEとSDPが拡張可能かつ安全で信頼性が高く、高性能なリモートワークの実現のため理想的であることも多くの人が学んでいます。 レガシーVPNの持つ課題に、SDPとSASEがどのように対処できるかを詳しく知りたい場合は、Work from Anywhere forEveryone(eBook)をダウンロードしてください。ご自身で実際にCato SASEプラットフォームの動作を確認したい場合は、今すぐお問い合わせいただくか、デモにご登録ください。

Total Economic Impact™(EI:総経済効果): CatoがROI246%およびNPV433万ドルを達成

Cato Networksは、既存のITアプローチに伴う複雑さ、コスト、リスクを排除する、クラウドネイティブア...
Total Economic Impact™(EI:総経済効果): CatoがROI246%およびNPV433万ドルを達成 Cato Networksは、既存のITアプローチに伴う複雑さ、コスト、リスクを排除する、クラウドネイティブアーキテクチャーを通じて、次世代のネットワークとネットワークセキュリティを実現するというビジョンとともに設立されました。ITチームの負担をゼロにして、新しい機能を素早く導入し、セキュリティ体制を維持することを目指しています。 果たして、この目標は達成されているのでしょうか? Cato Networksがもたらす潜在的なインパクトとROIを、Catoをご検討されるお客様にご判断いただくために、このたびForrester Consulting社にTotal Economic Impact(TEI:総経済効果)を委託しました。実は、調査対象のお客様がCato SASEクラウドで達成している成果に、私どもも正直驚いています。 Cato Networksがコスト削減、間接費の回避、旧システムの廃止、セキュリティ強化、効率向上、従業員の意欲向上に大きな役割を果たしていることが、今回の調査結果で判明しています。 Catoにより、以下のような主なメリットが組織にもたらされていることが、Forreste社による調査の結果判明しました: ROI246% NPV433万ドル 6ヶ月以内の投資回収 オペレーションとメンテナンスの低減により、380万ドルの節約 Catoの新規サイトへの導入時間短縮により、約44,000ドルの節約 旧システムのCatoへの置き換えにより、220万ドルの節約 導入にかかる時間短縮およびコスト削減 一貫性のあるセキュリティ その他 現在、セキュリティとネットワークサービスの管理が組織の課題となっています。VPN、インターネット、WANなどの専門チームが、各ネットワークサイトの更新を個別に管理する必要があります。これには、多大な時間とコストがかかります。長期的には、このままでは、ビジネスのデジタルトランスフォーメーションが妨げられ、競争優位性の維持および最善の顧客サービスの提供が困難になります。 調査結果をさらに詳しく見てみましょう。 オペレーション・メンテナンスコストの削減 Cato Networksによる、3年間で380万ドルのオペレーション・メンテナンスコストの削減が今回の調査で判明しました。ネットワーク/セキュリティエンジニアがシステムの最適化ではなく、システムの管理に多くの時間を費やしていることは、組織の複数の関係者にとって極めて重要な懸念材料です。 「率直に申し上げて、Catoダッシュボードを基盤とする、SD-WANソリューションのセットアップとメンテナンスがこんなに容易く行えることに、とても驚いています。[以前のソリューション]では、セットアップに10人、オペレーションに20人のエンジニアが必要でした。Catoにより、これらすべてが解消されました。着想の背景をダッシュボードに表示して、1時間以内に理解することができ、あとは実行するだけです。」 - 自動車部品メーカー、ITマネージャー セットアップ時間の短縮 企業の規模が拡大し、従業員や顧客をどこからでも接続できる柔軟性が求められる中、セットアップや設定にかかる時間が、ネットワーク/セキュリティソリューション選定時の重要な検討事項となっています。今回の調査によると、Cato Networksは、3年間で約44,000ドルの節約をもたらし、膨大な数の手作業による時間を排除しています。 「当社は別のことも推進していました。合併やオフィス移転の増加、さまざまな地域への進出などが[理由]で、「担当者を1名だけ送り出し」、一度設定すれば後は何もする必要がない、管理面を簡素化するアプローチが必要でした。つまりチームメンバーのひとりが出向いて、多くの作業を行い、ある程度知識のある担当者が図示に従ってプラグを差し込み、管理ポータルを表示するだけで、ビジネスが成立します。 - 技術ディレクター、顧問、税務&保証 旧システム廃止による節約 高額なハードウェアは、ITチームやセキュリティチームにとって大きな難題です。メンテナンス、更新、修正、他のプラットフォームとの統合も必要です。Cato SASEに移行して旧システムを廃止することで、3年間で220万ドルの節約が可能です。 「インテリジェンスとセキュリティレイヤーを兼ね備えたCatoにより、必要なことをすべて行うことができ、他のソリューションへのさらなる投資も必要ありません。」 - 技術ディレクター、顧問、税務&保証 その他のメリット 今回の調査報告によると、Cato Networksは、以下のような、定量化できないその他のメリットも同時にもたらしています: 導入の時間短縮とコスト削減 - 遠隔サイトへの搬入導入の時間短縮とコスト削減。 セキュリティ体制の強化 - 組織全体にわたって、一貫性のあるセキュリティルール一式を確保。 アプリケーションの効率向上 - 実務担当者の仕事を迅速化。 従業員の意欲向上 - 顧問、税務、保証の技術ディレクターの見解:「元のシステムに戻すことは考えられません。そのスピードを考慮すると、従業員の大反発が火を見るよりも明らかです。当社のエンジニアは、客先でダッシュボードの設定を行い表示するだけで稼働できる、このシステムを高く評価しています。」 柔軟性 - インフラストラクチャを追加する必要なく、新しいモバイルユーザーを追加でき、サイト展開を加速。 調査報告書の全文 レポートの全文をお読みください。Cato Networksが企業のデジタルトランスフォーメーションをどのように実現するのか、より詳しくご理解いただけます。Cato Networkのビジネスインパクトをさらに詳しくご理解ただくために、この報告書には、すべての財務情報、より多くの引用、ユースケース、コストおよび節約の内訳が含まれています。こちらをクリックして調査報告書をご覧ください。 貴社がどのようにROIを達成できるのか、専門家がご説明いたします。こちらから お問い合わせください。

SASEベンダー:SASEプロバイダーの選択

ガートナーは「The Future of Network Security in the Cloud」レポート...
SASEベンダー:SASEプロバイダーの選択 ガートナーは「The Future of Network Security in the Cloud」レポートの中で、SASEモデルを提唱し、WAN接続およびセキュリティ市場の方向性を示しています。一方で、SASE市場は成熟初期であり、多くのベンダーがSASEの完全なメリットを提供できていないという事実も指摘されています。 SASEはバズワードとして注目されているため、多くのベンダーが、SASEプラットフォームのメリットを十分に提供しないにも関わらず、現行の製品をSASEとして販売しています。その結果、最新のデジタルビジネス要件を本当に満たすことができるベンダーを見極めることが困難になっています。 ここでは、似て非なるものではなく、真のSASEを提供しているベンダーを選択する具体的な方法について説明します。 SASEモデルを理解する SASEプロバイダーを比較する前に、SASEに関する明確な知識を持つことが重要です。ガートナーは、SASEモデルの説明において、特定ベンダーに偏らない説明をおこなっております。 ガートナーは「The Future of Network Security in the Cloud」レポートで、SASEについて、従来のデータセンター重視のアーキテクチャとはまったく異なる、ID指向のアーキテクチャと説明しています。つまり、SASEは、物理的なデータセンターではなく、ネットワーキングおよびセキュリティ機能を統合した、ユーザーとリソースのIDに基づいてアクセスを判断するモデルです。 クラウドとモバイルがネットワークアーキテクチャを大幅に変化させている今、従来のデータセンター重視のモデルではデジタルビジネスの最新のユースケースに適切に対応できないという現実が、SASEへの移行を加速させています。 SASEベンダーの評価方法 SASEの本質的な実現とは、グローバル規模でネットワークおよびセキュリティの統合サービスを提供し、コストと複雑さを軽減すると同時に、機動力、可視化、パフォーマンスを向上させることです。SASEの可能性から確実にメリットを得るには、SASEベンダーを比較する基準を適切に理解することが重要です。 企業によって重視する基準は異なるかもしれませんが、これらの基準により、大規模なネットワークおよびセキュリティインフラの統合により、真のメリットをもたらすことを目的とするWANアーキテクチャを見極めることができます。 基準1:ネットワーキングとセキュリティがサービスとして統合されているか? SASEは、ネットワーキングとセキュリティを、単一のクラウドネイティブプラットフォームに統合します。SASEプロバイダーが、エンタープライズグレードのネットワーキング(SD-WAN、WANアクセラレーションなど)およびセキュリティサービス(FWaaS、IPS、SWGなど)の両方を含むネットワークファブリックを提供できない場合、それは完全なSASEソリューションとはいえません。 基準2:プラットフォームはクラウドネイティブか? SASEベンダーは、このモデルのメリットを最大限に活用するために、クラウドネイティブアプローチを採用している必要があります。SASEに求められているID指向のアプローチが、オンプレミス、モバイル、クラウドなど、すべてのネットワークエッジに適用されなければなりません。SD-WANアプライアンスなどのポイントソリューションだけでは、この要件に対応できません。統合型クラウドネイティブソフトウェアスタックは、これを確実に満たすことができます。 基準3:グローバル規模でネットワークパフォーマンスを最適化できるか? グローバルなネットワークバックボーンはSASEの要件ではありませんが、世界中のすべての拠点に最適な環境を提供する必要があります。公共のインターネットはまさしくグローバルですが、地理的な距離とインターネットルーティングに基本的な問題点があり、国をまたぐグローバルなユースケースでは信頼性が低く、遅延時間が発生しやすいです。一方、MPLSは信頼性が高いですが、多くの企業が求めている理想的な機動力が得られず、高額なコストがかかります。結論として、これらの要件を最も有効に対応し、グローバルなSLAで保証されたプライベートバックボーンを提供しているSASEベンダーが理想的です。 基準4:SASEプロバイダーは、ZTNAを実現できるか? ZTNA(ゼロトラストネットワークアクセス)はSASEに不可欠な要素です。ZTNAは、従来の「城と堀」型のアプローチでは実現できない、細密なID主導型かつコンテキスト認識型のネットワークセキュリティアプローチを提供します。レガシーソリューションでは、「堀」(VPNやファイアウォールアプライアンスなど)を通過したユーザーは、ほぼ無制限にネットワークへアクセスできます。また、レガシーアプローチでは、クラウドやモバイルエッジのエンドポイントへの拡張が困難です。ZTNAは、クラウド、モバイル、オンプレミスのユーザーとリソースに対して、ユーザーIDに基づくアプリケーション固有のアクセスを設定できます。 ZTNAを提供していないSASEベンダーは、IDに基づくインフラという、SASEの基本要件を満たすことができません。 Cato NetworksでZTNAとSASEに関する知識を深めてください。 基準5:SASEプロバイダーがネットワークの複雑さとコストを削減できているか? ZTNA、FWaaS、SD-WAN、WANアクセラレーションなどの機能により、SASEベンダーは、ネットワークのパフォーマンスとセキュリティ体制を向上させることができますが、それは全体の半分に過ぎません。SASEは、コストを削減し、複雑さを軽減するものでなければなりません。クラウドネイティブのマルチテナントアーキテクチャにより、アプライアンスの調達、プロビジョニング、監視、パッチ適用、置き換えが減り、CAPEXとOPEXを削減できます。同様の理由で複雑さも軽減されます。しかし、アプライアンスのパッチワークが解消されるだけでは十分ではありません。 堅牢で直感的かつ使いやすい管理インターフェースを提供するSASEプラットフォームにより、不必要な複雑さを排除して、IT部門がネットワークのメンテナンスに時間を費やすことなく、ビジネスのコア機能に集中できます。 CatoはSASEを本質的に実現します Catoはガートナーの最新の「企業ネットワーキングのハイプサイクル」で「Sample Vendor(見本となるベンダー)」に位置付けられ、世界初のSASEプラットフォームを提供しています。デジタルビジネス向けに開発されたCatoは、真に統合されたクラウドネイティブネットワークおよびセキュリティファブリック、99.999%の稼働率を誇るグローバルプライベートバックボーンを提供し、導入初日からSASEを本質的に実現してメリットをもたらします。 SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。  また認定SASEエキスパートになることもできます。 CatoのSASEプラットフォームを実際にご覧にただくには、デモをご予約いただくか、今すぐお問い合わせください。

SD-WANからSASEへ:WANの進化・発展について

ガートナーがSASE(セキュアアクセスサービスエッジ)と呼ばれる新しいネットワークとセキュリティのカテゴリを提...
SD-WANからSASEへ:WANの進化・発展について ガートナーがSASE(セキュアアクセスサービスエッジ)と呼ばれる新しいネットワークとセキュリティのカテゴリを提唱したことが転機となりました。ガートナーによる「The Future of Network Security in the Cloud」レポート以前では、SD-WANが、2010年代に広く知られるようになりました。2020年代に入ると注目の的がSASEに移りました。z§ SASEという用語に初めて触れた人は、SASEはSD-WANをパッケージ化し直したものに過ぎないのではと思われるかもしれません。端的には、SD-WANは、SASEのサブセットです。SD-WANアプライアンスは重要なネットワーキング機能を提供しますが、SASEはSD-WANを他のネットワークやセキュリティサービスと統合し、包括的なWAN接続とセキュリティファブリックを構築します。 それでは、SD-WANからSASEへのWANの進化の過程をたどり、これらの関係について見ていきましょう。 SD-WAN:WANからの進化 SD-WANは、WAN接続のよりアジャイルでクラウドに適したアプローチとして、2010年代を通じて普及しました。大量のワークロードがクラウドに移行される中、SD-WANはインターネットベースのVPNに代わる信頼性の高い選択肢であり、多くのユースケースにおいてMPLSに代わるよりアジャイルかつ手頃な価格の選択肢となりました。 SD-WANは、ネットワークトランスポートサービス基盤(xDSL、MPLS、4G LTEなど)を抽象化して、WANをソフトウェアによって管理することにより、ネットワークパフォーマンスの向上、MPLS帯域幅の高コストやトロンボーン現象などの課題に対応することができるようになりました。さらに、SD-WANはラストマイルにおける復元力と障害耐性を向上させることができます。 これらのメリットにより、多くの企業でSD-WANの採用が急ピッチで進んでいきました。その具体的な例として、SD-WANは、Catoの2019年ネットワーキング調査で上位3の主なユースケース、2020年の調査では最上位のユースケースとなりました。 SD-WANアプライアンスだけでは実現できないこと SD-WANの導入が進んでいることをデータが示していますが、2020年のネットワーキング調査では、さらにもうひとつ大きな見識が得られました。SD-WANだけでは、現代のデジタルビジネスに必要なWANトランスフォーメーションを完全には実現できないという事実です。SD-WANはコストと機動力の面で優れていますが、SD-WANアプライアンスを導入した企業は一様に、デジタルトランスフォーメーション後のネットワークに困難を感じています。 最近のネットワークが単なる拠点間の接続や公共のインターネット帯域幅のクラウドサービスへの利用にとどまらないという現状のために、SD-WANアプライアンスの多くのユーザーのが不満を感じることになっています。 SD-WANアプライアンスにより、企業は求めていることに近づくことはできますが、現代直面しているネットワーキングとセキュリティのすべての課題に対処できるわけではありません。具体的には、SD-WANアプライアンスには、以下のような欠点があります: グローバルバックボーンの欠如。SD-WANアプライアンスは、基盤となるネットワークインフラと一緒に利用されることになります。つまり、SD-WANアプライアンスだけでは、高いパフォーマンスと信頼性のネットワークバックボーンについては何の対応もできません。 高度なセキュリティ機能の欠如。SD-WANアプライアンスは、最新のネットワーキングの多くのユースケースに対応していますが、セキュリティ要件には対応していません。このニーズを満たすために、多くの場合、さまざまなベンダー(CASBなど)のセキュリティおよびネットワークアプライアンスのパッチワークを管理する必要があります。また、各アプライアンスを社内のIT部門やMSPが調達、プロビジョニング、管理する必要があるため、ネットワークのコストと複雑さが増します。 テレワークをサポートしない。 SD-WANアプライアンスは、拠点間の接続用に構築されています。SD-WANアプライアンスは、リモートワークの安全な接続には対応していません。 SASE:さらなる進化 このように、SD-WANはいくつかの重要なメリットをもたらしますが、SD-WANアプライアンスだけでは包括的なソリューションとはいえません。これに対応するのがSASEです。SD-WANはSASEの重要な要素ですが、唯一の要素ではありません。 SASEの主なメリットは、インターネットのコスト削減、機動性、ネットワークの範囲、またはMPLSの持つ安定性とパフォーマンスを損なうことなく、企業のあらゆる拠点(サイト、テレワーク、クラウドリソース)を接続して保護する単一のグローバルネットワークを構築できることです。各拠点がローカルのインターネットアクセスを介して、SASEグローバルネットワークの最も近いPoPにトラフィックを転送します。そこでトラフィックが最適化および保護された後、転送先に送られます。 SD-WANの主なメリットは、コスト削減、機動性およびクラウドへの対応です。SASEは、これらのメリットに加え、ネットワーキング機能を提供します。また、SASEは基盤となるクラウドネイティブアーキテクチャにセキュリティを組み込み、セキュリティアプライアンスのパッチワークを不要にします。さらにSASEは、基盤となるプライベートネットワークバックボーンにより、長年にわたって求められてきた包括的なソリューションを提供します。 SASEの主な特徴: クラウドネイティブアーキテクチャ。 SASEは、WANインフラに対するマルチテナントのクラウドネイティブアプローチにより、パフォーマンスやセキュリティを犠牲にすることなく、テレワークを含む、あらゆる拠点のエンドポイントにサービスを提供できます。また、アップグレード、パッチ、メンテナンスなどをSASEベンダーに任せることで、企業は複雑な作業から解放されます、 グローバルネットワークバックボーン。 Catoのプライベートネットワークバックボーンは、70以上のPoPで構成され、99.999%の稼働率をSLAで保証しています。SASEはアプライアンスだけでは実現できない信頼性をもたらします。 ネットワーキングとセキュリティの統合。 SD-WANは、WANネットワーキングとセキュリティの一部に過ぎません。SASEは、NGFW、IPS、CASB、SWGなどの機能をSD-WANに追加してもたらします。ネットワークおよびセキュリティのインフラ全体を単一のクラウドネイティブプラットフォームで提供するため、可視化を向上させ、サイロを減らし、セキュリティを強化できます。 シンプルな管理。SASEは、シンプルなWAN管理インターフェースを提供し、複数のアプライアンスや複雑な統合を不要にします。これにより、OPEXとネットワークの複雑さが軽減され、IT部門がインフラのメンテナンスではなく、ビジネスのコア機能に集中できるようになります。 要するに、SASEは、ネットワークとセキュリティの統合により、セキュリティアプライアンスだけでは実現できない包括的なソリューションネットワークを提供します。 SASEは、今日のエンタープライズWANの標準です。 企業のセキュリティとネットワーキングのすべてのユースケースに対応する、万能なソリューションはありません。SASEは、WANを真に変革するアプローチを実現します。SD-WANやその他のネットワーキング機能を高度なセキュリティ機能と組み合わせることで、SASEは大規模なWANネットワークとセキュリティの大半の要件に対応できます。これは、販売のための誇大広告ではありません。これには、業界の専門家も同意しています。ガートナーは、SASEアーキテクチャがもたらすメリットにより、2024年までに40%以上の企業がSASE採用を具体的に計画することになると予測しています。 Catoは、世界初の真のSASEプラットフォームを構築し、この分野のリーダーとしての評価を得ています。認定SASEエキスパートの資格を取得することもできます。ご遠慮なくお問い合わせください。またデモをお申し込みいただくこともできます。「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」eBookも併せてご覧ください。

SASEとゼロトラストネットワークアクセス機能

ガートナーのゼロトラストネットワークアクセス(ZTNA)マーケットガイドは、2023年までに60%の企業がVP...
SASEとゼロトラストネットワークアクセス機能 ガートナーのゼロトラストネットワークアクセス(ZTNA)マーケットガイドは、2023年までに60%の企業がVPNを廃止し、ZTNAに移行すると予測しています。企業ネットワークにおける境界線の変化が、ZTNA採用の主な促進要因となっています。クラウドワークロード、在宅勤務、モバイル、オンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。 VPNを上回るZTNAの優位性を一言で言い表すならば、それは「細密さ」です。ゼロトラストネットワークアクセスは、VPNやその他の「城と堀」型のネットワークセキュリティアプローチでは実現できないレベルのアクセス制限を提供します。 細密なレベルでの制御により、SASE(セキュアアクセスサービスエッジ)に必要なネットワークアクセスへのID主導型のアプローチを補完できます。クラウドネイティブネットワークプラットフォームにゼロトラストネットワークアクセスを組み込んだSASEにより、企業のリソース(モバイルユーザ、サイト、クラウドアプリケーション、クラウドデータセンター)を適切なアクセスレベルで接続できます。ZTNAとSASEがどのように連携して、これを実現するのか、説明します... ゼロトラストネットワークアクセスとは? ゼロトラストネットワークアクセスは、SDP(ソフトウェア定義の境界)とも呼ばれる、クラウドまたはオンプレミスのアプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAの仕組みはシンプルです。明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、全体としてより強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。 従来のネットワークセキュリティポイントソリューションでは、セキュリティアプライアンスを通過したユーザーが、ネットワークの同じサブネットのすべてのリソースに暗黙的にアクセスできます。これにより、リスクと攻撃対象が必然的に増えます。ZTNAは、これに革新をもたらします。ZTNAはIT部門がネットワークリソースへのアクセスを明示的に許可する必要があるため、アプリケーションレベルで制限を適用できます。 SASEとゼロトラスト ZTNAは、SASEのごく一部に過ぎません。SASEは、ZTNAの原則に従って、サイト、モバイルユーザー、クラウドリソースなど、すべてのエッジへのアクセスを制限します。つまり、SASEのNGFWおよびSWG機能がアクセスを制限し、ZTNAがSASEエッジのアクセス制限のレベルを決めます。 SASEは、ゼロトラストネットワークアクセス、NGFW、その他のセキュリティサービスとSD-WAN、WANなどのネットワークサービスの最適化、帯域幅アグリゲーションをクラウドネイティブプラットフォームにバンドルします。つまり、SASEアーキテクチャにより、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる拡張性の高いパッケージに統合できます。 SASEとゼロトラストネットワークアクセスのメリット SASEとゼロトラストネットワークアクセスの第一のメリットとして、ID主導型の拒否をデフォルとするアプローチにより、セキュリティ体制を大幅に強化します。悪意のあるユーザがネットワークアセットのセキュリティを侵害した場合でも、ZTNAによって被害を最小限に食い止めることができます。さらに、SASEのセキュリティサービスは、通常のネットワーク挙動のベースラインを確立し、ネットワークセキュリティ全般、特に脅威の検出において、より能動的なアプローチを実現します。ベースラインの確立により、悪意のある行動を容易に検出、封じ込め、防止できます。 SASEとZTNAの組み合わせにより、セキュリティ面のメリットが得られるだけでなく、ポイントソリューションが現代の企業に及ぼしているもうひとつの問題点、すなわちアプライアンスの増加とネットワークの複雑化も解決します。VPNポイントソリューションでは、SD-WANやNGFWなどの機能を追加するために、アプライアンスを導入する必要があります。つまり、アプライアンスが必要な拠点が追加されるたびに、OPEXとCAPEXが増えます。また、アプライアンス、モバイルユーザー、クラウドサービスの統合により、ネットワークの複雑さが大幅に増します。 SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供して、これらの課題を解決します。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増やすことなく、同じレベルのセキュリティを利用できます。 従来のポイントソリューションと比較して、SASEとゼロトラストネットワークアクセスの特徴を要約すると次のようになります: 拡張が容易。アプライアンスが増加すると、ネットワークが拡大するため、VPNポイントソリューションの管理が難しくなります。SASEは、マルチテナントのクラウドネイティブプラットフォームの拡張性をネットワークセキュリティにもたらします。 より細密に。従来のポイントソリューションは、IPアドレスに基づくアクセス制限ポリシーを適用します。SASEとゼロトラストネットワークアクセスは、特定のアプリケーションやIDレベルでのアクセス制御とネットワーク可視化を実現します。 より安全。ポイントソリューションは、「城と堀」型のモデルでネットワークセキュリティを十分に確保できる時代には適していました。しかし、最新のネットワークトポロジーは、このモデルに当てはまらなくなっています。SASEとZTNAは、すべてのネットワークエッジを考慮し(クライアントレスのモバイルアクセスなど)、最新のネットワークトポロジーに特化したセキュリティソリューションにより、セキュリティ体制を大幅に強化できます。 より高速に、より高い信頼性。 VPNアプライアンスがボトルネックとなり、WANの速度が低下し、パフォーマンスに悪影響を及ぼすことは多々あります。個々のアプライアンスのCPUやリソースに限界があるためです。SASEのクラウドネイティブアプローチは、リソースの制限を受けずに、ネットワークファブリック基盤の一部としてWANを最適化し、WANのパフォーマンスを向上させます。 ゼロトラストネットワークアクセスを提供する、世界初の真のSASEプラットフォーム SASEの市場はまだ成熟化されておらず、多くのベンダーがSASEを本質的に実現できていません。そのため、SASEに似に非なるものを知ることが重要です。Cato Networksは、ガートナーの「企業ネットワーキングのハイプサイクル2019」で「Sample Vendor(見本となるベンダー)」に位置付けられ、世界初の真のSASEプラットフォームを提供しています。 Cato SASEプラットフォームは、現代の企業ネットワークを念頭に置いて、ゼロから構築されています。ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能とSD-WAN、WAN最適化などのネットワーキングサービスを組み合わせたプラットフォームを、99.999%の稼働率SLAを提供するグローバルプライベートバックボーンで接続しています。Catoは、パフォーマンス、セキュリティおよび拡張性の面でSASEを本質的に実現する唯一のベンダーです。 Cato SASEプラットフォームを実際にご覧いただくには、デモをお申込みください。または、今すぐお問い合わせください。SASEの詳細については、「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」eBookをご覧ください。

SASEに似て非なるもの?

ガートナーは、2019年の「The Future of Network Security in the Clo...
SASEに似て非なるもの? ガートナーは、2019年の「The Future of Network Security in the Cloud(ネットワークの未来はクラウドにある)」で2つの項目をレポートしています。1つ目は、次世代に向けたエンタープライズネットワークおよびセキュリティアーキテクチャの正確な特定と説明です。2つ目は、Googleトレンドの数字で示されている新しいアプローチを説明する、当時最大のITバズワードのひとつ、つまりSASE(セキュアアクセスサービスエッジ)についてです。 SASEが取り上げられたことで、多くの「SASEベンダー」がSASE機能を備えるソリューションの販売を開始しました。しかし、これらのソリューションの大半が、SASEの核心である包括的な統合型ネットワークセキュリティソリューションの実現からはかけ離れたものでした。ここでは、「SASEに似て非なるもの」およびSASEベンダーが提供すべき価値について説明します。 SD-WANはSASEではない SASEは、次世代のSD-WANと見なされている場合があります。機動力と統合をもたらすネットワークインフラという点では、この見解は妥当かもしれません。実際、トラフィックを最適にルーティングし、SD-WANの中核メリットである、物理的媒体基盤を不要にする機能は、SASEの重要な一部です。 しかし、SD-WANだけでは、SASEが提供する広範なソリューションの一部しか提供できません。また、すべてのSD-WANが同じように構築されているわけではありません。例えば、すべてのネットワークエッジ(WAN、エッジコンピューティング、クラウドコンピューティング、モバイル)をサポートすることがSASEの目的ですが、多くのSD-WANアプライアンスが、モバイルを十分にサポートしていない、あるいはまったく提供していません。 クラウドベースのセキュリティはSASEではない SD-WANと同じように、数多くのセキュリティ機能は、SASEソリューションの重要な要素です。これには、IPS(不正侵入検知防御システム)、NGFW(次世代ファイアウォール)、SWG(セキュアWebゲートウェイ)などが含まれます。 ID主導型のセキュリティおよびクラウドネイティブアーキテクチャは、SASEの重要な特徴です。SASEの実装により、多数のクラウドベースのファイアウォールを利用できるようになるというのは、受け入れやすい考え方です。しかし実際には、セキュリティは、SASEアーキテクチャ構成の半分に過ぎず、クラウドベースのファイアウォールとIPSだけでは、グローバル規模でルーティングやWANを最適化できません SD-WANと同じように、セキュリティ技術によるメリットはSASEの重要な要素ですが、単なるバンドルの場合、本来のSASEとはいえません。 複数のアプライアンスの組み合わせはSASEではない アジャイルで効率的なルーティングを可能にするSD-WANの機能は、SASEの重要な要素です。同様に、IPS、SWG、NGFWなどのセキュリティ機能も、SASEの重要な要素です。しかし、SASEの機能一式をすべて提供していると主張する「SASEプロバイダー」のアプライアンスやソリューションを導入するだけでは、SASEを本質的に実現することはできません。 ネットワークやセキュリティアプライアンスとクラウドソリューションのパッチワークでは、単一の統合型ソリューションが提供する機動力、可視化、シンプルさ、パフォーマンスを実現できません。複数の製品を調達、導入、管理、統合することで、コストが上昇するだけでなく、ネットワークの複雑さが増します。見栄えの良いソリューションのパッチワーク(つぎはぎのネットワーク)が、実質的には運用の障壁となり、セキュリティの大規模な見落としが起こりやすくなります。複雑な作業はサービスプロバイダーに任せるべきという意見もありますが、これでは根本的な問題は解決されません。結果として、最適とはいえないパフォーマンスを補足する余分なコストがかかります。 エッジデバイスの仮想アプライアンスはSASEではない エッジデバイスで仮想アプライアンスを実行すると、ハードウェアのフットプリントを減らすことができますが、運用コストはほとんど変わりません。アプライアンスの導入、統合、アップグレード、展開、メンテナンスが必要です。また、サイロや複雑さを根本的に解消することはできません。真のSASEプラットフォームは、アプライアンスのフォームファクターを排除します。マルチテナントのクラウドネイティブプラットフォームで機能が提供されます。SASEプロバイダーは、すべての顧客にメリットをもたらすために、プラットフォーム基盤を管理および維持すべきです。また、アプライアンス管理に伴うコストを企業やプロバイダーが負担する必要をなすべきです。 真のSASEとは何でしょう? SASEは、ネットワーキングとセキュリティの統合により、グローバル規模でのパフォーマンスを向上させ、運用をシンプル化し、セキュリティ体制を強化します。これらを実現する真のSASEソリューションには以下が必要です: すべてのエッジをサポート。 モバイル、クラウド、WANなど、すべてのエッジのパフォーマンスや機能を犠牲にすることなくサポート。仮想アプライアンスや物理的アプライアンスでは、多くの場合、これを満たすことは困難です。多くのセキュリティアプライアンスが本質的に特定の拠点に結び付けられているためです。 ID主導型セキュリティ。SASEのセキュリティモデルは、リソースの細密なIDに基づいて構築されます。SASEは、すべてのアプリ、ユーザーおよびデバイスを把握し、データの流れを詳細に分析します。これにより、ネットワーク全体の可視化とコンテキストを把握して、脅威を軽減できます。 クラウドネイティブアーキテクチャ。複雑な管理をシンプル化し、適応力、回復力、自己メンテナンスを提供し、エンタープライズ向けのパフォーマンスと拡張性を実現するため、SASEにはマルチテナントのクラウドネイティブアーキテクチャが不可欠です。 ネットワーク接続のグローバルな分散。 グローバルに分散されたクラウドプラットフォームにより、すべてのネットワークエッジがSASEの機能をすべて利用できます。つまり、SASEのPoP(ポイントオブプレゼンス)は、公共のクラウドデータセンターを上回る機能を提供し、すべてのWANエンドポイントに低レイテンシー接続を確保します。 真のSASEベンダーは、コンバージェンスの重要性を理解している 重要なポイント:SASEは、単に堅牢なネットワークおよびセキュリティ機能一式ではなく、必要な機能を統合して、複雑さとコストを削減し、パフォーマンスとセキュリティを向上させます。  Cato Networksは、ガートナーの最近の「企業ネットワーキングのハイプサイクル」」において、3年連続でSASEの「Sample Vendor(見本となるベンダー)」に位置付けられています。CatoのSASEに対するアプローチは、統合と最新のデジタルビジネスを考慮して構築されています。 SASEが貴社のビジネスに何をもたらすのか、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」で詳細をご確認ください。弊社のクラウドベースSASEソリューションを実際にお試しになりたい場合や、デモをご要望の際は是非ご連絡ください。

CASBとSASEの比較:その違いとは?

CASB(クラウドアクセスセキュリティブローカー)は、2010年代後半に最も注目を集めた情報セキュリティ市場セ...
CASBとSASEの比較:その違いとは? CASB(クラウドアクセスセキュリティブローカー)は、2010年代後半に最も注目を集めた情報セキュリティ市場セグメントです。ガートナーは、46%の年平均成長率(2017年から2022年まで)をこのセグメントに予測しました。ガートナーは、ワークロードのクラウドへの移行に伴う課題に対応するセキュリティソリューションをCASBと名付け、「The Future of Network Security in the Cloud」レポートでは、その他のネットワークおよびセキュリティサービスを同時にクラウドセキュリティに提供する、SASE(セキュアアクセスサービスエッジ)を事実上のCASBの上位集合として位置付けました。これにより、CASBに代わり、SASEが注目されるようになりました。 CASBとは何なのか? SASEの概念にどのように位置付けられるのか? また、CASBが提供していないSASE機能は何なのか? ここでは、このような疑問について詳しく説明します。 CASBとは CASBには、クラウドの普及に伴う、従来のセキュリティソリューションでは対応できない動的な脅威ベクトルへの対抗が想定されています。ビジネスクリティカルなアプリケーションやデータがクラウドに移行する中、ITセキュリティに対する「城を堀によって守る」旧式の古いアプローチが通用しなくなっています。CASBは、クラウドコンピューティングに伴う新たな脅威に対する防御と同時に、IT部門が直面しているワークロードと複雑さを軽減する手段を提供します。 ガートナーによるCASBの定義 CASBは具体的にどのように価値を提供するのでしょうか? オンプレミスのアプライアンスを利用、SaaSモデルを採用するなど、ベンダーが提供するCASBソリューションはさまざまですが、CASB市場にはいくつかの共通点があります。SASEベンダーの選択で考慮すべき重要点をまとめてみました。ガートナーによると、CASBプロバイダーは、CASBの4つの基本的な条件を満たす必要があります。 CASBの4つの条件: 脅威からの保護。攻撃対象となる領域やハッキング、ユーザーの過失、マルウェアなどの攻撃にさらされる可能性は、クラウドサービスの導入と足並みを合わせて増加します。新しいサービスが増えると、攻撃対象も増えます。CASBは、クラウドサービス専用のSWGやアンチマルウェアエンジンなどの機能により、脅威に対する防御を支援します。 データセキュリティ。 トークン化、アクセス制御、DLP(データ損失防止)などのセキュリティ機能により、データの完全性を保護できます。CASBは、クラウドサービス向けのデータセキュリティを提供し、重要なデータのセキュリティ侵害リスクを軽減して、クラウドへの移行を支援します。 規制遵守。PCI-DSSやHIPAAなどの規制遵守は、オンプレミスでさえ、かなり複雑です。クラウドのデータセキュリティとデータ主権を考慮すると、複雑さがさらに増します。CASBは、クラウドサービスにおいて規制を遵守および維持するために役立ちます。 可視化。 ワークロードが複数のクラウドプラットフォームに分散すると、ベンダーごとにログ、監査、監視のプロセスが異なるため、ネットワークの可視化が制限される可能性があります。これは、IT部門が明示的に許可していないクラウドサービスにユーザーがアクセスする場合に特に問題となります。CASBは、複数の異種クラウドプラットフォームをまたぐ活動を記録および追跡する手段を提供します。 CASBの不足要素 CASBにより、クラウドセキュリティの大半の課題を解決できます。しかし、IT部門が対応する必要があるネットワークやセキュリティに関する要件はまだ残っています。CASBをポイントソリューションと組み合わせて、SD-WAN、ZTNA、WANを最適化する機能を提供して要件を満たすことができますが、コストと複雑さが増します。SASEは、単一の包括的なネットワークファブリックでCASBのすべての機能およびその他のネットワークおよびセキュリティサービスを提供して、この課題を解決します。 SASEがCASBに提供する機能 CASBは重要な、SASEの主な要素です。SASEはさらに一歩進んで、エンタープライズWANが満たすべきすべての要件に対応します。SASEは、複数のポイントソリューションに起因する複雑さを、クラウドネイティブアーキテクチャで抽象化します。これにより、複数のアプライアンス管理、複数のインターフェースへのアクセス、複雑な統合が必要なくなります。結果として、WANのメンテナンスにかかる負担が減り、IT部門がさらに重要なビジネスタスクに取り組むことができます。 要約すると、SASEは、クラウド、モバイル、オンプレミスにおける可視化、データセキュリティ、脅威に対する防御、規制遵守などの機能だけでなく、堅牢なネットワーク機能も提供します。主要なすべてのネットワークおよびセキュリティサービスを単一のクラウドネイティブマルチテナントプラットフォームに統合して、セキュリティ強化、パフォーマンス向上、ネットワークの複雑さの軽減、コスト削減を実現します。 世界初のSASEプラットフォーム SASEに注目が集まり、多くのプラットフォームのマーケティング資料にSASEという用語が追加されています。これがSASEとSASEに似て非なるものを正しく区別することを困難にしています。以下の条件を満たすのが真のSASEです: ID主導型のセキュリティに基づく クラウドネイティブ すべてのネットワークエッジをサポート グローバル規模でパフォーマンスの高いネットワーク接続を提供 Cato Networksは、ガートナーの「エンタープライズネットワーキングのハイプサイクル 2021」で「Sample Vendor(見本となるベンダー)」に位置付けられ、世界初の真のSASEプラットフォームを提供しています。SASEの可能性を最大限に高める、Cato SASEプラットフォームは、ゼロから構築され、現代のデジタルエンタープライズのニーズに対応しています。今日、SASEを本質的に実現する唯一のプラットフォームです。 CASB、SWG、NGFW、SD-WAN、WANの最適化など、ネットワークおよびセキュリティサービスを含むクラウドネイティブインフラと同時に、Catoはグローバルなプライベートバックボーンを提供しています。複数のティア1 ISPに接続された50ヵ所以上のPoP、99.999%の稼働率を保証するCatoのバックボーンは、MPLSに頼ることなく、世界中で最適なネットワークパフォーマンスを達成します。 SASEとCASBの詳細に関心がおありですか? SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。Cato、SASE、CASBの詳細については、弊社宛にお問い合わせいただくか、デモをお申し込みいただき、プラットフォームで実際のパフォーマンスをご確認ください。

ガートナー社による、セキュアアクセスサービスエッジ(SASE)

世界有数のリサーチ&アドバイザリ企業であるガートナー社は、IT分野を中心に、企業の重要な意思決定を支援していま...
ガートナー社による、セキュアアクセスサービスエッジ(SASE) 世界有数のリサーチ&アドバイザリ企業であるガートナー社は、IT分野を中心に、企業の重要な意思決定を支援しています。さまざまな技術ソリューションの相対的なメリットとデメリットを明確かつ公平に評価する、ガートナー社のマジッククアドラント(MQ)を、多くの企業が買収プロセスに役立てています。 またガートナー社は、既存の技術の評価に留まらず、将来を見据えた、未来のネットワークを構築およびセキュリティを確保するためのガイダンスも提供しています。ほんの数年前、大半のIT企業においてSD-WANがまだ着想段階であった頃、ガートナー社はすでにセキュアアクセスサービスエッジ(SASE)の構想を先駆けていました。 今日、ガートナー社が提唱する「ネットワークセキュリティの未来」の採用を検討している組織の間で、SASEはバズワードになっています。ガートナー社は、SASEのメリットを全面的に実現できるように、SASEへの取り組みを開始する組織に向けて、SASE採用の明確なロードマップを提供しています。 SASEアーキテクチャのコンポーネント 「ブランチネットワークのみならず、すべてのエッジをサポートする真の統合型ネットワークセキュリティスタックを備えたグローバルなクラウドベースのサービス」が、ガートナー社によるSASEの定義です。SASEアーキテクチャの主なコンポーネント: ソフトウェア定義型WAN(SD-WAN):SASEは、SD-WANの機能を活用して、SASEのプレゼンスポイント(PoP)間のネットワークルーティングを最適化します。 サービスとしてのファイアウォール(FWaaS):ファイアウォールは、ネットワークセキュリティスタックの基礎です。SASEは、FWaaSにより、最小限の間接費と管理で強力な保護を提供します。 ゼロトラストネットワークアクセス(ZTNA): 従来のセキュアリモートアクセスソリューションに取り代わる、ZTNA(SDPとも呼ばれる)は、ゼロトラストポリシーを採用し、その場に応じたリソースへのアクセスを提供します。 クラウドアクセスセキュリティブローカー(CASB):クラウドベースのセキュリティソリューションであるSASEは、論理的にクラウドアプリケーションのセキュリティを提供する必要があります。SASEには、クラウドベースのリソースへのアクセスを監視およびセキュリティを確保するために、CASBが統合されています。 セキュアWebゲートウェイ(SWG):SWGソリューションは、マルウェア、フィッシング、およびその他のインターネット上の脅威からユーザーを保護します。SASEは、ロケーションを問わず、SWGの保護をすべてのユーザーに提供します。 統合型管理:複雑かつ分断されたセキュリティは、SASEが解決する主な課題のひとつです。SASEのユーザーは、シングルペインオブグラス(単一の画面)から、すべてのセキュリティソリューションを監視および管理できます。 SASEのメリットを全面的に実現するには、すべてのコンポーネント全体にわたって、真のコンバージェンスの実現が不可欠です。 またガートナー社は、SASE機能のすべての条件を満たしているが、必要な完全な統合がされていないソリューションを「SASEオルタナティブ」と定義しています。これらのソリューションは、「デュアルベンダー」またはマルチベンダーSASEと呼ばれ、多くの場合、APIやサービスチェイニングを介してポイントセキュリティ製品をリンクしています。これらは、SASEと同等の機能を備えているかもしれませんが、真のSASEソリューションに比べて性能が劣り、また管理も困難です。 ガートナー社のSASEガイダンスレポート ガートナー社は、2019年にSASEという用語を定義して以来、その「Hype Cycle for Enterprise Networking」レポートにSASEカテゴリを含めています。ガートナー社は、真のSASEソリューションの基準を満たしている、Cato SASE Cloudを2年連続して、この分野の「Sample Vendor(見本となるベンダー)」)に位置付けています。 ガートナー社は、ハイプサイクルレポートの他にも、この分野をさらに定義する数多くのレポートを発表して、SASE採用を検討している組織にガイダンスを提供しています。最近発表された「SASE Convergence Roadmap 2021」には、SASE採用時に組織が行うべき手順の概要が示されています。これには、移行のための短期的および長期的な目標が含まれています。また、このレポートには、SASEベンダー選択の推奨事項も含まれています。 SASE採用に向けた取り組みを開始 ガートナー社は、SASEが「ネットワークセキュリティの未来」を構築するという考えに基づき、SASE採用に向けた取り組みを今すぐ開始することをすべての組織に推奨しています。このプロセスを開始するにあたり、SASEについてさらに詳しく学び、SASEソリューションに期待できることを知ることが、適切なスタートポイントです。CatoのSASEエキスパート認証レベル1を取得して、SASEに関する知識とスキルを習得および証明することができます。 SASEソリューションの詳細およびSASEへの取り組みを開始する方法について、弊社宛にお問い合わせください。無料デモをリクエストして、真のSASEソリューションの機能およびCato SASE Cloudがお客様の組織に提供できるメリットをご確認ください。  

Catoの評価額が25億ドルに上昇

SASE、SD-WAN、およびクラウドベースのセキュリティ市場は、ほとんどが超大手ベンダーで占められていること...
Catoの評価額が25億ドルに上昇 SASE、SD-WAN、およびクラウドベースのセキュリティ市場は、ほとんどが超大手ベンダーで占められていることをご存知の方も多いはずです。SD-WANやCASBなどのカテゴリーの独立系企業の大半が、大手ベンダーにより、これまでに買収されています。その目的は、SD-WANとセキュリティの両方を含むオファーによる、SASE分野での競争体制の確保です。しかし、これらの買収価格は、現在のCatoの評価額の数分の1に過ぎません。 Catoと競合他社の違い? Catoは設立当初から、根底的に差別化されたアーキテクチャと価値提案により、大手ソフトウェアベンダーやハードウェアベンダー、通信事業者など、さまざまな企業に果敢に挑んできました。 現在、オンプレミスでの展開に構築されたアプライアンスやポイントソリューションから、真のクラウドネイティブプラットフォームへの移行が進んでいます。例えば、Amazon Web Services(AWS)のネットワークおよびセキュリティです。しかしながら、SASE分野の競合他社はすべて、従来のビルディングブロックとクラウドネイティブポイントソリューションを継ぎはぎして提供しています。そして今後、よりシームレスで合理的なソリューションへ時間をかけて進化させていくことを望んでいます。Catoは、「AWSなど」のネットワーキングおよびセキュリティクラウドサービスの構築には、まったく新しいプラットフォームとアーキテクチャが必要という考えに基づき、 いち早くこれを2015年に実行しました。それ以来、Catoはクラウドサービスの機能、グローバルなフットプリント、そして顧客基盤を大規模に拡大し、真のクラウドネイティブデザインがもたらす自動化、効率化、回復力、拡張性を備えたネットワークとセキュリティを、サービスとして提供できることを実証しています。 Catoの将来性の基盤となるビジョン。それはビジネスおよびITのより良い未来です。IT部門が基礎となる技術をより効率的に提供することで、ビジネスを迅速に進めていくことができます。これは、AWSなどのサービスと同じように、ルーティング、最適化、冗長性、セキュリティその他に伴う、最も難しく手間がかかる部分をプラットフォームで行うことで実現できます。 新しい拠点やユーザーグループ、クラウドアプリケーションなど、今後発生するお客様のリソースをCato SASE Cloudに接続するだけで、安全な最適化されたアクセスをご利用いただけます。 市場においてCatoがやるべきことはまだまだあります。ネットワーキングとセキュリティのより良い未来を実現し、インフラの運用方法を常に変革していくことが、Catoのミッションです。 ご期待ください。

企業向けリモートアクセス技術の種類

世界的なパンデミックが世界中で広まる前から、企業はすでに限られた従業員にリモートで業務を行えるようにしていまし...
企業向けリモートアクセス技術の種類 世界的なパンデミックが世界中で広まる前から、企業はすでに限られた従業員にリモートで業務を行えるようにしていました。それがオフィスの外で勤務する営業担当者であれ、週に数日の在宅勤務者であれ、従業員のある程度のパーセンテージは遠隔地から企業のリソースにアクセスする必要があります。 これまで多くの世界中の企業の従業員はある意味隔離された状態で在宅勤務を行うように指示されていました。それが、ビジネス環境の急激な変化に伴い、世界中のどこからでも一斉に何百、何千人ものユーザーがリモートアクセスを行う必要が出てきました。 すでにVPNサービスを小規模グループのリモートワーカーに提供していた多くの企業は、在宅で隔離された多くの労働力にもそのような機能を拡張すべく、大急ぎで取り組んでいました。それは必要性から急いで行われた判断でしたが、現在、VPNが企業にとって最善のリモートアクセスの技術であるのか、また、他の技術がより優れた長期的なソリューションになりえるのかを検討する時が来ました。 長期的なリモートアクセスはしばらくの間、規範になりえる 一部の知識労働者は、実際のオフィスに少しずつ戻ってきていますが、多くは未だに在宅におり、しばらくはそうなるでしょう。Global Workplace Analytic(世界的な職場分析)によれば、全従業員の25~30%は2021年末まで週に複数日は在宅ワークを行うと推定されています。他の従業員は正式のオフィスに戻ることはなく、永遠に在宅ワーク(WFH)従業員のままでいることを選択しています。 結果として、企業は、利便性、優れたパフォーマンス、そして完全にセキュアなネットワークアクセスエクスペリエンスを含め、在宅ワーカーにオフィスにあるものと同じエクスペリエンスを提供するリモートアクセスソリューションを見つける必要性があります。さらには、そのソリューションはコスト効果が高く、さらに技術スタッフ職員を追加する必要なく、管理しやすいものである必要があります。 VPNは確かに一つの選択肢ですが、それだけではありません。他の選択肢には、アプライアンスベースのSD-WANとSASEが含まれます。それぞれのアプローチを見ていきましょう。 VPNは企業の全従業員をサポートするよう、設計されていませんでした。 VPNが従業員の少数の一部には便利なリモートアクセスのソリューションですが、それは非常の多くの労働者にリモートアクセスを提供するには非効率的な技術です。VPNは、ポイントからポイントへの接続に設計されいるため、各ポイント(想定として、リモートワーカーとデータセンターのネットワークアクセスサーバー(NAS))間の各セキュア接続は、それ自身のVPNリンクが必要となります。各NASには、同時ユーザー数に有限のキャパシティーがあるため、大規模のリモートユーザーベースに対しては、いくつかの本格的なインフラがデータセンターに必要となる場合があります。 パフォーマンスも問題となる可能性があります。VPNを利用すると、ユーザーとVPN間の全ての通信は暗号化されます。暗号化のプロセスは時間がかかり、使用される暗号化の種類に応じて、これは、インターネット通信に顕著な遅延がかかる場合があります。しかし、さらに重要なことに、リモートユーザーがIaaSやSaaSサービスにアクセスする必要がある時に加わる遅延があります。トラフィックのパスは外部クラウドに向かい、逆に戻って来る前にエンドユーザーとNAS間を通らなければならないため、複雑となります。 VPNでの重要な問題は、VPNは特定のリソースへの粒度の細かいユーザーアクセスを管理する選択肢が無く、全体のネットワークへ非常に広いアクセスを提供するということです。盗まれたVPN認証情報は、いくつかの注目を浴びるデータ違反に関与していました。正当な認証情報を使い、VPNで接続することによって、攻撃者はターゲットとする企業のネットワークに侵入し、自由に動くことが出来ました。その上さらに、接続しているデバイスのセキュリティー体制の精査がなく、それでマルウェアが安全でないユーザーデバイスを通してネットワークに入ることを可能にする場合があります。 SD-WANは、リモートユーザーのトラフィックをルーティングすることにインテリジェンスをもたらします 在宅ワーカー用のリモートアクセス提供のもう一つの選択肢はアプライアンスベースのSD-WANです。それは、VPNが持たない接続性へのある水準のインテリジェンスをもたらします。ドイル・リサーチ(Doyle Research)主席アナリストのリー・ドイルは、在宅オフィスユーザーを企業ネットワークに接続するためにSD-WANを利用するメリットの概要説明を行っています ミッションクリティカルで遅延の影響を受けやすいアプリケーションに対する優先順位 クラウドベースのサービスへのアクセスを加速 暗号化、VPN、ファイヤーウォール、及びクラウドベースのセキュリティーとの統合によるセキュリティー強化、 IT管理者のための中央管理ツール アプライアンスベースのSD-WANに関して検討すべき一つの事は、それは個々の在宅ユーザーにも対応することが可能ですが、それは主として支社オフィスの接続用に設計されていること言うことです。しかし、企業がすでにSD-WANを利用していない場合、これは、何百、何千の在宅ベースのユーザーように展開やセットアップすることが容易な技術ではありません。さらに、重要な投資は様々な通信やセキュリティーアプライアンスに行われる必要があります。 SASEはよりシンプルでセキュア、容易に拡張可能なソリューションを提供します Catoの セキュア・アクセス・サービス・エッジ (略してSASE) のプラットフォームは、多くの同時アクセスの従業員によるリモートアクセス用にVPNの優れた代替を提供します。このプラットフォームは、継続的な大規模リモートアクセスをサポートするために必要とされる 拡張可能なアクセス、最適化した接続性及び統合化脅威防止 を提供します。 Catoのプラットフォームを利用した在宅ワーク(WFH)を可能にする企業は、簡単にリモートユーザーのどのよう人数にもすぐに拡張対応可能です。地域ハブやVPNコンセントレータをセットアップする必要はありません。SASEサービスは、全ての場所とユーザーに広範囲のセキュリティーとネットワーキングサービスを提供するCato社により保守される数十のグローバルに分散化したポイントオブプレゼンス(PoP)の上に構築されます。拡縮対応の複雑性は、Cato提供のPoPに全て隠されているため、その組織が購入、構成、または配備するインフラがありません。エンドユーザーにリモートアクセスを提供することは、ユーザーのデバイスにクライアントエージェントをインストールする、またはクライアントレスのアクセスをセキュアブラウザーにより特定のアプリケーションに提供することによることと同じくらい単純です。 CatoのSASEプラットフォームは、利用する必要がある特定のリソースやアプリケーションへのユーザーアクセスを許可する上でゼロ・トラスト・ネットワーク・アクセスを採用しています。粒度の細かいレベルのセキュリティーは、SASEが供給するネットワークアクセスへのアイデンティティー駆動型アプローチの一部です。全てのトラフィックはSASEサービスに構築されたするネットワークセキュリティースタックを通るため、、多要素認証、フルアクセスコントロール、及び脅威防止はリモートユーザーからのトラフィックに適用されます。全ての処理は、全ての企業ネットワークとセキュリティーのポリシーを実施し、ユーザーに最も近いPoP内で行われます。これで、ネットワーク上のセキュリティーチョークポイントにトラフィックを強いることに伴う「トロンボーン効果」を排除します。さらに、管理者は企業WAN全体の全てのトラフィックについて一貫した可視性とコントロールを有しています SASEは在宅ワーク(WFH)を短期的かつ長期的にサポートします 一部の従業員はオフィスに戻ろうと冒険していますが、多くは未だに在宅であり、永遠に在宅ワークとなるかもしれません。Cato SASEプラットフォームは、安全ではなく、不便なVPN使用を強いることなく、通常のネットワーク環境にアクセスさせる理想的な方法です。

SASE(セキュアアクセスサービスエッジ)[サシ―])のゼロトラストネットワークアクセス機能

昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、20...
SASE(セキュアアクセスサービスエッジ)[サシ―])のゼロトラストネットワークアクセス機能 昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、2023年までに企業の60%がVPNを段階的に廃止し、代わりにZTNAを使用すると予測しています。 ZTNA採用の主な推進力は、エンタープライズネットワーク境界の形状の変化です。 クラウドワークロード、テレワーク、モバイル、およびオンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。 大まかに言えば、VPNに対するZTNAの利点を1つの単語で要約できます: それは精度です。 ゼロトラストネットワークアクセスにより、企業はVPNレベルでアクセスを制限できますが、ネットワークセキュリティに対する他の「城と堀」のアプローチでは絶対に不可能です。 このきめ細かいレベルの制御は、ゼロトラストネットワークアクセスがネットワークアクセス SASE(セキュアアクセスサービスエッジ) の要求に対するアイデンティティ主導のアプローチを補完する理由でもあります。 ゼロトラストネットワークアクセスがクラウドネイティブネットワークプラットフォームに組み込まれているため、SASEは、モバイルユーザー、サイト、クラウドアプリケーション、クラウドデータセンターなどの最新の企業のリソースを適切なアクセスレベルで接続できます。 しかし、ZTNAとSASEは、この約束を果たすためにどのように正確に連携するのでしょうか。 見てみましょう… ゼロトラストネットワークアクセスとは何か? ソフトウェア定義の境界(ブラッククラウド)[SDP]software-defined perimeter (SDP)とも呼ばれるゼロトラストネットワークアクセスは、クラウドとオンプレミスの両方でアプリケーションとサービスへのアクセスを保護するための最新のアプローチです。 ZTNAの仕組みは単純です。明示的に許可されていない限り、リソースへのすべての人とすべてのアクセスを拒否します。 このアプローチにより、全体的なネットワークセキュリティとマイクロセグメンテーションが強化され、侵害が発生した場合に横方向の動き(ラテラルムーブメント)を制限できます。 今日、レガシーネットワークセキュリティポイントソリューションでは、ユーザーがセキュリティアプライアンスを通過すると、同じサブネット上のすべてのものへのネットワークアクセスが暗黙的に取得されます。 これは本質的にリスクと攻撃対象領域を増加させます。 ZTNAは、そのパラダイムを真っ向から反転させます。 ZTNAを使用すると、ITはネットワークリソースへのアクセスを明示的に許可する必要があり、アプリケーションレベルまで制限を適用できます。 ゼロトラストネットワークアクセスとSASEが連携する方法 ZTNAはSASEのごく一部です。 SASEは、ZTNAの原則に従って、すべてのエッジ(サイト、モバイルユーザー、およびクラウドリソース)へのアクセスを制限します。 言い換えると、SASEのNGFWおよびSWG機能は、SASEがアクセスを制限する方法です;ZTNAは、SASEエッジのアクセスが制限されている度合いです。 SASEは、ゼロトラストネットワークアクセス、NGFW、およびその他のセキュリティサービスを、SD-WAN、WAN最適化、帯域幅集約などのネットワークサービスとともにクラウドネイティブプラットフォームにバンドルします。 つまり、SASEアーキテクチャを活用する企業は、ゼロトラストネットワークアクセスのメリットに加えて、管理が簡単で拡張性の高いネットワークおよびセキュリティソリューションの完全なスイートを利用できます。 SASEとゼロトラストネットワークアクセスの利点 SASEとゼロトラストネットワークアクセスの最初の利点は、セキュリティに対するID主導のデフォルト拒否アプローチにより、セキュリティ体制が大幅に改善されることです。 悪意のあるユーザーがネットワーク資産を侵害した場合でも、ZTNAは被害を制限できます。 さらに、SASEセキュリティサービスは、通常のネットワーク動作のベースラインを確立できます。これにより、ネットワークセキュリティ全般、特に脅威検出へのよりプロアクティブなアプローチが可能になります。 ベースラインがしっかりしていると、悪意のある動作の検出、封じ込め、防止が容易になります。 セキュリティ上の利点に加えて、SASEとZTNAを組み合わせることで、ポイントソリューションが現代の企業にもたらす別の一連の問題、つまりアプライアンスの無秩序な増加とネットワークの複雑さを解決します。 VPNポイントソリューションを使用すると、企業はSD-WANやNGFWなどの機能のために追加のアプライアンスを展開する必要があります。 これは、アプライアンスを必要とするサイトが増えるごとに、運用コストと設備投資が増えることを意味します。 また、アプライアンス、モバイルユーザー、クラウドサービスを統合すると、ネットワークが大幅に複雑になります。 SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供することにより、これらの問題を取り除きます。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増加させることなく、同じレベルのセキュリティを利用できます。 要約すると、従来のポイントソリューションと比較すると、SASEを使用したゼロトラストネットワークアクセスは以下のとおりです: 拡大/縮小が容易. アプライアンスの無秩序な増加により、ネットワークの成長に伴ってVPNポイントソリューションの管理が困難になります。 SASEは、マルチテナントクラウドネイティブプラットフォームのスケーラビリティをネットワークセキュリティにもたらします。 よりきめ細かく。 . 従来のポイントソリューションを使用すると、企業はIPアドレスに基づいてアクセスを制限するポリシーを実装できます。 SASEとゼロトラストネットワークアクセスにより、特定のアプリケーションとIDのレベルまでアクセス制御とネットワークの可視性が可能になります。 より安全に。 . 城と堀」のパラダイムが十分なネットワークセキュリティを提供していた時代には、ポイントソリューションは十分に優れていました。 ただし、最新のネットワークには、このパラダイムに単純に適合しないトポロジがあります。 すべてのネットワークエッジが確実に考慮されるようにし(たとえば、クライアントレスモバイルアクセスを有効にすることによって)、最新のネットワークトポロジ専用に構築されたセキュリティソリューションを使用することで、SASEとZTNAはセキュリティ体制を大幅に向上させることができます。 より高速で信頼性が高くなります. くの場合、VPNアプライアンスはボトルネックになり、WANの速度が低下し、パフォーマンスに悪影響を及ぼします。 これは、個々のアプライアンスにCPUとリソースの制限があるためです。 クラウドネイティブアプローチにより、SASEはこれらのリソース制限を排除し、基盤となるネットワークファブリックの一部としてWAN最適化も提供することにより、WANパフォーマンスをさらに向上させます。 ゼロトラストネットワークアクセスを備えた最初の真のSASEプラットフォーム SASE市場はまだ成熟しきったたわけではなく、多くのベンダーはSASEの真の使命を果たすには至っていません。 Cato Networksは、ガートナー(Gartner)の2019エンタープライズネットワークのハイプ・サイクル(2019 Hype Cycle for Enterprise Networking)でSASEのサンプルベンダーとして評価されているだけでなく、世界初の真のSASEプラットフォームでもあります。 CatoのSASEプラットフォームは、最新のエンタープライズネットワークを念頭に置いてゼロから構築されました。 このプラットフォームは、ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能をSD-WANや WAN最適化 などのネットワークサービス、および99.999%の稼働率SLAを備えたグローバルプライベートバックボーンと組み合わせています。 その結果、Catoは、パフォーマンス、セキュリティ、およびスケーラビリティの観点から目下SASEの真の約束を提供できる唯一のベンダーです。 Cato SASEプラットフォームの動作を確認したい場合は デモにサインアップ するか、今すぐおすぐお問い合わせください. SASEの詳細については、eBook 「デジタルビジネスのネットワークはセキュアアクセスサービスエッジ(SASE)から始まる」 をご覧ください。

サンドボックス機能には制限があります。ゼロデイ脅威を阻止する理由と方法を以下にご紹介します

時々、見込み客の皆さんから、Catoがサンドボックスを提供しているかどうかを尋ねられることがあります。これは当...
サンドボックス機能には制限があります。ゼロデイ脅威を阻止する理由と方法を以下にご紹介します 時々、見込み客の皆さんから、Catoがサンドボックスを提供しているかどうかを尋ねられることがあります。これは当を得た質問であり、当社が真剣に検討している課題でもあります。しかし、サンドボックス化を検討したところ、このテクノロジーは今日のよりスリムで俊敏な企業のニーズと一致していないと感じました。 代わりに、ゼロデイ脅威または脅威を含む未知のファイルを防止するために別のアプローチを採用しました。 サンドボックスとは?サンドボックスとは? 従来のマルウェア対策ソリューションは、脅威を検出するために、主にシグネチャと既知の攻撃のインジケーターに依存しているため、ゼロデイ攻撃やステルス攻撃を常に検出できるとは限りません。 サンドボックスは、他のすべての主流の方法が失敗した結果、悪意のあるコード、添付ファイル、およびWebリンクに隠された脅威を検出するためのツールとして機能することを意図していました。 アイデアは非常に単純です。未知のファイルが収集され、サンドボックスで実行されます。これは、ターゲットホスト環境の完全に分離されたシミュレーションです。 ファイルアクションを分析して、外部コマンドアンドコントロール(C&C)サーバーとの通信の試行、プロセスインジェクション、権限の昇格、レジストリの変更など、実際の本番ホストに損害を与える可能性のある悪意のあるアクションを検出します。 ファイルが実行されると、サンドボックスは複数のコード評価プロセスを実行し、脅威の可能性を説明および評価するレポートを管理者に送信します。 サンドボックスの導入には時間と専門知識が必要 ただし、すべてのセキュリティツールと同様に、サンドボックスには欠点があります。 この場合、これらの欠点により、特に脅威防止ソリューションとしての効率と効果が制限されます。 1つには、サンドボックスに関連するファイル分析には、ビジネスユーザーがリアルタイムで操作するには5分もかかります。 IT側では、長く詳細なサンドボックスレポートを評価するには、時間、専門知識、リソースが必要です。 セキュリティアナリストは、オペレーティング環境内でのコードの動作を理解するために、マルウェア分析とオペレーティングシステムの詳細を十分に理解する必要があります。 また、悪意のある動作を識別するために、正当なシステムコールと正当でないシステムコールを区別する必要があります。 それらは多くの企業に欠けている高度に専門化されたスキルです。 そのため、サンドボックス化は多くの場合、予防よりも検出およびフォレンジックに効果的です。 サンドボックスは、検出後にマルウェアを分析し、対応と根絶戦略を考案したり、将来の攻撃を防ぐための優れたツールです。 実際、Catoのセキュリティチームはまさにそのためにサンドボックスを使用しています。 しかし、攻撃を防ぐための方法としては、サンドボックスは時間がかかりすぎて複雑すぎます。 サンドボックスは常に機能するとは限りません サンドボックスのもう1つの問題は、サンドボックスが常に機能するとは限らないことです。 セキュリティ業界が攻撃を検出および防止するための新しいツールと戦略を開発するにつれて、ハッカーはそれらを回避するための高度な方法を考え出します。サンドボックスも例外ではありません。 サンドボックス回避戦術には、悪意のあるコードの実行を遅らせることが含まれます。 マスキングファイルタイプ。 サンドボックス環境を検出するために、ハードウェア、インストールされているアプリケーション、マウスクリックのパターン、開いて保存したファイルを分析します。 悪意のあるコードは、マルウェアが実際のユーザー環境にあると判断した場合にのみ実行されます。 サンドボックスは、フィッシングに対する効果も思ったほど高くありません。 たとえば、フィッシングメールには、アクティブ化しても悪意のある動作を示さないが、悪意のあるサインインフォームへのユーザーリンクが含まれている単純なPDFファイルが含まれている場合があります。 ユーザーがリンクをクリックしたときにのみ、攻撃がアクティブになります。 残念ながら、ソーシャルエンジニアリングは、ハッカーがネットワークエントリを獲得するために使用する最も人気のある戦略の1つです。 結果:サンドボックスソリューションは、回避方法を検出および防止するためのより洗練された環境と手法を考案する必要があり、多くの企業にとって疑問視されるコスト/メリット比を生み出す、より多くの電力、ハードウェア、リソース、および費用を必要とします。 Catoアプローチ 問題は、ソリューションがサンドボックスを提供するかどうかではなく、セキュリティプラットフォームが未知の攻撃とゼロデイ脅威をリアルタイムで一貫して防止できるかどうかです。 Catoは、サンドボックス化の複雑さを伴わずに、これらの目的を満たすアプローチを開発しました。 既知の脅威は、マルウェア対策ソリューションによって検出されます。 暗号化されたトラフィックでも完全なトラフィックの可視性を利用して、ラインレートでファイルを抽出および分析します。 Catoは、ファイル拡張子(.pdf、.jpegなど)ではなく、ファイルの内容に基づいて、実際のファイルタイプを決定します。 これは、実行可能ファイルをドキュメントとしてマスキングするための回避策と戦うためです。 次に、Catoによって維持および更新されている既知のマルウェアシグネチャデータベースに対してファイルが検証されます。 次のレイヤーである高度なマルウェア対策ソリューションは、構造的属性に基づいて悪意のあるファイルを検出するSentinelOneの機械学習エンジンを利用して、未知の脅威やゼロデイ攻撃から防御します。 Catoの高度なマルウェア対策は、署名ベースの検査エンジンを回避するように設計されたポリモーフィック 加えて、Catoの高度なマルウェア対策ソリューションは高速です。 SentinelOneの高度な機械学習とAIツールを使用すると、ファイルを分析するのに1〜5分かかる代わりに、Catoは、最も洗練されたゼロデイ攻撃とステルス攻撃をわずか50〜100ミリ秒で分析、検出、ブロックできます。 これにより、Catoの高度なマルウェア対策をリアルタイムで予防モードで実行できます。 同時に、Catoは検出と応答を無視しません。 エンドポイントは依然として他の手段で感染する可能性があります。 Catoは、Catoのプライベートバックボーン全体のトラフィックフローのパターンを検出することにより、これらの脅威を識別します。 Catoは毎日、クラウドスケールのビッグデータ環境でCatoのグローバルプライベートバックボーンを通過する何十億ものネットワークフローの属性をキャプチャします。 この大規模なデータウェアハウスは、CatoのAIと異常検出アルゴリズムの分析のための豊富なコンテキストを提供し、マルウェアの症状を示す可能性のある有害な動作を発見します。 不審なフローは、Catoのリサーチャーによってレビュー、調査、および検証され、顧客のネットワーク上のライブ脅威の存在が判断されます。 修復を支援するために利用可能なCatoのリサーチャーには、明確なレポート(およびアラートが生成されます)が提供されます。 これらのダークリーディング記事をチェックして、Catoのネットワーク脅威探知機能が、これまで識別されていなかった悪意のあるボットアクティビティをどのように検出できたかを確認してください。 MDRとCatoのAI機能の詳細については、このCatoブログをご覧ください。 途絶することのないセキュリティ 企業は未知のファイルのゼロデイ脅威と攻撃を防止および検出する必要がありますが、サンドボックスの速度と複雑さは、今日の学習者である、俊敏なデジタルエンタープライズと互換性がないと感じています。 Catoは、これに代わるものとして、高度な専門知識を必要とせず、常に最新のリアルタイムアプローチを開発しました。 しかし、私たちの言葉にとらわれず、セキュリティプラットフォームのデモを依頼して、ご自身の目で確かめてください。