DNSトンネリングを利用してデータを流出させるマル...
ネットワーク内のDNSトンネリングを検出する方法とは? DNSトンネリングを利用してデータを流出させるマルウェア検体が、ここ数年間で複数確認されています。2021年6月には「BazarCall(またはBazaLoader)」と呼ばれる、マルウェアを感染させた被害者に偽のコールセンターに電話をかけさせる詐欺について、Microsoft セキュリティ・インテリジェンス(グローバルなセキュリティ専門家のネットワーク)が警告を発しました。BazarCallは、DNSトンネリングを使用してC2サーバと通信するAnchorマルウェアにつながる可能性があります。またAPT攻撃グループは、中東の政府組織を標的としたマルウェア配布キャンペーンでDNSトンネリングを使用しています。ここでは、ネットワーク内のDNSトンネリングを検出するために使用できるいくつかのテクニックをご紹介します。
DNSトンネリングの概要
では、どのようにして攻撃者はDNSトンネリングをマルウェアに利用するのでしょうか。手順は以下のように簡単です。
まず、C2サーバとして使用するドメインを登録します。
次に、マルウェアはDNSクエリをDNSリゾルバに送信します。
すると、DNSサーバはC2サーバにクエリをルーティングします。
こうして、C2サーバと感染したホストの間の接続が確立されます。
DNSによる通信は遮断されないことが多いため、DNSトンネリングは攻撃者にとってデータを盗み出し、ネットワークへアクセスする便利な方法です。同時にDNSトンネリングには、ネットワーク上のDNSトンネリングの検出のために使用できる、非常に明確なネットワーク・マーカーが存在します。
[boxlink link="https://www.catonetworks.com/resources/eliminate-threat-intelligence-false-positives-with-sase?utm_source=blog&utm_medium=top_cta&utm_campaign=eliminate_threat_ebook"] Eliminate Threat Intelligence False Positives with SASE | Download eBook [/boxlink]
任意のデバイスへのDNSトンネリング
ネットワーク・マーカーに関しては、テキスト型のクエリがDNSトンネリングで非常に一般的です。ただし、DNS トンネリングは、タイプ 10 (NULL) などの一般的ではないクエリ タイプでも使用できます。
ネットワーク上のDNSトンネリングを検出するには、長いDNSクエリと一般的でないDNSクエリタイプを調べ、アンチウイルスなど正規のセキュリティ・ソリューションと、悪意のあるトラフィックを区別し、人間が生成したDNSトラフィックとボットが生成したトラフィックを区別する必要があります。
次の例では、当社の顧客ネットワークで確認されたDNSトンネリングトラフィックの背後にあるアルゴリズムを分析します。DNSトンネリングはWindowsで使用されるケースが散見されますが、以下の例ではAndroidで使用されています。
DNSを生成するアルゴリズムの検証
AndroidのDNSトンネリング使用例では、DNSクエリの使用にいくつかの共通した特徴が見つかりました。 スクリーンショット(図1)では、複数のDNSクエリで同じアルゴリズムが使用されていることがわかります。このアルゴリズムは8つのパートに分割されます。
[caption id="attachment_19801" align="alignnone" width="1842"] Figure 1 - DNS tunneling example[/caption]
図1では、複数のDNSクエリで同じアルゴリズムが使用されていることがわかります。このアルゴリズムは5つのパートに分割されます。
最初のパートは4-11文字(赤)
2番目のパートの最初の6文字が異なるクエリ間で繰り返される(青)
次のパートは63文字(黄)
最後のセクションは10文字(黒)
2番目のパートの最初の文字を結合した文字列が繰り返される(緑)
アルゴリズムの検証の結果、これらのDNSクエリはアルゴリズムが同じであることから、同じボットから送信されていることがわかります。また、異なるDNSクエリで繰り返されるアルゴリズムが統一されていることから、ボットトラフィックであると推測することができます。ボットにより生成されたトラフィックは、一貫性を持ち、同型である傾向にあります。
送信先の検証
次に、DNSクエリの送信先を検証します。送信先を検証することで、複数の未知のサーバを特定することができます。これらのサーバが受信した他のDNSクエリを検証したところ、トンネリングクエリ以外のものは見つかりませんでした。 DNSサーバへの正当なトラフィックが見つからない場合、同サーバがマルウェアに利用されている可能性を示すもう一つの指標となります。
ポピュラリティの検証
十分な規模を持つネットワークの場合、ユーザー間でIPまたはドメインのポピュラリティを測定するアルゴリズムを開発することも、マルウェア検知の一助となります。そうしたポピュラリティ測定アルゴリズムを、Catoネットワーク上の数十万人のユーザーを対象に使用することで、DNSクエリにおけるサーバのポピュラリティが低いことが判明します。IPのポピュラリティが低い場合、そのサーバがマルウェアによってのみ使用されている可能性があるため、悪意のあるサーバの指標となることがよくあります。しかし、ポピュラリティの低さだけでは悪意のあるサイトと判断するのには不十分なため、上記のような他の指標と合わせて判断する必要があります。
結論
DNSトンネリングは攻撃者が多くのファイアウォールを介してC2サーバと通信し、データ流出を可能とする古くからある手法ですが、ネットワークの特徴に着目することで脅威を特定することができます。 今回のケースでは、アルゴリズムによって生成された複数のDNSクエリ、不明なサーバを持つ送信先、ポピュラリティの低いサーバが見つかりました。どの指標も単独では悪意のある通信を反映していないかもしれませんが、このセッションが悪意のあるものである可能性が非常に高いという事実が、手動調査により検証されました。ネットワークとセキュリティの情報を組み合わせることにより、脅威の検知の改善につながることを示す好例となりました。
2022年11月、タグ・ホイヤー・ポルシェ・フォー...
タグ・ホイヤー・ポルシェ・フォーミュラEチームとCato Networks:パートナーシップの背景 2022年11月、タグ・ホイヤー・ポルシェ・フォーミュラEチームは、Cato Networksとのパートナーシップを発表し、Catoをチームの公式SASEパートナーと宣言しました。Cato Networksは、レース中の優れたオントラックパフォーマンスを提供するため、タグ・ホイヤー・ポルシェ・フォーミュラEチームが必要とする接続性とセキュリティを提供しています。
タグ・ホイヤー・ポルシェ・フォーミュラEチームのリードITプロダクトマネージャーであるThomas Eue氏は、次のように述べています。「私たちにとってCatoは、まさにゲーム・チェンジャーです。本当に設定が簡単で、実際にネットワークが速くなりました。他の企業にも自身を持ってCatoを勧めることができます。」
このブログ投稿では、タグ・ホイヤー・ポルシェ・フォーミュラEチームがSASEを導入する前に抱えていた課題、なぜCatoを選んだのか、そしてCatoのSASEソリューションがタグ・ホイヤー・ポルシェ・フォーミュラEチームの勝利にどのように貢献しているのかを検証します。このブログ記事のベースとなるケーススタディについては、こちらをご覧ください。
挑戦:規模に応じたリアルタイムデータ伝送
ABB FIAフォーミュラE世界選手権のレース中、タグ・ホイヤー ポルシェ フォーミュラEチームにとって、ドイツにあるチーム本部からリアルタイムでドライバーに配信されるインサイトと指示が頼りです。こうした指示は、タイヤの温度、バッテリーの消耗、タイミングデータ、ドライバーの映像など、ライブのレースデータから導き出されます。このプロセスにおける正確さと信頼性は、チームの成功に不可欠です。
しかし、50Mbpsの帯域幅しか提供されなかったため、タグ・ホイヤー・ポルシェ・フォーミュラEチームは、複数の異なるチャンネルにまたがるライブTVフィード、ライブインターコムサービス、ライブコミュニケーションを伝送することが困難でした。
さらにレースの性質上、チームは毎回大会前に新しいレース会場に足を運び、ネットワークをセットアップしなければいけません。ポルシェ・モータースポーツの IT 責任者、Friedemann Kurz氏によれば、「様々な国で私たちを待ち受ける問題について、技術的に100%の確信を持つことができません。特にレイテンシは純粋に物理学的なもので、国によって大きく変わってくる」ため、これは困難なことでした。
[boxlink link="https://catonetworks.easywebinar.live/registration-simplicity-at-speed"] Simplicity at Speed: How Cato’s SASE Drives the TAG Heuer Porsche Formula E Team’s Racing | Watch the Webinar [/boxlink]
タグ・ホイヤー・ポルシェ・フォーミュラEチームの選択:Cato NetworksのSASEクラウド
タグ・ホイヤー・ポルシェ・フォーミュラEチームは、Cato SASEを選択し、それをレース戦略の要としました。グローバルかつ最適化されたCato SASEソリューションは、ドライバーと整備場、そして本社を高性能なインフラでつなぎます。レース中の重要データはCatoのグローバルなプライベートバックボーンを通じて送信され、本部でリアルタイムに分析され、ドライバーや現場チームにフィードバックされ、ドライビングパフォーマンスを向上させます。
ポルシェ・モータースポーツのIT部門責任者であるFriedemann Kurz氏は、次のように語っています。「Cato Networksのおかげで、ITネットワーク・インフラストラクチャのセットアップと管理のための作業が軽減され、サーキットで違いを生み出す重要な決断に集中できるようになるのです。Cato SASEクラウドを使用することで、レーストラックでも、移動中でも、ポルシェ・モータースポーツの本拠地であるヴァイザッハの研究開発センターでも、世界中のどこでも必要とされる信頼性の高いセキュアな接続が可能になりました。」
Cato Networksはまた、接続の安全性も保証しています。ポルシェ・モータースポーツのチームマネージメントおよびビジネスリレーション担当ディレクターであるCarlo Wiggers氏は、次のように語っています。「レーストラック、クラウドアプリケーション、そしてヴァイザッハのポルシェ・モータースポーツ間、どこにいても最もセキュアな接続が実現されました。」
Cato Networksは導入の課題解決のため、たった5時間で拠点の立ち上げるを可能にしました。ポルシェ・モータースポーツのIT部門責任者であるFriedemann Kurz氏は次のようもコメントしています。「エンジニアの到着と同時にサービスの開始が可能です。」
合理的かつ高性能なソリューション
チームのITエンジニアとモータースポーツIT部門は、Cato Networksの技術を活用し、リアルタイムで確実にデータを送信しています。本部チームはデータを分析し、即座にそれらの情報に基づいた決断を下すことが可能です。
最初の1週間で、チームは1.2TB以上のデータを転送しました。
ケープタウンでのレースの例:
1.45TBのデータ送信。
レース場から本部までのラウンドトリップタイムは80~100ミリ秒で安定していました。
イベント全体でのパケットロスはわずか0.23%でした。
ポルシェ・モータースポーツのIT部門責任者であるFriedemann Kurz氏は、次のように語っています。「当社と同じようにグローバルで活動し、世界中にさまざまな拠点を持つ企業であれば、間違いなく、Catoが提供している全てのソリューションの恩恵を受けられます。」
ABB FIAフォーミュラE世界選手権、タグ・ホイヤー・ポルシェ・フォーミュラEチームがCATOのSASEをどのように活用しているか、そして両チームが共有する共同価値について、詳しくはこちらのケーススタディをご覧ください。
数年前と今日のビジネスは、もはや同じものではなくな...
今日のビジネスニーズが従来型のNGFWでは満たせなくなった理由とは 数年前と今日のビジネスは、もはや同じものではなくなっています。IT技術は急速に変化し、企業ネットワークは急速に分散化、複雑化しています。これによりビジネスにメリットがもたらされる一方、大きな課題も生まれています。
企業が直面する最大の障壁のひとつは、セキュリティインフラの進化を、ITインフラの進化が追い越さないようにすることでしょう。多くの企業は、従来型の次世代ファイアウォール(NGFW)などのセキュリティソリューションを中心に、セキュリティアーキテクチャの設計と実装に多大な時間とリソースを費やしてきました。これらのソリューションは、急速に過去の遺物となりつつあるネットワーク向けに設計されています。そのため、進化するITインフラストラクチャを、既存のセキュリティと連携させようとするのはおすすめできません。
拡大する現代の企業
パンデミック、ビジネスニーズの変化、新しいIT技術とセキュリティ技術の導入により近年、企業のITインフラストラクチャが進化してきました。企業のITインフラにおける最近の大きな変化には、次のようなことが挙げられます。
クラウドの導入
ほぼすべての企業がクラウドベースのインフラを導入しており、89%がマルチクラウドを導入しています。クラウドへの移行は、重要なデータやアプリケーションを現場から切り離すことで、ますます企業の分散化を推し進めています。企業WANは、組織のさまざまなネットワークセグメント間でトラフィックを効率的かつ安全にルーティングできる必要があります。
リモートワーク
パンデミックにより、リモートワークやハイブリッドワークへの移行が加速しました。どこからでも仕事ができるようになった今、従業員のサポートのために企業のITインフラは適応する必要があります。リモートワークとクラウドの狭間で、本社ネットワークと、その境界型セキュリティソリューションを通過すべきでない企業ネットワークトラフィックの割合が増えています。
支店の所在地
リモートワーカーの増加の他に、企業は新たな支店を設立する可能性もあります。リモートワーカーと同様、こうした拠点の従業員も、オンプレミスのデータセンターとクラウドの両方でホストされている企業リソースへの高パフォーマンスな接続性を必要としています。
モバイルデバイスの使用
リモートワークの普及に伴い、モバイルデバイス(企業所有と個人所有の両方)のビジネス目的での使用も増加しています。企業が所有または管理していないデバイスが、機密性の高い企業データやITリソースにアクセスできる可能性があるため、アクセス管理とトラフィック検査は企業のセキュリティにとって極めて重要です。
モノのインターネット(IoT)機器
IoTデバイスは、組織の業務効率とデータ主導型の意思決定能力を高める可能性を秘めています。しかし、IoTデバイスはセキュリティに難があることでも知られており、デバイスが導入されている企業ネットワークのセキュリティに大きな脅威を与えています。企業のITアーキテクチャは、そうしたデバイスが企業WAN内のどこに配置されていても、それらがもたらすリスクを制限できるものでなければいけません。
企業ネットワークの進化に伴い、もはや従来のLANに特化したセキュリティモデルは有効ではなくなってしまったのです。社内LANの保護は重要ですが、従来のネットワーク境界の外側に位置する組織の従業員やデバイスの割合が増えています。クラウドベースの資産やリモートワーカーを、境界型セキュリティで保護することは非効率的であり、またネットワークのパフォーマンスや企業の生産性の低下をまねきます。企業ネットワークの拡大と分散化が進むにつれ、セキュリティアーキテクチャは、その所在に関わらず企業WANを保護するように設計される必要があります。
アプライアンスベースNGFWにおける重要な制限事項
従来、ほとんどの組織は、アプライアンスベースのセキュリティソリューションによって境界型セキュリティを導入してきました。組織のITインフラと従業員のほとんど、またはすべてがオンサイトに配置されている場合、アプライアンスベースのセキュリティソリューションが企業のニーズを効果的に満たすことができます。
しかし、この説明はもはやほとんどの企業のIT環境にそぐわなくなり、従来の境界線に焦点を当てたアプライアンスベースのセキュリティモデルは、組織のセキュリティニーズには合致しないものとなっています。次世代ファイアウォール(NGFW)のようなアプライアンスベースのセキュリティソリューションにおける主な制限事項には、次のようなものがあります。
補償範囲の制限
NGFWは、ネットワークに出入りするトラフィックを検査し、フィルタリングすることで、保護されたネットワークを守るように設計されています。そのためには、安全が確保されたすべてのトラフィックが流れるように配置する必要があります。このため、保護されたネットワーク(クラウドの展開、リモートワーク、支店の増加に伴い、ますます拡張が困難となっている)に導入するか、すべてのトラフィックを迂回経由させる必要があり、遅延が増大してネットワークパフォーマンスに悪影響を及ぼすため、拠点を複数もつ企業のセキュリティ確保には限界があるのです。
[boxlink link="https://catonetworks.easywebinar.live/registration-the-upside-down-world-of-networking-and-security?utm_medium=blog_top_cta&utm_campaign=upside_down_webinar"] The Upside-Down World of Networking & Security | Webinar [/boxlink]
スケーラビリティの制限
アプライアンスベースのNGFWは、そのハードウェアによって制限され、検査し保護できるトラフィックの最大量と速度があります。クラウドベースのインフラを採用する企業が増えるにつれ、需要の増加に合わせてクラウドリソースが急速に拡張できるため、このような課題が生じています。アプライアンスベースのセキュリティソリューションの拡張には、企業の俊敏性を制限する高価で時間のかかるプロセスである、追加のハードウェアの取得と導入が必要なこともあります。
複雑な管理とメンテナンス
NGFWのようなセキュリティソリューションの効果を保つには、導入環境のセキュリティ上の懸念に対処できるように調整する必要があります。クラウドベースのインフラ、リモートワーク、支店など、企業が拡大するにつれて、さまざまな環境を保護する必要が出てきます。その結果、さまざまなセキュリティソリューションやカスタム設定が、セキュリティ管理を複雑で拡張性のないものにしています。
従来のNGFWは、組織の資産をソフトウェア定義の境界の内側に保護し、組織の管理下でインフラを使用できる企業IT環境向けに設計されていました。企業ネットワークの進化により、こうした前提が無効化されるにつれ、従来のNGFWや同様に境界を重視するアプライアンスベースのセキュリティソリューションは、もはや現代企業のニーズに合致しなくなっています。
現代ビジネスのためのNGFWの再設計
企業のデジタルトランスフォーメーションへの取り組みや、変化する市場において競争力を維持するための努力が、新しいテクノロジーの導入に拍車をかけています。企業資産がクラウド上に保管され、ITアーキテクチャが分散されるケースが増えています。
従来型セキュリティソリューションを使って現代企業の必要とするセキュリティを確保する場合、企業はネットワークパフォーマンスとセキュリティのどちらかを諦めざるを得なくなります。ITアーキテクチャがクラウドに移行し、分散型になるにつれて、NGFWなどの企業サイバーセキュリティソリューションもそれに併せて変化する必要があります。
企業ネットワークが進化することにより、NGFWの従来の限界を克服し、他の主要なネットワークとセキュリティ機能を統合するセキュア・アクセス・サービス・エッジ(SASE)ソリューションの開発が推進されました。こうしたクラウドベースのソリューションは、組織に次のようなさまざまなメリットをもたらします。
グローバルな展開:SASEのクラウドネイティブソフトウェアは、世界中のPoP(Point of Presence)に展開されています。これにより、オンプレミス、クラウドベース、リモートの各デバイスと最寄りのPoPとの距離を最小化し、どこでもNGFW機能を提供することが可能となります。
可視性の向上:SASEでは、企業WAN上を移動するすべてのトラフィックが、少なくとも1つのSASE PoPを通過します。これにより、セキュリティ検査とポリシー適用が可能となり、企業ネットワークトラフィックの総合的な可視化が実現します。
管理の簡素化:SASEのすべての機能は可視化され、管理されます。これにより、セキュリティの監視と管理が簡素化され、統一された一貫性のある管理が可能になります。
セキュリティの統合:SASEのPoPは、多くのセキュリティとネットワーク機能を1つの一貫性のあるサービスとして統合し、スタンドアローンのソリューションに比べ、より優れた最適化を実現します。
拡張性のあるセキュリティ:SASEのPoP上では、クラウドネイティブソフトウェアが実行されています。ダウンタイムや顧客の関与なしで、増え続ける需要に対応するためのスケールアップが柔軟に行われます。企業はもはや、ハードウェアの中期的な故障や修理を心配する必要はなくなったのです。
パフォーマンスの最適化: ユーザーとアプリケーションのトラフィックを中央のセキュリティスタックに転送する代わりに、ユーザーとアプリケーションの元にセキュリティを配信することで、ネットワーク待ち時間が短縮され、ユーザーエクスペリエンスと生産性が向上します。
Cato Networksは、世界初のクラウドネイティブなシングルベンダーSASEを構築しました。Cato SASEクラウドは、SLAがサポートする専用のプライベートグローバルバックボーンで接続された75以上のPoPからなるプライベートクラウドから利用可能です。今すぐ無料デモに申し込み、Cato SASE クラウドの機能をご自身の目でお確かめください。
企業ネットワークは急速に複雑化し、分散化しています...
SD-WAN導入のための安全で効果的なベストプラクティス5選 企業ネットワークは急速に複雑化し、分散化しています。クラウド・コンピューティング、リモートワーク、モバイル、モノのインターネット(IoT)の普及に伴い、企業ユーザーやIT資産はあらゆる場所に配置され、それぞれが接続性を必要としています。
ソフトウェア定義WAN(SD-WAN)は、セキュアで高性能な企業WANを、既存のネットワーク上に実装する機能を提供します。しかし、組織にその完全な価値を提供するためには、SD-WANインフラストラクチャは慎重に設計・実装されなければなりません。
SD-WAN ベストプラクティス
SD-WANの導入が不完全だった場合、組織に重大なリスクがもたらされます。SD-WANの設計および導入には、以下のベストプラクティスを考慮しなければなりません。
ユーザーをサポートするSD-WANデバイスの位置
SD-WANは、さまざまな拠点間で安全かつ最適化されたネットワークルーティングを提供します。多くの場合、企業は支店やクラウドエッジの近くにSD-WANルーターを導入します。
リモートワーカーにとっても、SD-WANは有益です。最適なネットワーク接続を実現するためには、SD-WANソリューションの導入により、リモートワーカーのパフォーマンスを最大化する必要があります。つまり、SD-WANエッジまでのリモートトラフィックの距離を最短にすることを意味しています。
高品質ネットワーク接続の使用
SD-WANは、ブロードバンドインターネット、マルチプロトコルラベルスイッチング(MPLS)、モバイルネットワークなどの異なるネットワーク接続上でトラフィックをスマートにルーティングすることにより、ネットワークのパフォーマンスと信頼性を向上させるように設計されています。SD-WANデバイスにトラフィックが送信されると、ネットワーク状況に基づいて最適なパスが選択されます。
しかし、ネットワーク接続が自由に使える代わりに、ネットワークのパフォーマンスと信頼性を高めるSD-WANの能力が制限されてしまいます。ブロードバンドインターネット同様、利用可能な接続が本質的に信頼できない場合、SD-WANはこの問題を解決することはできません。SD-WANへの投資価値を最大化するには、期待されるレベルのパフォーマンス、待ち時間、信頼性を提供するネットワーク接続の使用が不可欠です。
拡張性を考慮した設計
継続的に増加している企業の帯域幅に対応するため、SD-WANは現在および将来のネットワーク要件をサポートのために拡張可能である必要があります。専用ハードウェアを使用してSD-WANを導入した場合、ソリューションの拡張性が制限され、将来的にアップグレードまたはハードウェアの追加が必要になります。企業は、その代わりにクラウドのスケーラビリティを活用し、組織のニーズに応じて成長するSD-WANソリューションを使用すべきでしょう。
セキュリティとネットワークの統合
SD-WANはネットワークソリューションであり、セキュリティソリューションではありません。目的地までトラフィックを安全かつスマートにルーティングできても、組織とその従業員を高度なサイバーセキュリティの脅威から保護するために必要とされる高度なセキュリティ検査やポリシー施行が実装されていません。
そのため、SD-WANはネットワークセキュリティとともに導入する必要があります。企業はリモートワークとクラウドの増加に伴い、ネットワーク境界の防御を通過するトラフィックを信頼できなくなり、またトラフィックのバックホールを行うことはSD-WAN導入の目的を失うことになってしまいます。セキュアなSD-WANの導入とは、ネットワークに強力なセキュリティを実装することに他なりません。
[boxlink link="https://www.catonetworks.com/resources/sase-vs-sd-wan-whats-beyond-security/"] SASE vs SD-WAN: What’s Beyond Security | Download the eBook [/boxlink]
統合ソリューションの検討
企業はしばしば、重要なネットワーキングとセキュリティソリューションの導入の際に、必要な機能を提供するポイントソリューションを導入するアプローチをとります。しかし、その結果、監視、運用、管理が難しく、高コストのITアーキテクチャが肥大化してしまうのです。
セキュアSD-WANの導入時にこのアプローチを取ってしまうと、問題を悪化させる可能性があります。各SD-WANデバイスは完全なセキュリティ・スタックでサポートされる必要があるため、最終的には各拠点に複数のソリューションを導入して運用することになってしまいます。
この問題に、SASE(セキュアアクセスサービスエッジ)が解決策を提供します。SASEは、クラウドベースのセキュリティサービスとして提供される完全なネットワークセキュリティ一式と、SD-WAN機能を統合しています。組織はSD-WANを使用することで、最小限のコストと運用オーバーヘッドでWANインフラを実装し、保護することができます。
Cato SASEクラウドによる安全で使いやすいSD-WANの実装
SD-WANの正しい設計と展開こそが、組織がSD-WANの利点を最大限に活用する唯一の道です。そうすることで、ネットワーク パフォーマンスの低下、セキュリティの低下、ユーザー エクスペリエンスの低下を回避できます。
Cato SASEクラウドは、SD-WANのベストプラクティスに従い設計されたSD-WAN機能を提供し、組織に次のメリットをもたらします。
グローバルな展開:Cato SASEクラウドは、80箇所以上のPoPを持つ、グローバルに分散されたネットワークです。これにより、リモートワーカーは最小限の遅延で企業 WANへとアクセス可能となります。
最適化されたネットワーク:Cato SASEクラウドは、専用のティア1キャリアにリンクされたネットワークを通じて接続されています。この接続は、公衆インターネット上で実行されるSD-WANソリューションよりも優れたネットワークパフォーマンスと回復力を提供します。
統合されたセキュリティ:SASEソリューションとして、Cato SASEクラウドはSD-WANと完全なネットワークセキュリティスタックを統合します。この統合は、ネットワーク・パフォーマンスやユーザー・エクスペリエンスを損なうことなく、高度な脅威防御の提供を実現します。
クラウドベースでの展開:グローバルなプライベートバックボーンにより接続された、PoPのグローバルネットワークとして、Cato SASEクラウドは展開されています。その結果、現場のアプライアンスベースのソリューションよりも高い拡張性、可用性、回復力の提供を可能とします。
マネージドSD-WAN:Cato SASE CloudはマネージドSD-WANサービスとしての利用が可能です。これにより、SD-WAN導入の設定、管理、更新の手間から開放されます。
SD-WANはネットワークパフォーマンスの向上に貢献しますが、潜在的なセキュリティ・リスクももたらします。Cato SASEクラウドは、PoPネットワーク上に構築され、グローバルなプライベートバックボーンで接続された単一のソフトウェアスタックに、SD-WANとネットワークセキュリティを統合することによってこれを解決します。Cato SASEクラウドを使用し、SD-WANとSASEを実装することで、組織のネットワークパフォーマンスとセキュリティがどのように最適化されるのかについて詳細をご覧ください。
サイバーセキュリティとは終わりのない戦いの世界であ...
Qakbotの進化:最新の脅威に対応するCato Networksの取り組み サイバーセキュリティとは終わりのない戦いの世界であり、脆弱性を悪用してネットワークに侵入する新しい方法が常に悪意ある行為者により考案されています。もう10年以上にわたり、セキュリティチームの頭痛の種であり続けているこうした脅威の1つが、Qbotとして知られるトロイの木馬 Qakbotです。2007年以来、Qakbotは悪意のあるキャンペーンに使用されており、根絶への多くの努力にもかかわらず、検出を回避するために進化・適応し続けています。
Cato Networksの脅威研究チームは、高度な機能と検出回避手段を持つ、いくつかの新しいQakbotの亜種を分析し、それらの脅威に対する保護をCato Networks IPSに迅速に構築・展開しました。
Cato Networksの研究チームは、当分析において最新のQakbot亜種の戦略、手段、手順(TTP)を暴き、これに対処しない場合に起こりうる、企業や組織への潜在的な影響について検証します。
なぜ今?
COVID-19のパンデミック中は、ランサムウェアを使った攻撃が大幅に増加するなど、サイバー攻撃が多発しました。Qakbotを利用する脅威アクターはこうした攻撃の急増に伴い、他の敵対勢力に順応し、それらとペアになって、重大な結果へ繋がる凶悪な多段攻撃を実行しました。
残念ながら、リーク版のペネトレーションテストフレームワークの多くが市場に出回り、脅威アクターによって悪用されています。ここ数年はさらに大きな利益追求のため、Qakbotのターゲットは小売業のユーザーから企業や団体へとシフトしています。
Qakbotの最新バージョンは、検出を回避し、感染したシステム上で持続性を維持するための新しい感染技術を持っています。Qakbotは、最新のデザインアップデートと、さらに複雑な多段階の感染プロセスにより、従来のほとんどのセキュリティソフトウェアの検出技術を回避することが可能で、これは対策を取らない企業や組織にとって重大で継続的な脅威となっています。
最新版Qakbotはどのように感染を広げるのか?
悪意のある電子メールの添付ファイル内のリンクをユーザーがクリックすることで、Qakbotの感染プロセスの初期段階が始まります。最新版Qakbotでは通常、悪意のあるファイルは、ZIP、OneNoteまたはWSFファイル(Microsoft Windows Script Host.で使用されるファイル形式)形式で添付されます。Zip、OneNote、WSFファイル形式はMOTW(Mark of the Web)の回避が容易であるため、悪意のある行為者によりしばしば使われます。MOTWは、インターネットからダウンロードされたマクロを含むファイル(Excelファイルなど)の危険性を検知し、ブロックするためにMicrosoftが実装したセキュリティ警告機能です。MOTWを受信しないファイルタイプを使用することで、Qakbotの添付ファイルは検出やブロックを回避しやすくなっています。
ユーザーがWSFまたはOneNoteファイルを開き、埋め込まれたリンクをクリックすると、Qakbotは密かに一連のコマンドを起動し、マルウェアがシステムに感染し、検出回避のための追加措置の実行を可能とします。
[boxlink link="https://www.catonetworks.com/resources/cato-networks-sase-threat-research-report/"] Cato Networks SASE Threat Research Report H2/2022 | Download the Report [/boxlink]
悪意のあるファイルは、Living Off the Land Binaries(LOLBins)を悪用したり、Adobe Cloudファイルなどよく使われるファイルタイプを模すことで、無害なファイルとして隠蔽されます。Windows OSに存在する正規のバイナリや実行ファイル、LOLBinは、攻撃者による悪意ある活動に使用されることがあります。これらのバイナリは、一般的にほとんどのWindowsマシンに存在し、正規にシステムの保守や管理作業に使用される一方、悪意のあるコードを実行したり、侵害されたシステムの永続性実現のために簡単に悪用することができます。LOLBinはほとんどのWindowsシステムに存在し、一般的なセキュリティソフトウェアの許可リストに含まれており、検出やブロックが困難であるため、攻撃者は一般的にLOLBINを利用します。一般的なLOLBinの例としては、cmd.exe、powershell.exe、rundll32.exe、regsvr32.exeがあります。
初期の感染プロセスが完了した後、Qakbotは感染したシステム上で足跡を拡大し、最終的にはQakbotのコマンド&コントロール(C2)サーバーとの暗号化通信を使用することで、自らの活動をさらに隠蔽し検出を回避します。
バンドルされた.wsfファイルの実行を指示する、悪意のあるPDF添付ファイルの共有例
最近の4つの異なるQakbotの感染シナリオを調査し、どう動作するのかを正しく知りましょう。
シナリオ1: OneNoteファイルの添付ファイルとして隠された .hta 形式のファイルが埋め込まれた悪意のある電子メールにより、多段階の感染プロセスを展開
悪意のあるメールは、ユーザー(被害者)を、正規のOneNoteファイルの添付ファイルの中に隠された悪意のあるリンクをクリックするように誘導します。リンクをクリックすると、感染の連鎖が始まります。 実際には、悪意のあるリンクには .hta ファイルが埋め込まれており、リンクをクリックするとそれが実行されます。この .hta ファイルには、Qakbotペイロードを配信し、デバイスを感染させるために使用されるVBscriptコードが含まれています。 Windowsでは、 .hta ファイルの実行に MSHTA.exe が使用されます。通常、 MSHTA.exe は正規にHTMLアプリケーションの実行に使用されるため、このプロセスは通常、悪意のあるものとして検出されることはありません。
埋め込まれた悪意のある .hta ファイルは、OS上でコマンドを実行するために VBScript を使用する
.hta ファイルの起動後、 curl.exe を実行し、感染したdllファイルをリモートC2 Qakbotサーバーから強制ダウンロードします。Qakbotペイロードは画像ファイルとして偽装され、ダウンロードプロセス中の検出を回避します。通常はCurlも正規のツールであり、インターネット上でデータを転送するために使用されます。
curl.exe と、Qakbotペイロードの実行を示す .hta ファイルの解除されたコード
次に .hta ファイルは、r undll32.exe を使用してQakbot dllファイルを実行します。Rundll32.exe は、通常はDLLファイルを実行するために使用される正規のWindowsアプリケーションです。このシナリオでは、 rundll32.exe を実行することで、画像に偽装された悪意のあるDLLファイルが検出されることなくシステムに正常にロードされます。
Qakbotの感染連鎖の例
システムに正常にロードされたQakbotはその後、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。Wermgr.exe は、正規のWindowsイベントログアプリケーションです。正規のプロセスを装うことで、マルウェアはバックグラウンドで実行され、一般的なアンチウイルスソフトウェアによる検出を回避することができます。
シナリオ2: シナリオ1と同様にこのバリエーションも、 .cmd ファイルを埋め込んだ悪意のあるメールがOneNoteファイルの添付ファイルに隠され、多段階の感染プロセスに繋がる
悪意のあるメールは、ユーザー(被害者)を、正規のOneNoteファイルの添付ファイルの中に隠された悪意のあるリンクをクリックするように誘導します。リンクをクリックすると、感染の連鎖が始まります。実際には、悪意のあるリンクには .cmd ファイルが埋め込まれており、リンクをクリックするとそれが実行されます。Windowsでは、 .cmd ファイルの実行に CMD.exe が使用されます。CMD.exe は、Windows OSでコマンドを実行するために使用される、正規のコマンドラインインタプリタです。ひとつのLOLBinであり、通常このプロセスは検出回避のために悪用されます。
cmd ファイルコンテンツ
.cmd ファイルはPowerShellを起動し、リモートQakbot C2サーバーから暗号化されたペイロードを強制ダウンロードします。PowerShellは、Windows OSに組み込まれた強力なスクリプト言語で、通常はタスクの自動化に使用されます。
.cmd スクリプトからデコードされた base64 文字列
ダウンロードされたペイロードのdllファイルは、 Rundll32.exe を使用して、シナリオ1と同じ目的で実行されます。
システムに正常にロードされたQakbotはその後、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。
シナリオ3:.WSF(Windowsスクリプトファイル) ファイルがバンドルされた、悪意のある Zip添付 メール
このバリエーションでは、感染したWSFファイルを含む悪意のある電子メールが、Adobe Cloud証明書を模倣し設計されたZip添付ファイルの中に隠されています。Zipファイルは、しばしば正規のものと勘違いさせるような名前を持ち、ユーザー(被害者)を騙して、添付ファイルが安全で無害であると思わせるよう特別に設計されています。
悪意のあるメールは、添付ファイルを開き、バンドルされているファイルを展開するようにユーザー(被害者)を誘導します。Zipの中には、 .WSF 、 PDF そして TXT の3つのファイルが含まれます。PDF と TXT ファイルはおとりであり、 .WSF ファイルをクリックして開くようユーザーを誘導し、感染の連鎖を開始させます。通常、 .WSF ファイルには、Windows Script Hostによって実行される正規のコマンドシーケンスが含まれています。この場合、Qakbotの感染プロセスを次の段階へと移すスクリプトがWSFファイルに含まれています。
証明書に見せかけた .WSF ファイルに隠され、難読化された悪意のある JavaScript
悪意のある .WSF ファイル内の難読化されたスクリプト(JavaScriptで記述)が、Qakbot C2サーバーからペイロードの強制ダウンロードします。
難読化されたスクリプトは、 Rundll32.exe. を使ってQakbot dllを実行します。
システムに正常にロードされたQakbotはその後、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。
シナリオ 4: HTMLスマグリング の手法を使った、 .html 添付の悪意のあるメールHTMLスマグリング 悪意のあるバイナリを無害に見える .html 添付ファイルに隠すことで、脅威アクターが悪意のあるバイナリコードをシステム内に秘密裏に仕込むことを可能にするテクニックです。
悪意のあるメールは、バイナリを隠して無害に見える .html 添付ファイルを展開するようにユーザー(被害者)を誘導します。また、 .html ファイルがZIPアーカイブファイルの中に含まれている場合もあり、さらに攻撃の複雑さが増しています。
.html ファイルを開くと、添付ファイルのコード内に格納され、パスワードで保護された悪意のある .ZIP アーカイブファイルが配信されます。ファイルのパスワードは、 .html ファイル内に記載されています。
悪意のある .html ファイル - パスワードで保護された.ZIPファイルを開くように被害者を誘導する
.ZIPアーカイブファイルの中に、悪意のある .img ファイルがバンドルされています。IMGは、フロッピーディスクやハードディスク、光ディスクの仮想ディスクイメージを格納するバイナリファイルです。IMGファイルやISOファイルは、正規に大きなソフトウェアをインストールする目的で使用されるのが一般的です。Qakbotの場合、IMGファイルを読み込むと、自身をドライブとしてマウントし、その中身を公開します。
悪意のある .img ファイルは、実際には .LNK (Windowsショートカットファイル)ファイルを含む他の複数のファイルをバンドルしています。.LNK ファイルを実行すると、マウントされた .img ファイル内の他のファイルを使って、複雑な感染チェーンが開始されます。
感染経路の途中で悪意のある .WSF ファイルが実行され、PowerShellを起動してリモートQakbot C2サーバーから暗号化されたペイロード(Qakbot dll)を強制ダウンロードします。PowerShellは、Windows OSに組み込まれた強力なスクリプト言語で、通常はタスクの自動化に使用されます。
PowerShellを使って、C2サーバーからのQakbotのdllダウンロードを依頼する
.WSFスクリプトは次に、 Rundll32.exe. を使ってQakbot dllを実行します。
システムに正常にロードされたQakbotは、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。
潜在的な被害
Qakbotがシステムに感染した後、マルウェアは感染した環境の評価と偵察を行います。Qakbotはその環境に価値があれば、Cobalt StrikeやBrute Ratelフレームワークなどの追加ツールをダウンロードします。これらのフレームワークは、侵入テストの目的でレッドチームが商業的に使用しています。
残念ながら、リーク版のペネトレーションテストフレームワークの多くが公開市場に出回り、脅威アクターによって悪用されています。これらのツールを使って、脅威アクターは特権アカウントへの昇格や横方向移動など、収奪後の高度なアクションを実行します。
結局の所、Qakbotや類似のマルウェアなどによりもたらされる最大の脅威はランサムウェアです。最近のいくつかの攻撃では、QakbotによるBlackBastaランサムウェアの配信が確認されています。BlackBastaは、米国と欧州を拠点とする多くの企業への攻撃に使用された、悪名高い効果的なランサムウェアの亜種です。BlackBastaは、攻撃者が暗号化されたファイルやデータへのアクセスを回復するために身代金の支払いを要求し、身代金が支払われない場合はユーザーや組織のデータをダークネットで販売すると脅迫する、 二重の恐喝技術 を使用します。
Cato Networksの内部セキュリティチームのダッシュボードに、データ流出の疑いがあるものが表示されます。
CatoがQakbotからお客様を守る仕組み
他のマルウェアと同様、Qakbotは常に進化しており、新たな手法や感染・侵入試行により更新されています。継続的な組織のセキュリティのためには、お使いの脅威検知ソリューションがマルウェアの脅威に対するこの種の変化を可能な限り早く検知し、ブロックできることを確認することが重要です。Cato NetworksのIPS(侵入防御システム)は、マルウェアによるC2サーバーへの通信をブロックするため、Qakbotの最新の更新に合わせて直ちにアップデートされました。Catoのセキュリティリサーチチームは、高度なツールと戦略を用いて、最新の脅威を検出、分析し、それに対する強固な保護を構築しています。以下のダッシュボード表示は、Catoのリサーチチームが使用するツールの一部で、Qakbot攻撃の疑いがあるものを自動検出し、Cato IPSによってマルウェアとそのC2サーバー間の追加通信を遮断していることを示しています。
Qakbotのアウトバウンド通信の検知と遮断が表示されているCato Networks社内セキュリティチームのダッシュボード
どの企業にとっても、専門家の支援なしに絶え間なく進化するマルウェアや悪意のある攻撃と戦うことは期待できないことが、かつてないほど明確になっています。Catoのセキュリティリサーチチームは、最新の脅威からお客様の組織を保護するために、継続的にソリューションを監視し、更新することを約束します。Cato Networksのソリューションは、組織を全体的なセキュリティ態勢を強化し、進化し続けるマルウェアの脅威から保護し、自身を持って本当に重要なビジネスの優先順位を決定することを可能とします。
CatoがQakbotや類似の脅威や侵入からどのように保護し、組織のセキュリティリスクをどのように軽減できるかの詳細については、 侵入防御 、 セキュリティサービス 、および 脅威検知と対応のマネージドサービス に関する記事をご覧ください。
妥協の指標(IOCs)
シナリオ #1
352a220498b886fae5cd1fe1d034fe1cebca7c6d75c00015aca1541d19edbfdf - .zip
5c7e841005731a225bfb4fa118492afed843ba9b26b4f3d5e1f81b410fa17c6d - .zip
002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c - .one
d1361ebb34e9a0be33666f04f62aa11574c9c551479a831688bcfb3baaadc71c - .one
9e8187a1117845ee4806c390bfa15d6f4aaca6462c809842e86bc79341aec6a7 - .one
145e9558ad6396b5eed9b9630213a64cc809318025627a27b14f01cfcf644170 - .hta
baf1aef91fe1be5d34e1fc17ed54ea4f7516300c7b82ebf55e33b794c5dc697f - .hta
シナリオ #2
1b553c8b161fd589ead6deb81fdbd98a71f6137b6e260c1faa4e1280b8bd5c40 - .one
e1f606cc13e9d4bc4b6a2526eaa74314f5f4f67cea8c63263bc6864303537e5f - .one
06a3089354da2b407776ad956ff505770c94581811d4c00bc6735665136663a7 - .cmd
5d03803300c3221b1233cdc01cbd45cfcc53dc8a87fba37e705d7fac2c615f21 - .cmd
シナリオ #3
1b3b1a86a4344b79d495b80a18399bb0d9f877095029bb9ead2fcc7664e9e89c - .zip
523ea1b66f8d3732494257c17519197e4ed7cf71a2598a88b4f6d78911ad4a84 - .zip
fe7c6af8a14af582c3f81749652b9c1ea6c0c002bb181c9ffb154eae609e6458 - .wsf
6d544064dbf1c5bb9385f51b15e72d3221eded81ac63f87a968062277aeee548 - .wsf
シナリオ #4
3c8591624333b401712943bc811c481b0eaa5a4209b2ec99b36c981da7c25b89 - .html
8c36814c55fa69115f693543f6b84a33161825d68d98e824a40b70940c3d1366 - .html
2af19508eebe28b9253fd3fafefbbd9176f6065b2b9c6e6b140b3ea8c605ebe8 - .html
040953397363bad87357a024eab5ba416c94b1532b32e9b7839df83601a636f4 - .html
42bd614f7452b3b40ffcad859eae95079f1548070980cab4890440d08390bd29 - .zip
08a1f7177852dd863397e3b3cfc0d79e2f576293fbb9414f23f1660345f71ccc – .zip
0d2ad33586c6434bd30f09252f311b638bab903db008d237e9995bfda9309d3a - .zip
878f3ccb51f103e00a283a1b44bb83c715b8f47a7bab55532a00df5c685a0b1d - .zip
B087012cc7a352a538312351d3c22bb1098c5b64107c8dca18645320e58fd92f - .img
Qakbot ペイロード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製造業のサプライチェーン、物流、生産ラインの強化を...
製造業におけるSASE:セキュリティとコネクティビティの課題解決へ 製造業のサプライチェーン、物流、生産ラインの強化を支援するAIやIoT、ロボティック・プロセス・オートメーション(RPA)など、多くの革新的なテクノロジーによるインダストリー4.0は製造業に革命をもたらしています。業務自体はスマートファクトリーへと進化している一方、依然として製造業界は、インダストリー4.0の可能性の最大化へ悪影響を与える可能性のある課題に直面しています。
製造業のデジタル変革における課題
デジタルトランスフォーメーションにより、製造業界にもたらされた多くの課題には、次のようなものが挙げられます。
サイバーセキュリティの脆弱性 - 製造業は特にサイバー攻撃に対して脆弱です。従来の製造システムは、現代のサイバー攻撃を防御するために設計されていませんでした。従来のアーキテクチャでは、ソフトウェアのパッチや修正を最新の状態に保つことが困難であり、セキュリティ侵害のリスクが増大します。 さらに、トラフィックフローのすべてを適切に可視化・制御することができないため、環境に対する脅威に対して迅速な対応と修復を行うことは事実上不可能となっています。
柔軟性、拡張性、信頼性の高いアーキテクチャの欠如 - 製造業者は、ビジネスの成長に合わせて簡単かつコスト効率よく拡張できる、柔軟性、拡張性、信頼性の高いアーキテクチャを必要としています。これは、製造業が経験しているクラウドの進化に対応できないMPLSには提供できません。また、特に通信事業者がMPLSを提供・サポートするのが難しい地域では、新しい拠点立ち上げのためのコストと複雑さが、グローバル展開を阻む大きな障壁となっています。これに対する対処としてSD-WANを導入したとしても、業界が求めるグローバルなユースケースには適していません。
クラウドパフォーマンス - MPLSは次の2つの重要な理由により、サードパーティのSaaSアプリケーションへの直接接続が不可能です:ポイントツーポイントの技術であるMPLSに対し、SaaSのトラフィックはクラウドプロバイダー間を流れるため、クラウド利用には向いておりません。また、Microsoft 365、FactoryTalk、SAPなどのSaaSアプリは高性能なインターネットアクセスが必要ですが、これはMPLSでは提供できません。
複雑なツール管理 - 複数のMPLS接続、通信ベンダー、レガシーツールの維持と監視は非常に複雑で、ストレスが貯まるばかりかエラーも起こりやすくなります。例えば買収した企業の技術を統合しなければならない場合、さらに困難となります。
グローバルの断絶 - ほとんどの製造業者は、本社、生産、エンジニアリング、サプライヤー、セールスそれぞれの部門が世界中に散らばっており、グローバルな事業展開をしています。ユーザーは安全で高性能なローカル、リモート、グローバルアクセスをビジネスのために必要としますが、MPLSではそれらを実現するのは困難です。
[boxlink link="https://www.catonetworks.com/resources/firsthand-perspectives-from-5-manufacturing-it-leaders-about-their-sase-experience/"] Firsthand Perspectives from 5 Manufacturing IT Leaders about their SASE Experience | Download the eBook [/boxlink]
製造業の課題に対するソリューション:SASE
SASE(Secure Access Service Edge)は、ネットワークとセキュリティに対する革新的なアプローチです。こうした技術を単一のグローバルなクラウドネイティブサービスに集約し、セキュリティ強化、一貫性のあるポリシー実施、脅威への対応時間の短縮を実現します。製造業界は前述のような工場を悩ませるデジタル・トランスフォーメーションに伴う多くの課題克服が、SASEを利用することで実現できます。
デジタル・トランスフォーメーションをサポートするため、製造業者はSASEという新たなソリューションを必要としています。SASEは、企業のネットワークとセキュリティ技術を単一のクラウドネイティブソフトウェアスタックに統合し、すべての機能が一体となって動作するグローバルバックボーン上で提供されます。製造業者は、SASEを使うことでサイバーセキュリティ侵害のリスクを低減しながら、アプリケーションやシステムへの信頼性の高い低遅延のグローバルアクセスの提供が可能となります。それらの実現のため、SASEは次のような能力を備えています:
シングルネットワークアーキテクチャ
独自のグローバルバックボーンを持つSASEは、許可されたユーザー、拠点、クラウド、アプリケーションを、いつでも、どこからでも、確実かつ安定的に接続します。
高パフォーマンス
SASEクラウドは、ITチームがビジネス要件に応じたネットワークの拡張、最適化、強化を直ちに行うことを可能とします。これによりアプリケーションの信頼性と予測可能なパフォーマンス、すべてのユーザーの豊かなエクスペリエンスが確保されます。
クラウドデータアーキテクチャ
SASEは、WAN最適化とダイナミックルーティングポリシーに基づいてトラフィックを最適化し、目的地までの最良の経路でルーティングします。これにより、すべてのユーザーが低遅延でクラウドにアクセスできるようになります。
カスタマイズされたセキュリティ
SASEは、Zero Trust Network Access(ZTNA)、Firewall-as-a-Service(FWaaS)、Cloud-Access Security Broker (CASB)、DLP、secure web gateway (SWG)などの必要なすべてのセキュリティ機能を提供し、セキュリティ態勢を強化します。
全体的な保護
SASEに組み込まれたZTNAは、認証・許可されたユーザーとデバイスのみを、重要なエンタープライズ・ビジネス・アプリケーションにアクセスできるようにします。また、セキュリティ保護とカバー範囲をさらに拡大するため、MDR(Managed Detection and Response)の利用も可能です。
一貫性のあるモバイルユーザーとサプライヤーのためのアクセス
あらゆる正規ユーザーは、どこにいても一貫性のあるアクセス、パフォーマンス、セキュリティが保証されます。
製造業者の次なる課題とは?
製造業者はSASEを使うことで、ITやセキュリティを心配する必要がなくなり、グローバル展開や工場運営の強化など、ビジネスの重要な優先事項に時間とリソースを集中させることが可能となります。これにより、ネットワークとセキュリティのニーズが満たされている安心感を得ることができ、自分たちの仕事に特化することができます。
SASEと製造業についてもっと知りたい方は、次のポッドキャストのエピソードをお聞きください「製造業においてSASEを導入する方法:PlayPower社との対談」
リモートワークやクラウドコンピューティングの普及に...
なぜ、いまクラウドセキュリティの必要性が問われているのか リモートワークやクラウドコンピューティングの普及に伴い、企業や個人データやアプリケーションをクラウド上で管理・利用することが一般的となりました。組織はクラウド環境でのデータの保存、処理、共有を活用することで生産性と柔軟性を向上させています。この新たな環境において、セキュリティの考え方やアプローチも変化を遂げています。
クラウドセキュリティとは
現代のデジタル環境における、クラウドコンピューティング環境のデータやリソース保護のためのセキュリティ対策を総称してクラウドセキュリティと呼んでいます。クラウドセキュリティの主な目的は、クラウド上のリソースや情報を機密性、完全性、可用性の三つの要素で保護することです。機密性は、機密データが不正アクセスから守られることを意味します。完全性は、データが改ざんや破損から守られ、信頼性が確保されることを指します。可用性は、サービスやデータが適切な時に必要な人々に利用可能であることを保証します。
クラウドセキュリティの適切な実施には、組織のセキュリティポリシーの策定や教育・訓練、セキュリティイベントの監視などが必要です。そして何よりも、クラウドセキュリティは持続的な取り組みであることを忘れてはいけません。テクノロジーの進化と新たな脅威の出現に対応するために、常に最新のセキュリティ手法を導入し、監視と更新を行う必要があります。また、単なる技術的な手段だけでなく、組織全体の意識や文化を含む継続的な取り組みも求められます。
なぜいまクラウドセキュリティが必要とされるのか
端的に言えば、クラウドの普及はセキュリティ脅威の増加と表裏一体であるからです。クラウド環境は攻撃の標的となりやすく、サイバー攻撃のリスクが高まっています。また、クラウドサービスの利用が広まるにつれて、データの共有や連携が増え、セキュリティの複雑さも増しています。このことから、クラウドセキュリティの強化が喫緊の課題となっているのです。
他のセキュリティとの違い
クラウドセキュリティは、従来のオンプレミス環境と比較していくつかの異なる要素を持っています。
従来のセキュリティでは、企業は自社のデータセンターやネットワークを管理してセキュリティを確保する責任がありました。一方クラウドセキュリティでは、データやアプリケーションがクラウドプロバイダによって管理されるため、セキュリティの責任範囲が変わり、顧客はクラウドプロバイダとの共同責任を持つことになります。
またクラウド環境下では、データやアプリケーションの規模が急速に成長することがあるため、スケーラビリティが求められます。セキュリティソリューションは、柔軟に拡張できる必要があり、大量のデータやユーザーを適切に管理することが求められます。加えて、クラウド環境は多くのユーザーと共有される共有リソースであり、データやアプリケーションが複数のユーザーと共有されることから、テナント(※1)間のセキュリティの隔離やマルチテナント(※2)の管理が必要となります。
クラウドセキュリティはどのように機能するのか?
ユーザーがさまざまなデバイスや場所からアクセスするクラウド環境では、ネットワークの特性やトラフィックの増加に対応するために、クラウドセキュリティは以下の点で従来のセキュリティと異なるアプローチを取ります。
サービスモデルの違い
クラウドセキュリティは、クラウドコンピューティングのさまざまなサービスモデルに適応する必要があります。IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)など、異なるサービスモデルに対して、適切なセキュリティメカニズムを提供する必要があります。それぞれのサービスモデルに合わせて、セキュリティの要件や責任範囲が異なるため、柔軟性と多様性が求められます。
多要素認証とアクセス制御
クラウドセキュリティでは、従来のユーザー名とパスワードだけでなく、多要素認証が重要な役割を果たします。ユーザーは、追加の認証要素(例:SMSコード、生体認証)を提供することで、セキュリティを強化します。また、アクセス制御も重要な要素であり、ユーザーの役割や特権に基づいて、適切なデータやアプリケーションへのアクセスを制限します。
監視と脅威検知
クラウドセキュリティでは、リアルタイムでの監視と脅威検知が重要です。大量のデータやユーザートラフィックを監視し、異常なアクティビティやセキュリティ侵害の兆候を検出する必要があります。さらに、機械学習や人工知能を活用して、新たな脅威に対応し、迅速な対応を実現します。
クラウドセキュリティのメリットとデメリット
クラウドセキュリティは、ネットワークセキュリティに求められる現代のニーズに応える以下のようなメリットを持ちます。
強化されたデータ保護
クラウドセキュリティの導入により、データの保護が強化されます。データの暗号化やアクセス制御などのセキュリティ対策により、機密情報や個人情報の漏洩を防ぎます。また、クラウドプロバイダはバックアップと復元の機能を提供するため、データの喪失や破損からの回復も容易になります。
高い可用性と信頼性
クラウドプロバイダは物理的なセキュリティや冗長性の確保、定期的なバックアップなどの対策を行っています。これにより、クラウド環境は高い可用性と信頼性を提供します。障害時の影響範囲が限定されるため、サービスの中断やデータの喪失を最小限に抑えることができます。
モニタリングとインシデント対応
クラウドセキュリティでは、リアルタイムでのモニタリングとインシデント対応が重要な役割を果たします。セキュリティイベントや異常なアクティビティの検知により、早期警告や迅速な対応が可能となります。また、クラウドプロバイダが適切な対策を講じることで、セキュリティインシデントに対する迅速な対応が行われます。
一方で、クラウドセキュリティには次のようなデメリットも存在します。
依存度の増加
クラウドセキュリティの導入により、組織はクラウドプロバイダに依存することになります。クラウドプロバイダの信頼性やセキュリティ対策の十分性に依存するため、適切なプロバイダの選択と契約条件の慎重な検討が必要です。また、プロバイダとの連携やコミュニケーションの確立も重要です。
データ漏洩のリスク
クラウド環境では、データが外部のインフラストラクチャやネットワークを通過するため、データ漏洩のリスクが存在します。セキュリティ対策の不備や未探知の脆弱性がある場合、攻撃者によるデータへの不正アクセスが可能となります。組織は、適切な暗号化やアクセス制御の実施、データの監視と検知などの対策を講じる必要があります。
サービス停止の影響
クラウドプロバイダのサービス停止や障害が発生した場合、利用者の業務に深刻な影響を及ぼす可能性があります。組織は、サービス提供者のSLA(サービスレベルアグリーメント)やバックアップポリシーを確認し、災害復旧計画や代替プランの策定などを行う必要があります。
プライバシーとコンプライアンスの課題
クラウドセキュリティは、個人情報やコンプライアンスに関する課題も引き起こす場合があります。クラウドプロバイダがデータの所在地やデータ移転の制限などを明確にしていない場合、特定の法規制や企業のポリシーに適合することが難しくなる可能性があります。データの場所や保管期間、サードパーティへのデータの提供などについて、契約や法的な規制を遵守する必要があります。
総論
このように、クラウドセキュリティの導入は利便性や柔軟性を提供する一方で、いくつかのデメリットも伴います。組織はこれらのデメリットに対処するために、適切なリスク評価と対策計画を策定し、クラウドセキュリティのベストプラクティスを実施することが重要です。多層的なセキュリティアプローチや統合されたセキュリティソリューションを採用することで、クラウド環境におけるデータの保護や脅威からの防御を強化することができます。
適切なクラウドセキュリティ対策を講じることで、企業は信頼性と安全性を確保し、競争力を維持していくことができるでしょう。
※1:ユーザーグループの単位
※2:SaaSやASPサービスなどのように、同一のシステムやサービスを、無関係な複数のユーザー(企業や個人)で共有するモデル
組織間で受け継がれてきた信頼関係を悪用するサプライ...
3CX社のサプライチェーン攻撃 – 古典的な脆弱性の利用 組織間で受け継がれてきた信頼関係を悪用するサプライチェーンへの攻撃は、あらゆる組織にとって最大の懸念事項の一つです。SolarWinds社 や Kaseya社 も最近、最近、同様の攻撃を受けました。3月29日、VoIP IPXSを開発する3CX社を標的とした新たなサプライチェーン攻撃が確認され、北朝鮮の国家的な行為である可能性が高いとされています。
3CX社への攻撃 は、10年前のマイクロソフトの脆弱性(CVE-2013-3900)を悪用することで、実行ファイルがマイクロソフトによって正規に署名されているように見せかけながら、実際にはマルウェアを配布するために使い、破壊的な効果を生み出しました。この脆弱性が悪用されたのは今回が初めてではなく、今年初めにはマルウェアZloaderの感染キャンペーンにおいて同じ手口が使われています。3CX社のケースでは、2つの悪意ある「署名付き」DLLを使用してC&C(コマンド&コントロール)サーバに接続し、最終的にGitHubリポジトリに接続し、ユーザーがブラウザに入力する機密データを狙う情報窃取型マルウェアをダウンロードしました。
[boxlink link="https://www.catonetworks.com/resources/cato-networks-sase-threat-research-report/"] Cato Networks SASE Threat Research Report H2/2022 | Download the Report [/boxlink]
Cato Networksのセキュリティグループは、この脅威に対して即座に対応しました。2ステージのペイロードサーバと通信しているシステムを所有する顧客に連絡を取り、どの機器が侵害されたかをお知らせしました。このキャンペーンに関連するすべてのドメインとIPをブロックし、この脅威にさらされることを制限しました。
このような脅威に対してCatoは、複数の監視ポイントを持つアプローチにより、脅威が攻撃経路全体で検出、緩和、防止されることを保証します。これは、各PoPがセキュリティスタック全体を共有し、各ネットワークフローのデータをコンテキスト化するプライベートクラウドバックボーンを活用することによってのみ実現が可能となります。Catoの3CX社の脅威に対する低減策は以下の通りです。
悪意のあるドメインをタグ付けし、ブロック。悪意のあるドメインをブロックするためのファイアウォールルールは、デフォルトで有効になっています。
IPS(不正侵入防止システム) – ペイロードサーバをドメインブロックリストに追加。これはファイアウォールルールを補完するものであり、ファイアウォール ルールが有効になっているかどうかには依存しません。
マルウェア対策 - 3CX社に関連するトロイの木馬をすべてブロック。
MDR(Managed Detection and Response):MDRチームが、顧客のシステムに不審な動きがないかを監視し続けます。
Cato Networksのセキュリティグループは、この脅威の動向を引き続き監視しています。 攻撃に関する詳細なテクニカル分析については、Cybleのブログをご覧ください。
ERP(統合基幹業務システム、※1)の最大手である...
「SAP」の脆弱性に起因するリスクを回避するには ERP(統合基幹業務システム、※1)の最大手であるドイツのSAP SE社が開発したソフトウェア「SAP」について知っている、または実際に業務に使用しているという方も多いでしょう。日本でも多くの企業がビジネスプロセス管理や財務会計、人事管理などの業務に利用しており、日本国内における2020年度のERP市場において、SAPのシェアは約22.5%で、Oracleに次ぐ2位でした(※2)。
しかし、SAPには意図せず外部よりアクセス可能となっているセキュリティ上の脆弱性が存在しており、これらが悪用されると企業にとって深刻な問題を引き起こす可能性があることが報告されています。
最近の代表的なSAPの脆弱性
企業に大きな影響を与えた、最近の代表的なSAPの脆弱性の例には以下のようなものがあります。
10KBLAZE(2019年):設定不備のまま、意図せずインターネット上に公開されている多数のSAPシステムを狙うエクスプロイト(※3)。
RECON(2020年):脆弱性を悪用して特権アクセスを獲得することで、企業が使用するすべてのSAP製品が制御可能となる。CVSSv3ハザードレーティングスケールで、脆弱性が10/10点と評価された非常にまれなケース。
SAP Commerce Cloudの脆弱性(2021年):企業がウェブサイトや電子商取引サイトを構築するために使用するソリューションである「SAP Commerce Cloud」のセッション期限に関する脆弱性を利用し、企業の顧客データが侵害を受ける可能性があることが判明。
SAP NetWeaverの脆弱性(2021年):企業がビジネスプロセスを管理するために使用するソリューションである「SAP NetWeaver」のクロスサイトスクリプティングに関する脆弱性により、攻撃者が特権アクセスを獲得し、企業データにアクセスすることができる可能性があることが判明。
これらの脆弱性により、企業は様々な問題に直面することになります。例えば、ひとたび個人情報や財務情報が漏えいしてしまえば、法的な問題に巻き込まれる可能性があります。また、システムがダウンすることで業務の遂行が不可能となり、顧客へのサービス提供に支障が出ることも考えられます。
脆弱性による問題に巻き込まれないために
こうした問題を回避するためにはまず、SAPのシステムを最新のバージョンにアップデートすることが重要です。また、必要に応じて専門家による脆弱性診断を行い、早期に問題を発見し、解決することが求められます。さらに、従業員に対しては、強力なパスワードの設定や、不審なメールの添付ファイルやリンクを開かないようなセキュリティ意識の向上を促す必要があります。
SAPの脆弱性は企業にとって深刻な問題となる可能性がありますが、適切な対策を講じることで安全なシステム運用の実現が可能です。企業は、事業継続性を確保し、顧客の信頼を守るために不可欠なセキュリティ対策への投資を惜しまず、SAPのシステムを常に最新の状態に保つことが大切です。また、従業員には、セキュリティ意識を高める教育やトレーニングを提供し、脆弱性を発見した場合には、迅速かつ適切な対応を行うことができるようにする必要があります。
安全で信頼性の高いシステム構築が重要
SAPの脆弱性に対する対策は、単一の技術や手法に依存するものではありません。企業は、セキュリティ対策に対する意識を高め、脆弱性を回避するための適切な対策を講じることで、安全で信頼性の高いシステムを構築し、顧客の信頼を維持していくことが必要です。
クラウドやリモートワークへの移行に伴い、企業はネットワーク戦略を再考し、よりコスト効率が高く効率的なソリューションを導入する必要があります。Catoの提供するシングルベンダーSASEプラットフォームは、クラウドネイティブかつSD-WANとセキュリティサービスエッジのSSE360をシンプルに統合。あらゆるロケーションのユーザーに、アプリケーションアクセスを最適化しつつセキュリティを確保します。
SASEについてより詳しく知りたい方は、当社までお問い合わせください。
※1:企業内の業務プロセスを統合的に管理し、ビジネスプロセスの最適化を図るための統合業務ソフトウェアのこと。
※2:出典 - 矢野経済研究所「ERP市場におけるトッププレイヤー分析 2020年版」
※3:ソフトウェアの脆弱性やセキュリティ上の欠陥を利用した不正プログラムのこと。
ランサムウェアは、あらゆる規模の組織にとっての主た...
企業向けランサムウェア対策のためのSASEアプローチ ランサムウェアは、あらゆる規模の組織にとっての主たるサイバー脅威であり続けています。その理由の一つとして、これらの攻撃がサイバー犯罪者にとって非常に高い収益率を実現する一方で、以前よりも簡単かつ安価になったことが挙げられます。ランサムウェア業界は、2017年のWannaCryの流行以来、次のような幾つかの段階を経て進化してきました。
大規模攻撃キャンペーンの実施:WannaCryのようなランサムウェア攻撃は、できる限り多くのシステムを感染させるよう設計されています。感染させることに成功した場合、それぞれの被感染システムに対して比較的小さな身代金を要求し、質より量で利益を上げようとします。
標的型攻撃:ランサムウェアの攻撃キャンペーンは、時間が経過するにつれ、特定の組織を標的とする極めて標的性の高い攻撃へと進化しています。サイバー犯罪者は、綿密な調査を行うことで、感染させたシステムから奪う利益を最大化する手段を突き止めるためです。
ランサムウェア・アズ・ア・サービス(RaaS):
ランサムウェアをサービスとして提供する「RaaSギャング」は、マルウェアのコピーをアフィリエイトに配布し、感染に成功した場合はその利益の一部を手に入れます。このモデルにより、攻撃力の高いランサムウェアに感染する企業が増加しました。
二重脅迫:二重脅迫型ランサムウェアは、被感染システム上の機密または重要データを盗み出し、暗号化します。そうしてデータ漏洩の脅威を利用し、身代金の支払い確率を高めます。
三重脅迫:三重脅迫とは、ランサムウェア攻撃による影響を、感染した組織からその顧客へと拡大させるものです。ランサムウェアを操る犯罪者は、データが攻撃による影響を受けた複数の組織に対して支払いを要求します。
ランサムウェアは、非常に効果的で収益性の高いサイバー脅威であることが判明しています。サイバー犯罪者は、攻撃の収益性と身代金の支払い確率の向上のため、今後も技術革新と成功体験を続けていくでしょう。
ランサムウェア攻撃に共通する攻撃手法
サイバー犯罪者は、さまざまなランサムウェアの展開・実行方法を持っていますが、代表的なもののごく一部を以下に紹介します。
脆弱性の悪用:非常に一般的な方法でとして、パッチが適用されていない脆弱性を狙ったランサムウェアの配布があります。サイバー犯罪者はこういった脆弱性を悪用することで、脆弱なシステム上にマルウェアを仕込み、実行することを可能とします。
フィッシング攻撃:ソーシャルエンジニアリングを用いて、ユーザーを騙して端末にマルウェアをダウンロードさせ、実行させるものをフィッシング攻撃といいます。ランサムウェアは、メッセージに添付されていたり、悪意のあるリンク先であるフィッシングサイトに配置されていたりすることがあります。
認証情報の漏洩:推測や、フィッシングによる漏洩などの手段により、ユーザー認証情報が侵害されるおそれがあります。サイバー犯罪者は、これらの認証情報をリモートデスクトッププロトコル(RDP)や仮想プライベートネットワーク(VPN)を使って、システムにアクセスしたりマルウェアを展開したりすることができます。
悪意のあるダウンロード:フィッシングサイトでは、ランサムウェアのファイルをダウンロードする場合があります。そうしたファイルは、正規のソフトウェアに見せかけたり、ユーザーのブラウザの脆弱性を悪用してダウンロードさせ、実行することができます。
ランサムウェア攻撃の段階
ランサムウェアは、他の種類のマルウェアと同じ多くの攻撃手順を踏んでいます。攻撃の主な段階は次の通りです。
感染初期:ランサムウェアの攻撃は、標的となるシステムにマルウェアがアクセスするところから始まります。これは、フィッシングや漏洩した認証情報の使用など、さまざまな手段で行われる可能性を持っています。
コマンド&コントロール:ランサムウェアが実行されると、それを操作する者とコマンド&コントロール(C2)間にチャネルを確立します。これにより、ランサムウェアは操作者にデータを送信したり、操作者からの指示を受けたりすることが可能となります。
横方向への動き:ランサムウェアは、暗号化される予定のある貴重なデータを持つデバイスをすぐさま襲うことはほとんどありません。マルウェアは企業ネットワークに足場を築いた後に探索をし、貴重な機密データを暗号化するために必要なアクセス権や特権を獲得するために横方向に移動します。
データ盗用と暗号化:マルウェアは必要なアクセス権を獲得すると、データの暗号化とバックアップの削除を開始します。また、C2チャネルを通じて、データのコピーをマルウェア操作者に流出させたりもします。
身代金ノート:マルウェアはデータの暗号化が完了すると、身代金ノートを公開し、システム上に存在することを示します。その後、身代金が支払われ、復号化キーが提供された場合、ランサムウェアは暗号化されたすべてのファイルを復号化します。
ランサムウェア対策
一度データの盗用や暗号化をされてしまうと、組織ができるランサムウェア対策は限られたものになってしまいます。しかし、ランサムウェアへの感染率を下げるため、企業は以下のような対策をとることができます。
脆弱性管理:定期的に脆弱性をスキャンし、パッチを適用することにより、ランサムウェア配信のため悪用されるセキュリティホールを解消することができます。さらに、Web Application and API Protection (WebアプリケーションとAPIの保護、WAAP)ソリューションは、パッチ未適用の脆弱性の悪用を試みる動きを遮断することができます。
メールセキュリティ:ランサムウェアやその他のマルウェアを配信するもう一つの一般的な手段として、フィッシングが挙げられます。メールセキュリティソリューションは、悪意のある添付ファイルやフィッシングページへのリンクを含むメッセージを識別して遮断します。
多要素認証(MFA):認証情報が漏洩した場合、リモートアクセスソリューションを通じて企業システムへのアクセスやマルウェアの配信に利用される可能性があります。強度の高いMFAを導入することで、漏洩した認証情報の悪用が困難になります。
ウェブセキュリティ:悪意のあるサイトから意図的に、もしくは意図せずにランサムウェアがダウンロードされることがあります。セキュアWebゲートウェイ(SWG)は、危険なサイトの閲覧や悪意のあるダウンロードを遮断することができます。
エンドポイントセキュリティ:ランサムウェアは、被感染エンドポイント上で実行され、ファイルを暗号化するマルウェアです。エンドポイントセキュリティソリューションは、ランサムウェアの感染の特定、および修復を可能にします。
Catoによる企業向けランサムウェア対策アプローチ
機械学習アルゴリズムと、Cato SASEクラウドの詳細なネットワークインサイトを使うことで、エンドポイントエージェントを配置せずともネットワーク上におけるランサムウェアの拡散を検出し、防止することができます。被感染マシンを特定し、即座に隔離して修復を行います。
Catoは、豊富な多層マルウェア軽減戦略により、MITRE ATT&CKフレームワーク全体において攻撃を妨害します。.Catoのマルウェア対策エンジンは、全般的にマルウェアの配布を防止します。Cato IPSは、サイバーキルチェーン全体で使用される異常な動作を検出します。また、CatoはIPSと次世代型アンチマルウェアを使用して、一般的なランサムウェアグループが使用するMITRE ATT&CKテクニックを検出・防止し、発生段階の前に攻撃を発見しています。また、Catoのセキュリティ研究者はこの戦略の一環として、ランサムウェアグループが使用するテクニックを追跡してCatoの防御を更新し、企業を既知の脆弱性の悪用から記録的な速さで保護しています。
当社は、ランサムウェアの検出と遮断に特化した、発見的アルゴリズムを使用しています。機械学習による発見的アルゴリズムは、SMBのライブトラフィックフローを、次のようなネットワーク属性の組み合わせにより検査します。
既知のマルウェアファイルの配信を遮断する。
C2トラフィック、および横方向の移動試行を検出する。
リモートドライブやフォルダのアクセス試行を識別する。
ドライブの暗号化を秒単位で行うなど、間隔時間をモニタリングする。
Cato Networksは、ランサムウェア攻撃の検知と低減を、エンドポイントにエージェントを展開せずに実現します。Catoのネットワークベースのランサムウェア対策について、詳しく知りたい方はこちらから。.
企業におけるデジタル攻撃対象は、クラウドの普及に伴...
ネットワークセキュリティの未来: 2023年以降のサイバーセキュリティに関する予測 企業におけるデジタル攻撃対象は、クラウドの普及に伴い拡大しています。サイバー犯罪者は、常に進化したツールとテクニックを駆使して新たな脅威を生み出し、組織を窮地に陥れようとします。
毎年、サイバー攻撃と防御の両面で新たなトレンドが生まれる中、2023年以降のネットワークセキュリティのトップトレンドを予測しました。トップトレンド一覧は以下の通りです。
#1. セキュリティの出発点となるゼロトラスト
ゼロトラストは、データ漏洩などのセキュリティ事故の主な原因である「暗黙の信頼と過剰な権限」の排除を目的としています。「暗黙の信頼と過剰な権限」は、サイバー犯罪者による組織ネットワークやシステムへのアクセスと、アクセス範囲の拡大、およびリソース搾取のために悪用され、多くのサイバー攻撃における原因となっています。性善説に基づく信頼を排除し、生産性を維持するために必要な最小限の権限に基づきアクセス制限することにより、攻撃者による悪用を防ぎます。
ゼロトラストは、現状の課題に対応するセキュリティ手法として近年さらに注目の的となっています。効果的なゼロトラスト戦略は、きめ細かいポリシーを定義し、適切なアクセス許可を付与し、ネットワーク上のユーザーをよりきめ細かく制御することが可能です。
効果的なゼロトラスト戦略は、多くのサイバー脅威から組織を保護しますが、総合的な解決策にはほど遠いものです。ゼロトラストを出発点とし、徐々に制御範囲を拡大することで、完全に成熟したセキュリティプログラムを構築することが理想的なアプローチといえるでしょう。ゼロ・トラストはセキュリティ問題解決への出発点であり、プロセスを円滑かつ迅速に進める正しい戦略を持つことで、その先にあるセキュリティの現実的な課題への対応が可能となります。
#2. セキュリティの簡略化が加速
ITインフラやサイバーセキュリティが脅威にさらされている状況は組織ごとに異なりますが、実際ほとんどの企業が同様の課題に直面します。サイバー犯罪者は、ネットワークやアプリケーションの脆弱性を狙い、利用することに長けています。SOCアナリストは、大量の疑わしいアクティビティによる、対応しきれないほどのアラートに悩まされています。また、複雑なマルチクラウド環境の拡大により、新たなセキュリティ課題が発生し、攻撃の手法も増加しています。
スタンドアロン製品の寄せ集めでこれらの脅威に対処することは、ネットワーク・セキュリティに対する非生産的かつ拡張性に欠けた、非効率的なアプローチといえます。そのため今後は、セキュリティチームが複雑なインフラをより効果的に保護・セキュア化することが出来るようになるために、単一アーキテクチャに集約されたセキュリティ機能を提供するセキュリティプラットフォームを採用する企業は増えて行くでしょう。
#3. SASEの迅速な導入
デジタルトランスフォーメーションの波が押し寄せ、企業ネットワークは、過去の複雑で柔軟性に欠けるアーキテクチャから早急に脱却する必要があります。クラウドの導入、WFA(Work from anywhere)、BYODポリシー、モバイルデバイスなどの影響により、企業のネットワーク環境はより複雑になり、管理や最適化、セキュリティ、および拡張が難しくなっています。さらに、従来の城と堀型のキュリティ・アーキテクチャは時代遅れとなり、企業は信頼性の高いネットワーク接続と完全なセキュリティの二択を迫られています。
その結果、企業による最新のネットワーク特化型ソリューションの導入が加速しました。この最新のネットワークには、信頼性と耐障害性に優れ、ビジネスの成長に合わせて拡張できる、統合されたクラウド提供型のアーキテクチャが求められます。これを実現できるのは、セキュアアクセスサービスエッジ(SASE)だけです。
その結果、企業はこのような最新のネットワークに特化して設計されたソリューションをより迅速に採用することになります。このような最新のネットワークには、信頼性と耐障害性に優れ、ビジネスの成長に合わせて拡張できる、統合されたクラウド提供型のアーキテクチャが必要です。これを実現できるのは、セキュアアクセスサービスエッジ(SASE)だけです。
#4. 標的型ランサムウェア攻撃の拡大
ランサムウェアは、サイバー犯罪者にとってのドル箱であることがわかっています。ランサムウェアによる犯罪を成功させるには、攻撃対象の徹底的なリサーチ、つまり最適な攻撃ベクトル、攻撃対象とする最も価値のあるリソース、そして被害者が支払い可能な最大金額を特定することが重要です。不況に陥る国もあり、多くの組織が利益維持のためのコスト最適化を余儀なくされていることから、サイバー犯罪者はより弱く、脆弱な標的を特定し、追い込んでいくでしょう。
近年では、ヘルスケアや金融サービス業、そして最近では製造業がランサムウェア攻撃の主な標的となっています。2023年以降も、攻撃対象は指数関数的に拡大し、今まで以上の攻撃が出現することが予想されます。
#5. 高まるAPIセキュリティの重要性
現代のアプリケーションは、API を中心に設計されているため、アプリケーションのセキュリティ対策は、APIのセキュリティ対策に大きく依存しています。APIは、他のプログラムが自動的にデータを要求したり、送信したり、他のアクションを実行できるように設計されています。
APIの設計は、クレデンシャル・スタッフィング攻撃、脆弱性スキャン、DDoS攻撃など、ある種の自動化攻撃の理想的なターゲットとなります。これらのAPIがサイバー犯罪者の標的となることが増えるにつれ、ビジネスを成功させるためにAPI固有の攻撃ベクトルに対する防御策を導入することが重要となっています。
#6. IoTに起因するサイバー攻撃の増加
IoTデバイスは、驚異的な成長を遂げています。5Gネットワークの拡張により、高速かつ高性能なネットワーク接続がもたらされ、これらのデバイスをあらゆる場所に配備することが可能となりました。これらのデバイスが成熟するにつれて、機密性の高いビジネスデータの収集、処理、保存に使用されることが多くなるでしょう。
これらのデバイスは、多くの組織にとってますます重要なものとなる一方、攻撃や侵害のリスクを増加させます。IoTデバイスは常時利用可能であるため、継続的な攻撃の理想的なターゲットとなることが大きな脅威となります。これらのデバイスには、脆弱なパスワードやパッチの未適用による脆弱性など、しばしばセキュリティ上の問題が見られます。機密性の高い貴重なデータを扱うIoT機器が企業ネットワークに導入されるようになった現在、これらの機器に対するサイバー攻撃は増加の一途を辿っています。
#7. 保険適用外となるサイバー攻撃の増加
サイバーセキュリティ保険は、組織によるサイバーセキュリティへのリスク管理において重要な対応策の一つです。サイバーセキュリティ保険をデフォルトのサイバーセキュリティ戦略とする企業も一部見受けられます。これらの企業は、ランサムウェア攻撃を受けた場合、身代金や復旧・通知費用を含むすべての費用を保険会社が負担してくれることを期待しています。
しかし、高額なランサムウェア攻撃の急増により、一部の保険プロバイダーは補償スキームにおける選択肢の設定を進めています。これには、保険契約の締結と維持の条件として、顧客に求められるサイバーセキュリティの改善とセキュリティ基準への準拠の証明要件の強化が含まれます。最終的には、補償の範囲は限定され、攻撃被害がより普及し高額になり続ければ(将来的にはおそらくそうなると思われる)、補償自体が提供されなくなるかもしれません。
#8. サイバーレジリエンスが経営者の優先事項となる
サイバー犯罪者は、ビジネスの中断に焦点を当てた攻撃への移行を強めています。ランサムウェア攻撃を受けると、企業の重要なリソースへのアクセスが拒否され、正規ユーザーが企業システムにアクセスできなくなります。こうして、サイバー犯罪者により企業の運営能力や収益性が脅かされ、企業は危険にさらされるのです。
ビジネスに対するサイバー攻撃の脅威が高まり、サイバーレジリエンスは経営上層部にとって優先事項となっています。サイバー攻撃がビジネスを崩壊させる可能性があるのであれば、こうしたリスクを管理または軽減できる予防的なソリューションに投資することは、戦略的にも財務的にも理にかなっているのです。
これらの予測は企業にとって何を意味するのか
サイバーセキュリティの進化は、2023年も企業のセキュリティプラットフォームの進化を促進することになります。レガシーセキュリティアーキテクチャは、最新のよりダイナミックなITアーキテクチャと急速に進化するサイバー脅威のために設計されたソリューションに置き換える必要があります。
Cato SASE CloudとSSE 360ソリューションは、最新のサイバー脅威に対する、企業の全体的な保護を提供するセキュリティアーキテクチャの実装を支援します。貴社のネットワークパフォーマンスと、セキュリティの向上にCatoがどのように貢献できるかについてお確かめいただくためには、デモをお申し込みください。
重要なアプリケーションがMicrosoft Azu...
Azure SD-WAN:Cato Networksによるクラウドデータセンターの統合 重要なアプリケーションがMicrosoft Azureへと移行する今、企業はコスト増加と複雑さを抑えながら、必要なクラウド提供が可能なWANの構築を行うという課題に直面しています。これまでに、Azure SD-WANの構築を実現する優れたアプローチは存在しませんでした。CatoのAzure SD-WANへのアプローチは、パフォーマンスを向上し、セキュリティを簡素化し、さらに適正な価格で提供されます。どう実現されるのかを紹介します。
Azure SD-WANが抱えるMPLSとSD-WANの問題点
組織がAzureに依存し始めるにつれ、次第に次の2つの問題が明らかになってきます。1つ目の問題は、Azureインスタンスのセキュリティの確保をどう実現するかです。Azureで仮想ファイアウォールを実行すると、クラウドのコンピュートリソースとサードパーティのライセンスを追加購入する必要があるため、複雑化し、多大な費用がかかります。さらに、仮想ファイアウォールの容量には限りがあり、トラフィックが増加するとアップグレードが必要になります。ファイアウォールがネットワークを圧迫するため、クラウドのパフォーマンスが突然低下する可能性もあります。また別のクラウドインスタンスを追加するには別のツールが必要となり、運用が複雑になってしまいます。
引き続き集中セキュリティゲートウェイに頼ることで、各拠点のゲートウェイ検査からトラフィックを返送し、インターネットを越えてAzureにトラフィックを送信することができます。Azure ExpressRoute(閉域網)などのプレミアム接続サービスを利用することで、ゲートウェイとAzure間の接続を改善することもできますが、ここで「接続性」にどう対処するのかという2つ目の問題が出てきます。
Azureへの入口から少し離れた場所にある拠点は、Azureに到達する前にトラフィックを集中ゲートウェイに戻して検査する必要があります。このアプローチは、MPLSネットワークから離れた場所にいるモバイル・ユーザーには役に立ちません。
また、クラウド戦略が進化し、Amazon AWSやGoogle Cloudなど、他のクラウドデータセンターサービスを追加したらどうなるでしょうか。今度は、全く新しいセキュリティと接続性のソリューションが必要となり、さらにコストと複雑さが増すのです。
また、エッジSD-WANにはセキュリティが組み込まれていないため、これも同様にこの問題には対処できません。プライベートなグローバルネットワークもないため、予測可能な接続性を確保するためにMPLSに依存することになります。エッジSD-WANソリューションでは、Azureクラウドに接続するために追加のエッジSD-WANアプライアンスを導入するコストと複雑さも追加されます。そしてまた、エッジSD-WANの対象外であるモバイルユーザーには何の役にも立たないのです。
CatoとAzureをつなぐAzure SD-WANのしくみ
Catoは、Azure SD-WANの接続性とセキュリティの課題をすべて解決します。Catoは、世界中に75以上のPoP(Point of Presence)を持つグローバルプライベートバックボーンを有しており、適正な価格でプレミアム接続を提供しています。CatoのPoPの多くは、Azureへの入り口と同じ物理データセンター内に設置されています。AzureからCatoへの接続は、高速なLAN接続を横断するだけで、Catoのお客様はExpressRouteと同等のパフォーマンスを追加料金なしで手に入れることができます。
Catoの顧客が、このCatoのユニークなアプローチを利用のためにすべきことは2つです。まず、エージェントレス構成を利用してCatoとAzureを接続するために、2つのサービス間でIPsecトンネルを確立し、Azureトラフィックの出口ポイントとしてPoPを確立します。エージェントや仮想アプライアンスの追加導入の必要はありません。Catoは、Cato PoPからのAzureトラフィックを最適化し、Cato Cloudを経由して目的のPoPまで最短かつ最速の経路でルーティングします。
次に、サイトとモバイルユーザーは、インターネット接続を介して最寄りのCato PoPに暗号化されたトンネルを確立することによって、AzureトラフィックをCatoに送信します。サイトは、CatoのSD-WANアプライアンス「Cato Socket」を実行するか、既存のサードパーティ製セキュリティデバイスからIPsecトンネルを確立します。モバイルユーザーは、デバイス上でCatoモバイルクライアントを実行します。
また、すべてのCato SD-WAN機能をAzureで活用したい場合は、IPsecトンネルの代わりに簡単にCatoの仮想ソケットを導入可能で、自動PoP選択、高可用性、自動フェイルオーバーなどの機能を備えます。Catoの仮想ソケットは、数分で簡単に導入できるのが魅力です。Catoの仮想ソケットを導入するには、AzureマーケットプレイスでCato Networksを検索し、「Get It Now」をクリックして概略の構成ガイドラインに従ってください。
Azure SD-WANによるAzureリソースの保護方法
接続性に加えて、CatoのAzure SD-WANソリューションは、ネットワークベースの脅威からクラウドリソースを保護します。すべてのCatoのPoPは、Catoのあらゆるセキュリティサービスを提供し、バックホールの必要性を排除します。
Cato Security as a Serviceは、エンタープライズグレードの高速ネットワークセキュリティ機能を提供するフルマネージドパッケージです。現在は、アプリケーション対応の次世代ファイアウォール・アズ・ア・サービス(FWaaS)、セキュアWebゲートウェイ(SWG)、標準および次世代型アンチマルウェア(NGAM)、マネージドIPS(IPS)、クラウド・アクセス・セキュリティ・ブローカー(CASB)などを有します。Catoは、侵害されたエンドポイントを検出する総合的な検知と対応のマネージドサービス(MDR)サービスにより、さらにお客様のネットワークの安全性を高めます。
Azureインスタンスやサイト、モバイルユーザー、その他のクラウドリソースを含むCatoに接続されたすべてのリソースは、共通のセキュリティポリシーセットで保護されるため、Azureやその他のクラウド環境に固有のセキュリティツール導入時の混乱を回避できます。
Azure SD-WANのメリット
Azure SD-WANは、最小限の複雑さとコストで接続性とセキュリティを実現することができます。
Microsoft Azureの優れたパフォーマンス
Microsoft Azureアプリケーションのパフォーマンスは、グローバルなCatoのPoPとプライベートバックボーン、そしてMicrosoft Azureコロケーションの組み合わせにより、一般的な企業のインターネットベースの接続に比べて最大20倍の速度を実現します。遅延が最小限に抑えられるだけでなく、Catoに組み込まれたネットワークの最適化により、データ転送のスループットはさらに改善されます。これらすべてが、支社やモバイルユーザーのために提供される結果、クラウドプロバイダーによる特別なトランスポートサービスを利用せずとも優れたユーザーエクスペリエンスの実現が可能となります。
セキュリティと導入の簡素化
Catoを利用することで、低遅延のクラウド接続実現のために不可欠なインターネットへの直接アクセスのための、多数の拠点向けセキュリティソリューションの規模や調達、管理を忘れることができます。クラウドリソースも、企業バックボーン上の他のリソースやユーザーと同じセキュリティポリシーセットで保護されます。Catoのエージェントレス構成は、顧客がAzureクラウドにSD-WANアプライアンスを追加インストールする必要はありません。マルチクラウドに対応する企業にとって、この点は特に大きなメリットとなります。通常は、プライベートデータセンターサービスごとに個別の接続ソリューションが必要となります(Azureの追加機能をご利用になりたい場合は、Catoの仮想ソケットを使って数分で統合することができます)。
Networking and security agility
シンプルなCatoのSD-WANや、Azureとの統合、ビルトインされたセキュリティスタックにより、拠点やモバイルユーザーは最大数時間でMicrosoft Azureに接続することができます。これに対し、アプライアンスベースのSD-WANは数週間から数ヶ月の時間を要します。
適正な価格と迅速なROI向上
企業は、拠点のSD-WANハードウェア、キャリアのSD-WANサービス、Microsoft Azure ExpressRouteトランスポートなどの高額なコストを排除し、優れたクラウドパフォーマンスをの恩恵を手に入れることができます。また、Catoでクラウドリソースを保護するのには、追加のセキュリティサービスに投資する必要がありません。
Catoとクラウドの統合方法の詳細については、Cato Networksにお問い合わせいただくか、データセンター用ファイアウォールのクラウド移行に関するeBookをご覧ください。
ChatGPTに代表される生成系AIは、自然言語処...
急速に進化するChatGPTなどの生成系AIがサイバーセキュリティに及ぼす影響とは ChatGPTに代表される生成系AIは、自然言語処理や画像処理の分野での進歩により、より人間に近い自然な表現力を持つようになりました。その精度は非常に高く、言うなれば、もはやこの記事を書いているのが人間なのかAIなのか誰にもわからないという状況にあるのです。
生成系AIがサイバーセキュリティにもたらすメリット
数百もの新たな生成系AIが毎週リリースされ、各分野に及ぼす影響がますます拡大する中、サイバーセキュリティ分野においては次のようなメリットが期待されています。
セキュリティ攻撃の予測と検知:AIは過去の攻撃パターンに基づいて、未来の攻撃を予測し、適切な対策を取ることができます。また、不正アクセスやマルウェアなどの攻撃を検知することもできます。
マルウェアの生成と分析:AIによりマルウェアを生成することで、セキュリティ対策の改善や、マルウェア攻撃の対策を取るための情報を得ることができます。
セキュリティの自動化:セキュリティ関連のタスクの自動化が可能です。例えば、異常なネットワークトラフィックを検知し、自動的にブロックすることなどができます。
セキュリティの改善:AIはセキュリティ関連のデータを収集し、分析することにより、セキュリティの脆弱性や問題を特定し、改善することができます。
セキュリティの教育:生成系AIは、セキュリティ関連のトレーニングや教育に利用することができます。例えば、従業員がフィッシング詐欺に引っかかるリスクを減らすために、シミュレーションを行うことができます。
デメリットと懸念事項
しかしこれらは、生成系AIを良い目的で使う場合の話であり、悪用を試みる人がいた場合、これらはすべてそのまま懸念材料にもなり得ます。以下は、主な予想されるデメリットです。
マルウェアの生成:攻撃者が生成系AIを使用して、標的に対してカスタマイズされたマルウェアを作成することができるため、マルウェアの攻撃パターンを追跡することがより困難になる可能性があります。
自動化された攻撃の増加:攻撃者による攻撃を自動化することができ、より効率的な攻撃が可能になります。
サイバーセキュリティ研究論文の悪用:サイバーセキュリティに関連する研究が悪用され、攻撃者がより洗練された攻撃手法を開発するために使用される可能性があります。
フィッシング攻撃の増加:AI生成された偽のメールやWebサイトはより各言語において自然な文脈となるため、攻撃が洗練されます。
偽造された情報の拡散:偽造されたビデオや音声を作成ができるため、それを利用した詐欺やフィッシング攻撃により、人々の安全が脅かされる可能性があります。
データのプライバシー問題:攻撃者は個人情報を収集し、その情報を悪用することができます。
不正利用のリスク:攻撃者のシステム侵入および不正アクセスのリスクが増加する可能性があります。
セキュリティ上の脆弱性の特定:大量のテキストデータを学習して自然言語を生成することができるという特性を利用して、セキュリティ上の脆弱性を特定することができます。
AIの誤解釈:与えられた情報に基づいて自動的に判断を下す、AIそのものが攻撃対象となる可能性があります。例えばAIが偽情報を学習した場合、不適切な判断を下す可能性がでてきます。
適切な規制やガイドライン導入が必要
このように、生成系AIがサイバーセキュリティ業界にもたらす可能性は表裏一体となっており、慎重な検討が必要です。適切な規制やガイドラインを導入することで、生成系AIの利用を管理する必要があるでしょう。同時に、生成系AIの技術の発展を追跡し、新しい脅威や攻撃のタイプに対する防御策を開発することが急務といえるでしょう。
効率性と高いパフォーマンスを保証する、信頼性の高い...
MPLSのメリットとデメリット:ご利用中のネットワークに合致していますか? 効率性と高いパフォーマンスを保証する、信頼性の高いルーティング技術であるMPLS。しかしリモートワークの普及、モバイル接続の増加、クラウドベースのインフラの台頭に代表される世界的な変化により、企業はMPLSネットワーク戦略を考え直す必要に迫られています。当ブログ記事では、MPLSとは何か、どのように機能するのか、MPLSのメリットとデメリット、その次は何を検討するべきかについて説明します。
MPLSとは?
MPLS(Multiprotocol Label Switching)とは、ルーターがリアルタイムでデータの転送先(ネクストホップ)を決定するのではなく、あらかじめ決められた経路を基に決定するネットワークルーティング技術です。複雑なルーティングテーブル上でアドレスの宛先を調べる代わりに、ルーターはパケットのラベルを見るだけでよいので、より迅速で効率的なルーティングが可能となります。またMPLSを利用するには専用の接続を設定しなければならないため、事実上のプライベートネットワークといえます。
MPLSの仕組み
MPLSでは経路上の最初のルータによって、データパケットがネットワークに入るときにラベルが割り当てられます。そしてラベルはパケットが通るべき経路をあらかじめ決定します。ラベルには値の他に、必要なQoS(Quality of Service、サービス品質)、スタック内のラベルの位置、タイム・トゥー・ライブ(Time To Live)を決定するための追加フィールドが含まれています。パケットはこのラベルに基づき、経路上の次のルーターにルーティングされます。
パケットを受信した2番目のルーターはこのラベルを読み取り、ネットワーク内の次の転送先を決定するために使用します。またパケットから既存のラベルを取り外し、新しいラベルを取り付けます。このプロセスは、データパケットが宛先に到達するまで繰り返されます。経路上最後のルーターは、データパケットからラベルを取り外します。
経路があらかじめ決まっているため、ルーターはラベルを読み取るだけで、パケットのIPアドレスを確認する必要がありません。よって、より高速かつ効率的なルーティングが可能になるのです。
MPLSルーティング用語集:
ラベル・エッジ・ルーター(LER)ー 最初または最後のルーター。データに最初のラベルを割り当てて経路を決定するか、パケットからラベルを取り外す。最初のルーターはIngress Label Switching Router(IngressLSR)、最後のルーターはEgress LSRとも呼ばれる。
ラベル・スイッチ・ルーター(LSR)ー 経路上のルーター。ラベルの読み取りと切り替えおよび、パケットの転送先の決定をする。
ラベル・スイッチ・パス(LSP)ー パケットが通過するネットワーク上の経路。
ここでMPLSルーティングのメリットとデメリットを確認しましょう。
リンク:誰も教えてくれないMPLSのこと | 詳しく読む
MPLSのメリット
MPLSにより、ネットワーク管理者やビジネスにもたらされる複数の利点は以下の通りです。
確実性
ラベルに基づいたルーティングをプライベートネットワーク上で行うことにより、パケットを宛先に確実に届けることが可能となります。また、MPLSではパケットの種類に応じて優先順位をつけることができ、例えばリアルタイムのビデオパケットを、より遅延の少ない経路でルーティングすることもできます。この確実性はSLA(Service Level Agreement、サービス水準合意)によって保証され、MPLSプロバイダーがサービス停止を解決したり、ペナルティを支払うかについても保証されています。
高パフォーマンス
高品質、低遅延、低ジッターのパフォーマンスを保証するMPLS専用インフラにより、効率性と優れたユーザーエクスペリエンスが保証されます。また音声やビデオ、ミッションクリティカルな情報などのリアルタイム通信にも不可欠です。
MPLSのデメリット
ただし、MPLSには次のような欠点もあります。
費用が高い
広帯域、高パフォーマンス、競争力のあるSLAを確保するため、MPLSサービスは高価です。また必要とされるプライベート接続の導入やアップグレードは、リソース集約的なプロセスになる可能性があります。
柔軟性の欠如
MPLSはクラウドではなく、ポイント・ツー・ポイント接続用に構築されています。そのため、WANにはロケーションの再構成や新規展開をするための集中型オペレーションセンターがなく、迅速なスケーラビリティを実現できません。
全てのエッジをサポートしない
MPLSは専用インフラを必要とするため、クラウドに拡張することはできません。そのため、リモートユーザーやSaaSアプリケーションへの接続には適していません。
結論
企業のレガシー・アプリケーションのための信頼できるソリューションです。しかしクラウドやリモートワークへの移行に伴い、企業はネットワーク戦略を再考し、よりコスト効率が高く効率的なソリューションを導入する必要があります。SASE(Secure Access Service Edge)は、MPLS、SD-WANなどの利点を全て兼ね備えた代替手段です。
SASEについてより詳しく知りたい方、またMPLS接続の改善方法については、当社までお問い合わせください。
主要なネットワーク・プロバイダやネットワークセキュ...
ガートナーのシングルベンダーSASE製品マーケットガイド:SASEマジック・クアドラントレポートに最も近い製品とは 主要なネットワーク・プロバイダやネットワークセキュリティベンダーがSecure Access Service Edge(SASE)の採用をはじめて以来、ITリーダー達はガートナーによるSASEマジック・クアドラントレポートを待ち望んでいます。
これは一体、どのような理由があるのでしょうか。
この業界では、様々なアプローチによる製品がSASEとして販売されています。ある企業は他の企業と提携し、一部だけが統合された製品による共同ソリューションを提供しています。ZscalerとそのほとんどのSD-WANパートナーがそれに当たります。また別の企業は、単に既存のソリューションをSASEとしてリブランディングしました。VMware SD-WAN(以前のVeloCloud)がVMware SASEへと呼称を変更したのがこの例にあたります。
市場が統合されたことにより、何年もかけて統合する必要があるような、本質的に異なるサービスを提供する会社がさらに増えています。例えば、HPE、Aruba、Silver Peakは統合作業を行うことでSASE製品を生み出しています。一方Cato Networksは、完全に統合されたグローバルネットワークとセキュリティのソリューションを一から構築するという、全く異なる道を選びました。ガートナーはこれを「シングルベンダーSASE」と呼んでいます。
SASEマジック・クアドラントレポートが発表されれば、このような業界の混乱は沈静化し、誰がリーダーであるかが明らかとなるでしょう。ガートナーは、まだSASEマジック・クアドラント発表の準備はできていないようですが、次善の策として、SASE市場、特にシングルベンダーSASEを詳細に分析したMarket Guide for Single-Vendor SASE(シングルベンダーSASEのマーケットガイド)を発行しています。
大幅な拡大が予想されるシングルベンダーSASE市場
シングルベンダーSASEとは、クラウド中心のアーキテクチャを使用し、ネットワークとSecurity as a Service(SECaaS)を統合した機能を提供するものであるとガートナーにより定義されています。Catoは、シングルベンダーSASEプロトタイプのリーダーです。シングルベンダーSASEのサービス例としては、SD-WAN、SWG、FWaaS、ZTNA、CASBなどがあります。これらすべてのサービスが、基本的なアーキテクチャ、サービス提供、および管理インターフェイスにおいて完全に統合されている点が重要です。シングルベンダーSASEが他のアプローチと異なるのは、これらが本当に単一クラウドサービスである点です。
こういった統合サービスは、シングルベンダーSASE市場の新たな参入者たちの全機能を網羅しているかもしれませんが、Catoにとってはスタート地点に過ぎません。これらのサービスに加え、Catoはグローバルプライベートバックボーン、データ漏洩防止(DLP)、迅速かつ精度の高い脆弱性軽減(CVEベース)、検知対応のマネージドサービス(MDR)、SaaS最適化、UCとUCaaS最適化などを含む様々な機能を提供しています。
ガートナーは、シングルベンダーSASEの導入が今後数年間で急速に進み、2022年のシングルベンダーSASEソリューションの導入が全体の10%だったのに対し、2025年までに新規SASE導入の3分の1がシングルベンダーになるとしています。また同じ時期までに、SD-WANの新規購入の半分が、シングルベンダーSASEのソリューションに含まれるだろうとも予想しています。
この市場の大きな成長要因となったのは、導入されるソリューションやベンダーの数を減らし、シンプルにすべきであるという要望です。Catoは長年にわたり、エンタープライズクラスの機能を提供しつつ、複雑さの低減も実現してきました。
ガートナー® シングルベンダーSASEのマーケットガイド | レポート
この「未熟な」市場の未来を牽引するCato
レポートの著者は「シングルベンダーSASEは、コアカテゴリーに含まれる各機能を所有、または直接管理している(OEM、パートナーとのサービスチェーンではない)必要がある」と述べています。「適切に設計された」ソリューションは、すべてのサービスが完全に統合されていること、単一の統合制御プレーンと単一のセキュリティポリシー、統一された拡張可能なソフトウェアベースのアーキテクチャ、および柔軟性と使いやすさを備えていることが必要とされます。レポートでは、セキュアWebゲートウェイ、CASB(クラウドアクセスセキュリティブローカー)、ZTNA(ゼロトラストネットワークアクセス)、SD-WANの各分野における中核的な機能要件が挙げられています。
ガートナーは、「未熟な」業界には、分析会社の最低要件を満たすベンダーが複数存在しており、似て非なるも多く存在すると指摘します。
シングルベンダーSASEは、ネットワークとセキュリティを1つのソリューションにまとめ、多くの機能を提供します。そのためガートナーは、ネットワーク専門家とセキュリティ専門家の合同チームを編成し、組織の最も重要なニーズに基づいてソリューションを評価するよう推奨しています。
シングルベンダーSASEによる沢山のメリット
このように、シングルベンダーSASEは多くのメリットを持っています。ガートナーは、シングルベンダーSASEソリューション導入の理由として、以下を挙げています。
組織のセキュリティ体制の向上:様々なセキュリティ機能の複雑さが軽減され、あらゆる場所で単一のポリシーが適用されることで、攻撃対象が縮小することによりもたらされます。
ネットワークとセキュリティスタッフのマンパワーの有効活用:導入時間の短縮、統合されたプラットフォームによる管理スキルやリソースの削減、様々なセキュリティ機能に単一のポリシーが適用されることから、無駄な作業から開放されます。
ユーザーとシステム管理者のエクスペリエンスの向上:レイテンシーやジッタなどのパフォーマンス問題を抑制あるいは排除しやすくなり、問題をエンドツーエンドで診断することが容易になるほか、ログやその他のイベントデータのリポジトリも一元化されます。
もちろん、このようなソリューションの導入にあたっては、組織の縦割り構造や、既存のIT投資についてどうするかなどの課題もあります。また、初期段階のベンダーにとっては、グローバルなカバレッジが問題になることもあります。Catoは現在、世界中に75以上のPoPを持ち、広範囲をカバーしています。ソリューションの成熟度が問題となるのは、主に新規参入ベンダーの問題であるとガートナーは述べています。Catoは、シングルベンダーSASE業界において8年以上の実績があり、市場で最も成熟したベンダーの一社です。
ガートナーの推奨
ガートナーは、戦略・計画、評価、導入に関する推奨事項を発表しています。
ネットワークとセキュリティの両方を担当する部門横断的なチームを立ち上げ、実装成功の可能性を高めること
シングルベンダーSASEと、マルチベンダーまたはマネージドベンダーSASEと比較して評価し、どの方式が最も柔軟性があるか判断すること
シングルパス・スキャン、単一統合コンソール、全機能をカバーするデータレイクを提供するシングルベンダーSASEを選択し、ユーザー体験とスタッフの効率性を改善すること(Catoはこれら全てを提供しています)
概念実証(PoC)プロジェクトを実際のロケーションとユーザーで行い、ニーズをどの程度満たすことができるかを検証すること(Catoは、いますぐPoCのセットアップが可能です)
最も成熟した、機能豊富なシングルベンダーSASEをお探しなら、世界中で最も多くのPoPを持つCato Networksをおいて他にはありません。デモのご依頼はこちらから。https://www.catonetworks.com/ja/contact-us/.
サイバーセキュリティ関連の略語や略称は、AVやVP...
覚えておきたいサイバーセキュリティ関連略称・略語26選 サイバーセキュリティ関連の略語や略称は、AVやVPNといった馴染みの深い単語以外にも多く存在します。ここでは、常に進化し続けるサイバーセキュリティにまつわる状況への対応に役立つ、主要な略語をご紹介します。
SASE
SASE(セキュアアクセスサービスエッジ)は、ネットワークとセキュリティの機能を統合したクラウドベースのソリューションです。SASEに実装されたSD-WAN機能がネットワークを最適化し、次世代ファイアウォール(NGFW)、セキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)などを含む統合セキュリティスタックが企業WAN上のトラフィックを安全に保護します。この用語を生み出したガートナーは、SASEを「ネットワーク・セキュリティの未来」であると位置づけています。
CASB
クラウド・アプリケーションとユーザーの間に位置するのがクラウド・アクセス・セキュリティ・ブローカー(CASB)です。クラウドベースのアプリケーションとのすべてのやりとりを監視し、企業のセキュリティ・ポリシーを適用します。クラウドの導入が進むにつれ、CASB(SASEソリューションにネイティブに統合されている)は、企業のセキュリティ・ポリシーに不可欠な要素となっています。
ZTNA
Software-Defined Perimeter(SDP:ソフトウェア定義の境界)とも呼ばれるZero Trust Network Access(ZTNA)は、VPNに代わる安全なリモートアクセスのためのソリューションです。VPNと違って、ZTNAはゼロ・トラスト・セキュリティ・ポリシーに準拠し、臨機応変に企業リソースへのアクセスを提供します。ZTNAを、SASEソリューションの一部として導入することで、分散化した今日のリモートワーカーをサポートすることが可能です。
SDP
Software-Defined Perimeter (SDP:ソフトウェア定義の境界)は、ZTNAの別名です。従来型のリモートアクセスソリューションとは異なり、ゼロトラストの原則を適用したセキュアなリモートアクセスソリューションです。
ZTE
Zero Trust Edge(ZTE)は、Forrester版のSASEといえるでしょう。物理的に離れている拠点およびワーカーに、ZTNAを使用することでより安全なインターネット接続ポイントを提供します。ZTEモデルは、ネットワークエッジにセキュリティ機能を分散させ、企業WAN全体にゼロトラスト原則を適用するSASEとともに導入するのが効果的です。
DPI
ディープパケットインスペクション(DPI)は、ネットワークパケットのヘッダだけでなく内容も検査する機能で、アプリケーション層で発生するサイバー攻撃検知のために不可欠です。SASEソリューションでは、DPIを利用することで統合型セキュリティ機能をサポートしています。
NGFW
ディープパケットインスペクション(DPI)を使用して、レイヤー7のアプリケーション・トラフィック解析と侵入検知を実行するのが次世代ファイアウォール(NGFW)です。また、情報に基づいた脅威の判断を行うために脅威インテリジェンスを使用する機能を備え、従来のファイアウォールのポート/ プロトコルインスペクションを超えるそれ以上の高度な機能を搭載していることもあります。
FWaaS
Firewall as a Service(FWaaS)は、NGFWの機能をクラウドベースのサービスとして提供する、SASEソリューションの基盤となるセキュリティ機能の1つです。
IPS
Intrusion Prevention System(IPS)は、ネットワークやシステムに対する攻撃の試みを検知し、ブロックするために設計されました。侵入検知システム(IDS)のように警告を発するだけでなく、必要に応じてファイアウォールのルールを更新するなどして、悪意のあるトラフィックをブロックすることができます。
SWG
Secure Web Gateway(SWG)は、フィッシングやマルウェアなどのインターネット上の脅威から保護と、インターネット閲覧に関する企業ポリシーの実施のために設計されています。SWGはSASEソリューションの組み込み機能であり、企業の全従業員に安全なブラウジングを提供します。
NG-AM
次世代マルウェア対策(NG-AM)は、機械学習や異常検知といった高度な技術を使って潜在的なマルウェアを特定します。これによって、従来のシグネチャベースの検知スキームを回避するように設計された、最新のマルウェアを検知することができます。
UTM
統合脅威管理(UTM:Unified Threat Management)は、複数の異なるネットワークセキュリティ機能を提供するセキュリティソリューションを表す用語です。SASEは、ネットワークセキュリティに必要なすべての機能をクラウドサービスで提供するため、UTMアプライアンスのライフサイクル管理をシンプルにします。
DLP
情報漏洩防止(DLP:Data Loss Prevention)ソリューションは、故意または偶発的なデータ漏洩試行の特定と対処をします。SASEのもつ詳細なネットワーク可視性は、企業WAN全体にわたるDLP機能の提供を可能とします。
WAF
Webアプリケーションファイアウォール(WAF)は、Webアプリケーションへのトラフィックを監視・フィルタリングし、Webアプリケーションの悪用やデータ窃盗試行をブロックします。SASEは、オンプレミスのデータセンターおよびクラウドの両方で、Webアプリケーションを保護するためのWAF機能を実装しています。
SIEM
Security Information and Event Management(SIEM:セキュリティ情報イベント管理)は、セキュリティアプライアンスからデータを収集、集約、分析し、コンテキストに沿ったデータとアラートをセキュリティチームに提供します。この機能は、SASEなどの統合されたネットワーク・セキュリティ・インフラストラクチャではなく、多くのスタンドアロン・ソリューションに依存するレガシーセキュリティの配置に必要とされるものです。
SOC
サイバー攻撃から企業を保護する役割を担うのが、セキュリティオペレーションセンター(SOC)です。セキュリティアナリストがアラートを調査し、それが実際のインシデントであるかどうかを判断し、インシデントレスポンスと修復を行います。
MDR
Managed Detection and Response(MDR:検知と対応のマネージドサービス)は、AIや機械学習を利用して脅威の調査、警告、封じ込めを行い、継続的に脅威の検知と対応を行うマネージドセキュリティサービスモデルです。SASEソリューションにMDRを組み込むことで、SOCチームはあらゆるトラフィックを瞬時に完全に可視化できるため、ネットワークプローブやソフトウェアエージェントの追加の必要がありません。
TLS
トランスポート・レイヤー・セキュリティ(TLS)は、トラフィックをレイヤーで覆うことで暗号化し、サーバーとクライアントの認証を行うネットワークプロトコルです。WebブラウジングにおけるHTTPとHTTPSの違いが、TLSとなります。
SSL
TLSの前身にあたるのがSecure Sockets Layer (SSL)プロトコルで、しばしばSSLまたはTLSとも呼ばれます。
TI
サイバー攻撃の検知と防止に役立つように設計された情報のことを、脅威インテリジェンス(TI: Threat Intelligence)といいます。TIには、マルウェアのシグネチャ、既知の悪質なIPアドレスやドメイン名、現在のサイバー攻撃キャンペーンに関する情報などが含まれることがあります。
CVE
Common Vulnerabilities and Exposure(CVE:共通脆弱性識別子)は、一般公開されているコンピューターのセキュリティ上の欠陥のリストです。新たに発見された脆弱性には、MITRE社などの機関によりCVEが付与され、脆弱性の名称や説明が異なる複数のソース間での情報の追跡と照合を容易にします。
APT
Advanced Persistent Threat(APT:標的型攻撃)は、国家や組織犯罪から資金提供を受ける、高度なサイバー脅威の実行者を通常指します。企業のサイバーセキュリティに持続的な脅威を与えるために必要なリソースと能力を持つという事実から名付けられました。
DDoS
分散型サービス妨害(DDoS: Distributed Denial of Service)攻撃とは、複数の侵害されたシステムが標的となるサービスに対してスパムリクエストを送信するものです。この攻撃の目的は、ターゲットとなるシステムに極端な量のリクエストを送信し、本来のユーザーによるリクエストに応答できないようにすることです。
XDR
Extended Detection and Response(XDR)は、複数の異なるセキュリティ機能を統合し、サイバー脅威に対してより包括的でまとまりのある保護を提供するクラウドベースのソリューションです。高度でステルス性の高いサイバー攻撃を特定し、ブロックすることで、攻撃に対する主体的防御を実現します。
SSE
セキュリティサービスエッジ(SSE)は、セキュリティ機能をネットワークの境界からネットワークのエッジに移動させるものであり、これはSASEソリューションの基本原理でもあります。
IoC
Indicators of Compromise (IoC) は、マルウェアのシグネチャ、既知のIPアドレスやドメインなど、システムがサイバー攻撃によって侵害されているかどうかを判断するために使用できるデータです。IOCは、一般的に脅威インテリジェンスフィードの一部として配布されます。
CISOへの道は人それぞれ CISOになるための道...
CISOになるために:5ステップの行動計画 CISOへの道は人それぞれ
CISOになるための道は決してひとつではありません。
ですから、ご自身のキャリアパスが上記に当てはまらなくても、所謂「典型的」なものでなくても落胆しないでください。最終目標が「CISOになること」であるのなら問題ありません。今章では、IT、IS、またはサイバーセキュリティにおける現在の職務から、世界レベルのCISOになるための総合的な行動計画について解説します。
ステップ1:
CISOになるためには、視点を変える必要がある
IS、IT、サイバーセキュリティとCISOの役割の違い:戦術的な役割から戦略的な役割へ
セキュリティ・エンジニアから未来のCISOへとシフトする
CISOになりたいセキュリティ・エンジニアはしばしば焦点が狂いがちです。セキュリティ・エンジニアとして成功するためには、問題解決にフォーカスすることが重要です。一流のセキュリティ専門家であるためには、他の人が見つけることのできない脆弱性を特定し、修正することにかけてプロフェッショナルである必要があります。
CISOを目指すものとしてどう考え、行動するか
CISOは、セキュリティ・エンジニアが発見した問題の解決策を、経営幹部、CEO、取締役会向けに提案します。CISOとしての役割を果たすには、問題志向から解決志向への変換スキルが必須です。
CISOになる際に犯しがちな間違いとして、自分の技術的能力を売り込むという最も慣れ親しんだ方法でリードしてしまうことがあります。セキュリティ・チームとの対話において技術的な理解は不可欠ですが、経営陣や役員との対話では必要ありません。経営幹部や役員は、問題そのものではなく、解決策に関心を持っています。あなた自身はビジネスを完全に理解し、サイバー・ソリューションを特定し、ビジネス・リスク、利益、損失の観点からそれら自身を持って説明できなければなりません。新しいビジネスタスクを成功させるためには、ビジネス目標への成長予測を達成するためのイネーブラーとして、サイバー活用に重点を置いてください。
CISOになるために必要なスキル一覧
技術的な要件をビジネス要件に変換する
経営幹部、VPS、Cレベル、投資家、取締役会へのブリーフィングの実施
担当するビジネスを高レベルで理解する
(会社、目標、競合他社、年間売上高、売上予測、競合他社の直面する脅威など)
高度なコミュニケーション能力。効果的なメール送信、インパクトあるプレゼンテーション
リスク評価を実施し、機能性とセキュリティのバランシングをする
組織における収益と利益率の向上に注力する
問題志向ではなく、解決志向を重視する
ステップ2:
CISOの役割を明確にする:CISOの実際の役割とは?
CISOの役割と責任(R&R)を知る
CISOは、基本的にセキュリティ技術チームと経営陣の間を取り持つ存在です。
ステップ3:
CISOとして成功するために、何が重要であるかを判断する。
最終的にキャリアの成功を決定づけるのは、自分の役割の中でどう判断するかにかかっています。CISOはしばしば、ゼロサムセキュリティゲームにより自ら失敗の可能性を高めてしまうことがあります。
これは、セキュリティインシデントが発生する=CISOが解雇される=関係者すべての不利益となる、ということを意味します。
一方有能なCISOは、サイバーセキュリティとはセキュリティと機能性の確保という微妙なバランスの上に成り立つ行為であることを知っています。
100%のセキュリティとは0%の機能性を意味します。逆も然りです。
戦略的なCISOは、このことを理解し、CEOや取締役会と協力して露出を最小限に抑えながら、成功への現実的なKPIを確立し、成功への道を切り開きます。
CISOの役割を成功させるための指標を確立する
CISOの役割を成功させるためには?
唯一の成功の指標:99.999%の可用性
これにより、CISOは目標達成に必要とされるR&Rに集中することができます。
CISOのKPIとKPI設定プロセスの提案
組織において攻撃未遂が毎週何件発生しているかを分析し、ベンチマークを設定する。
エグゼクティブレポートに毎週の攻撃試行の指標(例:300 件)を記載する。
成功に向けたベンチマーク案を作成する:例: 98%の攻撃を防御する
提案したKPIについて、経営陣の同意を得る。
攻撃に関する指標(週次攻撃試行回数+防御回数)を定義し、経営陣に週次報告する。(セキュリティインシデントを経営幹部および取締役会に速やかに報告するようにする)
必要に応じてKPIを調整し、経営陣の同意を得る
ステップ4:
ギャップを意識する:現在の技術的なギャップとビジネス上のギャップを埋める
推奨される技術的教育
GIAC / GSEC Security Essentials
CISSP (セキュリティ プロフェッショナル認定資格制度)
またはCISM(公認情報セキュリティマネージャー)認定資格またはCISA(公認情報システム監査人)認定資格
SASE(セキュアアクセスサービスエッジ)認定資格
SSE(セキュリティサービスエッジ)認定資格
推奨される技術経験
IS、サイバーセキュリティ、ネットワーク、ITの分野で3~5年以上の経験を有し、セキュリティに強い関心を持っていること。
推奨されるビジネス教育
MBAまたは同等のビジネス学位、または関連するビジネス経験
CPAまたは会計コース
推奨されるビジネス経験
3〜5年のビジネス経験
ビジネスオペレーション、ビジネスマネジメント、SOCマネージャー、またはビジネス、マネジメント、リーダーシップのスキルを証明する職務経験
推奨される理解度:
業界のセキュリティの標準(NIST、ISO、SANS、COBIT、CERT、HIPAAを含む)
現行のデータプライバシー規制(例:GDPR、CCPA、地域別基準)
ステップ5:
CISOの仕事に未経験で就く方法
共通したジレンマ - 関連する経験を、未経験で積むにはどうしたらよいのでしょうか。
バーチャルCISOの役割を友人や家族の中小企業で引き受ける。
週に3時間、バーチャルCISOとしてサービスを提供する。
その代わり、月に3回推薦してもらい、ポジティブな参考文献としてのサービス提供を依頼する。
既存のCISOから指導を受けることは可能か?
友人、家族、元同僚など、コンタクト可能なCISOから始めてみましょう。
LinkedInでCISOにコンタクトを取り、お茶やディナーに招待する。
月に一度、夕食を共にし、指導を受けることができないか聞いてみましょう(彼らが決めた場所へ出向き、費用はあなた持ち)。
何度か断られたり、反応がなくても、がっかりしないでください。
最初のCISOとしての仕事を得るために:キャリアを成功させるためのアクションプラン
求人に応募する
履歴書を送付し、面接にこぎつけましょう。
1週目:
CISOの求人に既存の履歴書を20通送る。
何人が返信し、面接を申し込んだか(2週間以内)?
成功率が50~70%未満であれば、履歴書を修正する必要があります。
このプロセスを繰り返し、20通の履歴書送付ごとに、最低10通のポジティブな反応を得ることを目標とします(リクルーターが反応するまでは1.5~2週間ほどかかります)。
面接獲得のために履歴書を修正する
面接獲得率が50~70%に達しない場合は、履歴書を修正する必要があります。しかし、一体どこを修正すればいいのでしょうか?
CISOの履歴書における最も一般的な誤り(要注意!)
履歴書においては、技術的能力だけでなく、ビジネスセンスをアピールすべきです。前述の戦略的スキルを見直し、それらをアピールしましょう(関連する学歴、職歴、キャリアなどがあればそれも追加しましょう)。
経営陣や役員への説明経験はあるか?
有効なプレゼンテーションを行ったことがあるか?
リスク管理プログラムを作成し、組織全体の調整の経験があるか?
サイバーセキュリティのベストプラクティスに関するオンラインフォーラムを主宰しているか?
実際の技術的な能力だけでなく、ビジネスやリーダーシップに精通していることをアピールする方法を考えましょう。
面接ラウンド
通常、CISOの面接は5〜7回行われます。
覚えておこう:一次面接のゴールは、二次面接を受けることです。二次面接のゴールは、三次面接を受けることです。法務、財務、CEO、CIO、人事担当などとの面接に備えましょう。
ポジション獲得:CISO就任までの道のり
「未来を予測する最良の方法は、未来を創造することである」とは、アブラハム・リンカーンの言葉です。このガイドが、新しいエキサイティングなCISOとしての未来に向けたスタートとなることを願っています。皆さんと皆さんの将来の成功を信じています。幸運を祈ります。また、このガイドが役に立ったと感じたら、新たにCISOのポジションを探している友人や同僚に、積極的に共有してあげてください。
CISOのポジションを獲得した後にすべきこと
おめでとうございます!あなたはCISOとして採用されました。
ついにここまできましたね。CISOのポジションに初めて就きました。ここまでの努力と献身を、私たちはとても誇りに思います。新しい職務に就く前に、キャリアを成功に導くためのベストプラクティスをいくつかご紹介します。
CISOとして成功するために:念頭に置くべきこと
2016年以降、1000人以上のCISOと対話した結果、次のことを念頭に置くことが重要です。
CISOの焦点と影響を決めるネットワークセキュリティアーキテクチャ
組織や範囲に関わらず、CISOの役割は、約束したKPIを過不足なく満たすことです。そこで、セキュリティ・チームへの対応を事後対応型にするか、事前対応型にするかを決めなくてはなりません。セキュリティ脆弱性の精査やパッチ適用、異なるセキュリティ・ポリシーの緩和に時間を割きたいですか?それとも、収益を生み出す大きなミッションの達成にサイバーセキュリティを通じて専念したいですか?あなたは、ネットワーク・セキュリティ・アーキテクチャによって企業の攻撃対象領域を最小化し、自身と担当するチームが適切に注意を払うことができるようにしなければなりません。
そのために、WAN、クラウド、インターネットのトラフィックを完全に可視化・制御し、サイバーセキュリティを通じてビジネス目標を達成するためのタスクを実行する必要があります。さもなければ、サイバーセキュリティを通じたビジネスの実現は絵空事となり、機能が戦術的なものに戻ってしまいます。
Cato SSE 360 = SSE + 完全な可視化&制御
一貫性のないセキュリティポイントソリューションは、リソースに限りのあるセキュリティチームへの過度の負担となり、セキュリティ体制に影響を与え、設定ミスによる総合的リスクを増大させます。従来のSSE(Security Service Edge)への収束はこれらの課題を軽減しますが、インターネット、パブリッククラウドアプリケーション、一部の内部アプリケーションにしか可視性と制御は提供されません。WANトラフィックは精査されず、最適化もされないまま放置されます。また、シングルベンダーのSASEを基としないSSEプラットフォームでは、SD-WANへの収束を拡張し、SASEへアップグレードすることができません。
Cato NetworksのSSE 360 サービスはこの問題を解決します。SSE 360は、あらゆるWAN、クラウド、インターネットのアプリケーション・リソースに対して、またすべてのポートとプロトコルに渡って、すべてのトラフィックを最適化し、セキュリティを担保します。Catoの統合ネットワークセキュリティの全製品に関しては、SSE 360のホワイトペーパーをご覧ください。Cato SSE 360は、企業のISチームのニーズを満たす設定可能なセキュリティ・ポリシーを完備しています。
企業ネットワークのセキュリティ侵害において、悪意の...
ネットワーク上の悪質なボットを識別するための5つのステップ 企業ネットワークのセキュリティ侵害において、悪意のあるボットが深刻な被害をもたらすことは周知の事実です。ボットは、マルウェアを企業ネットワーク全体に伝播するために多く利用されます。しかし、ソフトウェアのアップデータなど、運用環境におけるルーチンプロセスの多くがボットであるため、悪意のあるボットの特定および削除は複雑になっています。
ごく最近まで、「悪い」ボットと「良い」ボットをセキュリティチームが区別するための効果的な方法は存在しませんでした。ボットを識別するとされるオープンソースのフィードやコミュニティルールはほとんど役に立たず、誤検出が多すぎます。結局セキュリティ・アナリストは、優良ボットによる無関係なセキュリティ・アラートをすべて分析・追跡するため、大変な手間となります。
Catoは、お客様のネットワークを保護する上で同様の問題に直面したため、解決のための新しいアプローチを開発しました。これは、当社のSECaaS (セキュリティ・アズ・ア・サービス)に実装された多次元的な手法で、オープンソースのフィードやコミュニティルールだけでは不可能だった72%以上の悪質なインシデントを特定することができます。
あなたのネットワークにも、同様の戦略導入が可能です。ネットワークへのアクセス、タップセンサーのようなトラフィックをキャプチャする方法、1週間分のパケットを保存できる十分なディスク容量など、ネットワーク・エンジニアにとって必要不可欠なツールが用意されています。これらのパケット・キャプチャを解析して、さらに強固なネットワークの保護方法を解説します。
悪質なボットトラフィック特定のための5つのベクトル
お話したとおり、当社は多次元的アプローチを採用しています。悪意のあるボットを正確に特定できる変数は存在しませんが、複数の方向からの評価による総合的インサイトにより、ボットをピンポイントで特定することができます。人が生成したセッションから、ネットワークに対するリスクの可能性のあるセッションまで、徐々にフィールドを絞り込むことで特定します。
当社のプロセスは次のように単純です:
ボットと人を区別する
ブラウザと他のクライアントを区別する
ブラウザ内のボットを区別する
動作内容を分析する
ターゲットのリスクを判断する
次に、それぞれのステップについて解説します。
通信頻度の測定によりボットと人間を区別する
ほとんどのボットは、コマンドの受信、キープアライブ信号の送信、データの流出などを行う必要があるため、ターゲットと継続的に通信する傾向があります。ボットと人間を区別するための最初のステップは、ターゲットに対して繰り返し通信しているマシンを識別することです。
つまり、多くのターゲットと定期的かつ継続的に通信しているホストを見つけることが重要だということです。私たちの経験上、1週間分のトラフィックがあれば、十分にクライアントとターゲットの通信の性質を判断することができます。統計的に、通信が均一な性質をもっていればいるほど、ボットによって生成されている可能性が高くなります(図1参照)。
図1:2021年5月中旬のボット通信を示したこの頻度グラフ。ボットトラフィックの強力な指標である通信が完全に同じパターンで分布していることに注目してください。
サイバーセキュリティ・マスタークラスに参加する:虚偽の情報からディープフェイクまで
ブラウザと他のクライアントを区別する
ボットがマシンに存在するという情報だけでは不十分です。お話したように、ほとんどのマシンは何らかのボット・トラフィックを発生させています。そこで、ネットワーク上で通信しているクライアントの種類を確認する必要がある。一般的に、「良い」ボットはブラウザ内に存在し、「悪い」ボットはブラウザ外で動作します。
OSには、トラフィックを生成するクライアントやライブラリの種類があります。例えば、「Chrome」、「WinInet」、「Java Runtime Environment」はすべて異なるクライアント・タイプです。最初は、クライアントのトラフィックは同じに見えるかもしれませんが、クライアントを区別し、コンテキストを強化する方法がいくつかあります。
まず、アプリケーション層のヘッダを見てみましょう。ほとんどのファイアウォールでは、どのアドレスにもHTTPとTLSを許可しているため、多くのボットがこれらのプロトコルを使ってターゲットと通信しています。ブラウザ以外で動作するボットは、クライアントが設定したHTTPとTLSの機能群を識別することで特定できます。
あらゆるHTTPセッションは、リクエストを定義する一連のリクエストヘッダと、どのようにサーバーがそれを処理すべきかの情報を持っています。それらのヘッダー、順番、値は HTTPリクエストの構成の際に設定されます (図 2 参照)。同様に、暗号スイート、拡張リスト、ALPN (Application-Layer Protocol Negotiation)、楕円曲線などのTLSセッション属性は、暗号化されていない最初のTLSパケット、「client hello」パケットで確立されます。HTTPとTLS属性の異なるシーケンスをクラスタリングすると、異なるボットが示されるでしょう。
例として、これにより異なる暗号スイートを使用したTLSトラフィックを発見することができます。これは、トラフィックがブラウザの外部で生成されていることを示すもので、人間離れしたアプローチであるため、ボットトラフィックの良い指標となります
図2:Windowsの暗号ライブラリで生成されたパケットヘッダのシーケンス(カンマ区切り)の例。ヘッダーの配列、キー、値を変更することで、ボットを分類することが可能
ブラウザ内のボットを区別する
悪意のあるボットを識別するもう一つの方法として、HTTPヘッダーに含まれる特定の情報に注目することが挙げられます。通常インターネットブラウザには、明確かつ標準的なヘッダーイメージがあります。通常のブラウジングセッションでは、ブラウザ内でリンクをクリックすると、そのURLに対する次のリクエストに含まれる「referrer」ヘッダが生成されます。ボットトラフィックは通常、「referrer」ヘッダーを持たないか、最悪の場合、偽造します。すべてのトラフィックフローで似たように見えるボットは、悪意の兆候を示している可能性があります。
図3:ブラウジングセッションのヘッダー内でのRefererヘッダー使用例
「User-agent」は、最もよく知られたリクエストを開始したプログラムを表す文字列です。fingerbank.orgなどのさまざまなソースは、ユーザーエージェントの値を既知のプログラムバージョンと照合します。この情報を利用することで、異常なボットを特定することができます。例えば、最近のブラウザは、ユーザーエージェントの欄に「Mozilla 5.0」という文字列を使用しています。Mozillaのバージョンが低いか、全く存在しない場合は、異常なボットのユーザーエージェント文字列であることを示しています。信頼できるブラウザは、ユーザーエージェントの値なしにトラフィックを生成することはありません。
動作内容を分析する
また、ボットの検索はHTTPとTLSのプロトコル以外を調べることで可能です。例えば、IRCプロトコルは、悪意のあるボットの活動によく使われます。また、既知のポート上で独自の未知のプロトコルを使用する既知のマルウェアサンプルも見つかっており、この場合はアプリケーション識別を使用することでフラグを立てることができます。
さらに、インバウンドまたはアウトバウンドといったトラフィックの方向も重要な意味を持ちます。インターネットに直接接続されているデバイスは、常にスキャン動作にさらされているため、これらのボットはインバウンドスキャナーでしょう。一方、スキャニング活動がアウトバウンドする場合は、スキャニングボットに感染したデバイスであることを示しています。スキャンされるターゲットにとって有害であり、これによって組織のIPアドレスの評価を失墜する可能性があります。以下のグラフは、トラフィックフローが短時間で急増していることを示しており、スキャンボットの活動である可能性があります。これは、フロー/秒の計算式を使用することで分析できます。
図4: 高頻度アウトバウンドスキャン動作の一例
ターゲットの分析:宛先を知る
ここまで、クライアントとサーバーの通信頻度やクライアントの種類からボットの指標を探してきました。ここでは、「宛先」または「ターゲット」についてお話します。悪意のあるターゲットを特定するためには、「ターゲットの評価」と「ターゲットの知名度」の要素を考慮する必要があります。
ターゲットの評価は、多くのフローから収集した履歴に基づき、ドメインが悪意あるものである可能性を計算します。評価は、サードパーティのサービスにより決定されるか、ユーザーがターゲットを悪意あるものとして報告するたびに記録される自己計算によって決定されます。
しかし、ターゲットの評価を決定するためには、URL評価フィードなどの単純なソースだけでは不十分なことが多くあります。毎月、何百万もの新しいドメインが登録されています。そのため、ドメイン評価レピュテーションメカニズムはそれらを適切に分類するための十分なコンテキストを持たず、高い確率で誤検出を引き起こします。
まとめ
以上のことを踏まえると、セッションは次のように大別されます:
人間ではなく、機械によって生成されたもの
ブラウザ以外で生成された、または異常なメタデータを含むブラウザトラフィックでること
知名度のないターゲット、特に分類されていない、または悪意があるとマークされているターゲットと通信すると、疑わしく思われる可能性があります。正規のボットや優良ボットは、知名度の低いターゲットと通信すべきではありません
Andromedaマルウェアのネットワーク下における実践
これらの方法を組み合わせることで、ネットワーク上のさまざまな種類の脅威を発見することができます。Andromedaボットの検出を例として見てみましょう。Andromedaは、他の種類のマルウェアのダウンローダーとして頻繁に利用されています。当社では、これまで説明した5つのアプローチのうち、4つのアプローチを用いてデータを分析し、Andromedaを特定しています。
ターゲットの評価
私たちは「disorderstatus[.]ru」が、複数の評価サービスによって悪意あるドメインと見做されていることに気づきました。様々なソースから見たこのサイトのカテゴリーは「既知の感染源、ボットネットワーク」ですが、特定のホストがAndromedaに感染しているかどうかが示されていないため、ユーザーがそのサイトを閲覧しているだけの可能性も捨てきれません。さらに前述の通り、URLは「不明」または「悪意がない」に分類されます。
ターゲットの知名度
1万人のユーザー中、このターゲットと通信しているユーザーのマシンは1台だけで、これは非常に珍しいことです。そのため、このターゲットの知名度は低くなっています。
通信頻度
クライアントとターゲット間において、1週間にわたって3日間の連続したトラフィックが検出されました。このように繰り返し通信が行われていることも、ボットであることを示す指標となっています。
図5:ユーザーとdisorderstatus[.]ruの間のクライアント・ターゲットの通信。頻度は1時間のバケットで3日間にわたって表示されている
ヘッダーの解析
要求しているユーザーエージェントは「Mozilla/4.0」であり、最新ブラウザではないことから、ユーザーエージェントはボットである可能性が高いことが示されています。
図6:disorderstatus[.]ruで取得したトラフィックからのHTTPヘッダー画像。これらのリクエストのいずれにも「referrer」ヘッダーがないことに注目してください。User-Agentの値もMozilla/4.0に設定されています。どちらもAndromedaセッションの指標です。
結論
IPネットワーク上のボット検出は容易ではありませんが、ネットワークセキュリティの実践やマルウェア検出が基礎となりつつあります。今回紹介した5つのテクニックを組み合わせることで、悪意のあるボットをより効率的に検出することができます。
セキュリティサービスの詳細についてはこちらをご覧ください。Catoのマネージド脅威検出・対応サービスについてはこちらをご参照ください。
世界的なパンデミックが起こるずっと以前から、少なく...
企業向けリモートアクセス技術の形態 世界的なパンデミックが起こるずっと以前から、少なくとも企業は一部の従業員にリモートワーク環境を提供していました。出張中の営業担当や、週に数日自宅で仕事をする在宅勤務者など、ごく一部の社員はリモートで会社のリソースにアクセスする必要がありました。
パンデミックにより一瞬にして、世界中に何百万人ものリモートワーカーが誕生したようです。従業員は、できる限り自宅から隔離状態で仕事をするように命ぜられました。企業は突如として、世界中のどこからでも同時にアクセスする、数百、数千のユーザーに対してリモートアクセスを提供することを余儀なくされました。すでに少数のリモートワーカーにVPNサービスを提供していた多くの企業は、自宅に隔離されたより多くの従業員向けに機能拡張を急ぎました。しかし現在、VPNは企業にとって最適なリモートアクセス技術なのか、他の技術の方がより優れた長期的ソリューションを提供できるのか、考え直す時期に来ているのではないでしょうか。
長期的なリモートアクセスが一定期間常態化する可能性
ナレッジワーカーの一部は従来のオフィスに戻りつつありますが、それ以上に多くの従業員がまだ自宅から仕事を続けており、今後もしばらくその状態が続くことになります。Global Workplace Analyticsは、2021年末までに労働人口の25~30%が週に数日、自宅から仕事をするだろうと予測しています。また、従来のオフィスに戻ることなく、この先もずっと在宅勤務(WFH)を続けることを選ぶ人もいるかもしれません。
企業はこれに対応するため、使いやすく高パフォーマンスで、安全性の高いネットワークアクセスといった、在宅勤務者にオフィスと同様のエクスペリエンスを提供するリモートアクセスソリューションを導入する必要があります。さらにそのソリューションは、技術者を増やすことなく、費用対効果が高く、管理が簡単でなければいけません。
VPNは依然、選択肢の1つとしてありますが、その他はどうでしょう。他の選択肢としては、アプライアンスベースのSD-WANやSASEが挙げられます。それぞれのアプローチについて解説します。
VPNはあらゆる従業員をサポートする設計ではない
一部の従業員にとっては便利なリモートアクセスソリューションですが、多人数の従業員にリモートアクセスを提供するには非効率的な技術です。VPNはポイント・ツー・ポイント接続用に設計されているため、リモートワーカーとデータセンター内のネットワークアクセスサーバー(NAS)間の安全な接続には、それぞれ独自のVPNリンクが必要です。各NASの同時接続可能なユーザー数には限りがあるため、大規模なリモートユーザーに対応するには、本格的なデータセンターのインフラが必要となる場合があります。
VPN接続では、ユーザーとVPN間のあらゆる通信が暗号化されます。この暗号化処理には時間がかかるため、使用する暗号の種類によっては、インターネット通信に大幅な遅延が生じる可能性があります。リモートユーザーが、IaaSやSaaSといったアプリケーションやサービスにアクセスの必要がある場合に発生する遅延はより重大です。トラフィックは、エンドユーザーとNASの間を移動してからクラウドに送信され、帰りはその逆経路を取るため、複雑化します。
VPNは、特定のリソースへのきめ細かいアクセス制御のオプションを持たないにも関わらず、ネットワーク全体への過剰なアクセス権を提供してしまうという重大な問題点を持っています。いくつかの有名なデータ流出事件に、VPNを使って盗まれた認証情報が関与しています。攻撃者は正規の認証情報を使用し、VPN経由で接続することで、標的とする企業ネットワークに侵入し、自由に移動することができたのです。さらに、接続するデバイスのセキュリティ状態を確認することができないため、安全でないユーザーデバイスを経由してマルウェアがネットワークに侵入する可能性もあります。
リモートユーザートラフィックのルーティングのためのインテリジェンスを提供するSD-WAN
在宅ワーカーにリモートアクセスを提供するためのもう一つの選択肢として、アプライアンスベースのSD-WANが挙げられます。SD-WANは、VPNでは実現しないインテリジェンスな接続を提供します。Doyle Researchの主席アナリストであるLee Doyle氏は、ホームオフィスのユーザーを企業ネットワークに接続するためにSD-WANを使用するメリットについて、次のように概説しています。
致命的要素となるアプリケーションや、遅延の影響を受けやすいアプリケーションの優先順位付け
クラウドベースサービスへのアクセスの高速化
暗号化、VPN、ファイアウォール、クラウドベースのセキュリティとの統合によるセキュリティ強化
IT管理者向け一元管理ツール
アプライアンスベースのSD-WANの注意点として、主に拠点の接続用に設計されていることです(在宅の個人ユーザーにも対応が可能)。しかし、企業がSD-WANを採用していない場合、何百、何千もの在宅ベースのユーザーに対する実装や設定が簡単にできる技術ではありません。さらに、多種多様な通信機器やセキュリティ機器に巨額の投資が必要となります。
よりシンプルかつ安全で、手軽に拡張可能なソリューションを提供するSASE
CatoのSecure Access Service Edge(SASE)プラットフォームは、多くの従業員が同時にリモートアクセスする場面で、VPNに代わる優れた選択肢となります。このプラットフォームは、スケーラブルなアクセス、最適化された接続性、および統合的な脅威防止といった、大規模リモートアクセスを継続的にサポートするために必要な要件を提供します。
Catoのプラットフォームを使って在宅勤務に対応する場合、企業はリモートユーザーの数に関係なく、簡単に素早く拡張が可能です。地域ごとにハブや、VPNコンセントレータを設置する必要はありません。Catoが所有する、世界規模で分散した数十のPoP(Point of Presence)上にSASEサービスは構築されており、あらゆるロケーションとユーザーに幅広いセキュリティとネットワークサービスを提供します。CatoのPoPに複雑なスケーリングは組み込まれており、組織が購入、設定、導入するインフラストラクチャはありません。エンドユーザーにリモートアクセスを提供する場合、ユーザーのデバイスにクライアントエージェントをインストールするか、セキュアブラウザ経由で特定のアプリケーションにクライアントレスでアクセスできるようにするだけです。
ゼロトラストネットワークアクセスを採用したCato SASEプラットフォームは、ユーザーが必要とする特定のリソースやアプリケーションへのアクセスを許可します。このきめ細やかなセキュリティは、SASEが要求するネットワークアクセスに対するIDベース管理型アプローチが実現します。すべてのトラフィックは、SASEサービスに組み込まれた完全なネットワークセキュリティスタックを通過します。そのため、リモートユーザーからのトラフィックにも、多要素認証と完全なアクセス制御、および脅威防御が適用されます。ユーザーに最も近いPOP内ですべての処理が行われ、企業のネットワークとセキュリティポリシーが完全に適用されます。これにより、ネットワーク上の特定のセキュリティチョークポイントにトラフィックを強制的に送り込むことで起こる「トロンボーン効果」を排除することが可能です。さらにIT管理者は、企業内WANのすべてのトラフィックを一貫して可視化し、制御することができます。
長短期の在宅勤務をサポートするSASE
従業員の一部がオフィスに戻りはじめている一方、多くの従業員は未だ在宅勤務を続けており、さらに継続する可能性すらあります。Cato SASEプラットフォームは、安全性が不十分かつ不便なVPNを経由することなく、通常のネットワーク環境にアクセスすることができる理想的な手段です。
世界中何百万人もの人々が、パンデミックによる不自由...
リモートアクセスセキュリティ:VPNの危険性 世界中何百万人もの人々が、パンデミックによる不自由な生活を未だ強いられており、リモートで仕事をしています。リモートワークという働き方が、多くのワーカーにとって今後のスタンダードとなる可能性も出てきました。このような状況を受けて、企業はVPNを利用したリモート・アクセスを提供するようになりましたが、これは長期的な接続方法として正しい選択なのでしょうか。
VPNは手軽な接続性を提供しますが、企業はその安全性と、濫用が組織にもたらすリスクについても考える必要があります。答えは明確であり、リモートアクセスのセキュリティに関するVPNの危険性や不具合を考慮し、長期的な使用を前提とした代替手段の検討の必要があります。代表的な代替手段である、ZTNA(Zero Trust Network Access)を組み込んだSASE(Secure Access Service Edge)プラットフォームは、VPNのセキュリティ上のリスクや、その他のデメリットを軽減します。
リモートアクセスセキュリティを危険に晒すVPN
VPNは一般に、トラフィックの暗号化と単純なユーザー認証によって最低限のセキュリティを提供するものであり、そのため以下のように多くのリスク要因を抱えています。
VPNユーザーに付与される過剰な権限:VPNは、特定のリソースへのきめ細かなユーザーアクセスを提供しません。ユーザーがVPNを使用してリモートで作業する場合、VPNに割り当てられた共有IPアドレスプールを介してネットワークにアクセスします。そのため、ユーザーはネットワーク上にある未承認のリソースを「見る」ことができ、パスワードさえあればアクセスできるようになります。
簡素で不十分な認証:VPNは簡素なユーザー認証を提供しますが、実際にはユーザーとそのデバイスに対するより強固な認証が不可欠です。多要素認証や企業内ディレクトリ・システム、RADIUS(Remote Authentication Dial In User Service)認証サーバーなどによる認証が提供されない場合、攻撃者は盗み出した認証情報を使ってネットワーク中にアクセス可能となります。
ネットワークにマルウェアを拡散する危険性のあるエンドポイント:接続するデバイスのセキュリティ状態を精査しないため、マルウェアがネットワークに侵入する可能性があります。
ユーザーの自宅はフルセキュリティスタックの範囲外:企業は、フルスタックのセキュリティソリューションを本社や支社オフィス内に構築しており、そのセキュリティは従業員の自宅には届きません。そのため、適切なセキュリティを維持するには、ネットワーク上のVPNエンドポイントでセキュリティ・スタックを経由し、トラフィックをルーティングする必要があります。非効率的なルーティングや、ネットワーク遅延の増加の他に、セキュリティ負荷分散のため、複数の拠点でセキュリティスタックの購入・導入・監視・保守の必要となる可能性もあります。
障害の原因となるVPNアプライアンス:大規模なリモートワークをVPNを使ってサポートする企業は、DoS攻撃などによってVPNが故障または機能しなくなった場合、業務の遂行ができなくなるリスクが高まります。アプライアンスが機能しない場合は、すべてのユーザーがアクセスできなくなります。
既知の脆弱性を持つVPNの存在:企業は、脆弱性を監視し、必要に応じてデバイスを更新し、パッチを適用する責任を負っています。パッチが適用されていない重大な欠陥は、組織を危険にさらす可能性があります。例えばイランのハッカーが、VPNの脆弱性を利用して企業や政府のネットワークにバックドアを設置していることが2020年3月に報告されました。知名度の高い複数のVPNブランドが、この攻撃キャンペーンの標的とされました。
ネットワーク全体を複雑化するVPN:データセンターに新たなVPNを追加して管理・設定することにより、ネットワーク管理全体の複雑さが増大し、その結果セキュリティ上の脆弱性が拡大する可能性があります。
ネットワーク管理者によるVPN接続の可視化ができない:IT部門は、VPN接続を可視化できません。これらのアプライアンス上で起こっていることを可視化できないため、問題が発生した場合、快適に利用できないばかりか、誰も根本的な原因を知ることができません。
スプリットトンネルによる攻撃の機会の増大:組織はVPNの容量制限の緩和のため、スプリットトンネルを採用することがあります。このネットワークアーキテクチャの構成では、トラフィックをVPNクライアントから企業ネットワークに誘導し、さらにゲートウェイを経由してインターネットに接続します。この場合、インターネットと企業ネットワークに同時にアクセスすることが可能となります。そのため、パブリック・ネットワーク上の攻撃者がリモート・コンピュータを危険にさらし、更にそれを利用して内部ネットワークにアクセスするリスクが生じます。
VPNのもうひとつの欠点セキュリティ上の問題以外にも、VPNは長期的なリモート・アクセス接続に向いていないという欠点があります。例えば、アプライアンスがサポート可能な同時接続ユーザー数に限りがあります。通常、リモートワークを行う従業員の割合が10%以下の企業では、問題になりません。しかし、それ以上の割合の従業員が同時かつ継続的にアクセスを必要とする場合、VPNの容量をすぐに超過してしまう可能性があります。そのため、より多くの、またはより大きなアプライアンスを導入する必要があり、コストと管理要件が大幅に増加します。企業はこの拡張性の欠如に対処するため、スプリットトンネルなどの回避策を使用しますが、これはトラフィックの可視性とセキュリティを低下させる可能性があります。
安全なリモートアクセス実現のための長期的ソリューションとはVPNはもはや、企業のリモートアクセスにおいて最良の選択肢ではありません。ガートナー社は『Zero Trust Network Access (ZTNA) に関するマーケットガイド』において、2023年までに60%の企業がVPNを廃止し、代わりにZTNAを採用すると予測しています。企業のネットワーク境界の形が変化していることが、ZTNA採用の主な要因です。クラウドワークロード、在宅勤務、モバイル、オンプレミスなどのネットワーク資産を考慮する必要がある場合、VPNアプライアンスのようなポイントソリューションは適したツールではありません。
ZTNAの主なメリットは、誰がどのエンドユーザーデバイスから、どのリソースに、ネットワークアクセスを取得・維持するかをきめ細かく制御できることに凝縮されます。アクセスはセキュリティポリシーに基づき、最小限の権限のみが許可されます。
しかしゼロトラストは、リモートアクセスソリューションの一部にすぎません。ZTNA単体では対処できない、パフォーマンスや継続的なセキュリティに関する問題が存在します。例えば、すべてのトラフィックは宛先に到達する前にセキュリティ検査を通過する必要があります。この場合、ZTNAをSASE(Secure Access Service Edge)ソリューションに完全に統合することが最も効果的です。
SASEは、ZTNA、次世代ファイアウォール(NGFW)などのセキュリティサービスを、SD-WAN、WANの最適化、帯域集約などのネットワークサービスとともに、クラウドネイティブプラットフォームに統合したものです。SASEネットワーク・アーキテクチャを活用する企業は、ZTNAのメリットに加え、管理が簡単かつ拡張性の高い統合ネットワーク、およびセキュリティ・ソリューションの完全なパッケージを利用可能です。CatoのSASEソリューションは、このすべてをクラウドネイティブプラットフォームで提供します。
SASEは、ZTNA、次世代ファイアウォール(NGFW)などのセキュリティサービスを、SD-WAN、WANの最適化、帯域集約などのネットワークサービスとともに、クラウドネイティブプラットフォームに統合したものです。SASEネットワーク・アーキテクチャを活用する企業は、ZTNAのメリットに加え、管理が簡単かつ拡張性の高い統合ネットワーク、およびセキュリティ・ソリューションの完全なパッケージを利用可能です。CatoのSASEソリューションは、このすべてをクラウドネイティブプラットフォームで提供します。
CatoのSASEソリューションは、リモートユーザーが安全かつ最適化された接続を介して、すべてのビジネスアプリケーションにアクセスすることを、クライアントまたはクライアントレスブラウザからのアクセスにより可能にします。グローバルなクラウドネイティブサービスであるCato Cloudは、専用のVPNインフラを導入することなく、任意の数のユーザーに適用するように拡張可能です。リモートワーカーが、最寄りのCatoのPoP(世界中に75以上のPoPを所有)に接続すると、Catoのグローバルなプライベートバックボーンを経由し、オンプレミスまたはクラウドアプリケーションへのトラフィックが最適にルーティングされます。Catoのセキュリティサービスは、リモートユーザーを脅威から保護し、アプリケーションのアクセス制御を実現します。
要約すると、CatoのSASEプラットフォームは、あらゆるリモートワーカーに最適化された安全性の高いアクセスを迅速かつ簡単に提供することを可能とします。リモートワーカーをどうやってサポートするかについて、詳しくは、無料のCato eBook『Work From Anywhere for Everyone』をご参照ください。
WANが何の略語かをご存知の方は多いと思いますが、...
知っておくべきネットワーク関連略語23選 WANが何の略語かをご存知の方は多いと思いますが、他のネットワーク関連の略語についてはどうでしょうか。ここでは、WANの最新情報の入手に役立つ主な略語をご紹介します。
SASE
Secure Access Service Edge (セキュア・アクセス・サービス・エッジ、SASE)は、ネットワークとセキュリティの機能をクラウドベースの単一ソリューションに統合したものです。SASEは、SD-WANのネットワーク最適化機能と、次世代ファイアウォール(NGFW)、セキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)などを含むフルセキュリティスタックを統合します。この用語を生み出したガートナーは、SASEは「ネットワークセキュリティの未来」と位置づけています。
SD-WAN
Software-Defined Wide Area Network (SD-WAN) は、ブロードバンド、MPLS、5G/LTEなど複数の異なるメディアにおいて、最適なトラフィックルーティングを提供する仮想WANアーキテクチャです。SD-WANは、利用可能な最良の経路を選択することにより、ブロードバンドインターネット接続よりも優れたパフォーマンスと信頼性を提供します。ただし、SASEの一部としてSD-WANを導入しない場合、グローバルな接続性やネットワークの最適化、WANとインターネットのセキュリティ、クラウドの高速化、リモートユーザーのサポートができないことにご注意ください。
MPLS
Multiprotocol Label Switching (マルチ・プロトコル・ラベル・スイッチング、MPLS) は、長いネットワークアドレスの代わりに短いパスラベルを使って、通信ネットワーク上のトラフィックのルーティングをします。MPLSは、トラフィックフローのパフォーマンスと信頼性を向上させますが、容量に制限があり、高価で柔軟性に欠けるソリューションであることに変わりはありません。
[boxlink link="https://www.catonetworks.com/resources/the-top-seven-use-cases-for-sase?utm_source=blog&utm_medium=top_cta&utm_campaign=7_sase_usecase"] Top 7 Use Cases for SASE | Download eBook [/boxlink]
PoP
A Point of Presence (PoP) (ポイント・オブ・プレゼンス、PoP) は、SASEやSD-WANアプライアンスといったネットワークへのアクセスポイントです。トラフィックはPoPを介することで、これらのネットワークに出入りできます。ガートナーによると、最近台頭しているエッジアプリケーションの多くは「クラウド配信ベースのアプローチが必要であり、多くのPoPを持つプロバイダーが有利である」そうです。
出典: Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge, 29 July 2019, Joe Skorupa, Neil MacDonald
VPN
Virtual Private Network 仮想プライベートネットワーク、VPN)ソリューションは、ネットワーク間、またはネットワークとリモートユーザー間に、暗号化された接続を提供します。VPNを介して送信されるトラフィックは、まるでリモートデバイスが企業リソースへのフルアクセスが可能なネットワークに直接接続されているかのように動作します。VPNはきめ細かなセキュリティ、グローバルな拡張性、パフォーマンスの最適化機能を備えていないため、これまでVPNに依存してきた企業は、クラウドへの移行や、どこでも仕事ができるという現実にそぐわないことに気付きはじめています。
UC
音声、メッセージング、ビデオ会議など、企業のコミュニケーション・サービスを統合することを Unified Communications (ユニファイド・コミュニケーション、UC)といいます。UCは、複数の通信メディアにおいて一貫性のあるユーザーインターフェイスとエクスペリエンスを実現しますが、地理的に分散した高性能で信頼性の高いネットワークを必要とします。
UCaaS
音声、メッセージング、ビデオ会議など、企業のコミュニケーション・サービスを統合することを Unified Communications ユニファイド・コミュニケーション、UC)といいます。UCは、複数の通信メディアにおいて一貫性のあるユーザーインターフェイスとエクスペリエンスを実現しますが、地理的に分散した高性能で信頼性の高いネットワークを必要とします。
QoE
Quality of Experience クオリティ・オブ・エクスペリエンス、QoE)は、ネットワークパフォーマンスがエンドユーザーに与える影響を測定します。QoEは、パフォーマンス問題がアプリケーションのパフォーマンスにほとんど影響を与えない場合もある一方、アプリケーションが使用できなくなる場合もあるという事実を考慮します。例えば、SASEはクラウドベースのアプリケーションのトラフィックを、企業ネットワークを通じて中継する必要がないため、VPNよりも高いQoEを提供します。
PbR
Policy-based Routing (ポリシー・ベース・ルーティング、PbR)は、ネットワーク管理者が定義したポリシーに基づき、ネットワークフローをルーティングします。特定の種類のトラフィックを優先的に処理したり、より高価なMPLS回線などの経路の使用も可能です。PbR機能は、SD-WANやSASEソリューションにおいて提供されています。
5G
第五世代モバイルネットワークは、最新の携帯電話ネットワークです。前世代よりも高速で、より高密度のデバイスをサポートします。SD-WANやSASEは、5Gネットワークに接続し、耐障害性を向上させます。
AIOps
IT運用のための人工知能 (AIOps) は、IT運用の改善ため機械学習とビッグデータを使用します。AIOpsは、IT運用のためのデータ処理、意思決定、応答の自動化を実現します。AIOpsの可能性を最大限に引き出すSASEアーキテクチャは、IT部門の負担を減らし、ユーザー体験や収益、成長などの価値あるビジネスゴールへの取り組みを支援します。
VoIP
Voice over IP (ボイス・オーバー・IP、VoIP)は、ブロードバンドインターネットを介した音声通信を可能とします。ネットワークパケットにエンコードされた電話通信データは、従来の電話網ではなく、インターネット経由で目的地まで送信されます。VoIPはUCソリューションと同様、高性能で信頼性が高く、地理的に分散したネットワークを必要とします。
CDN
Content Delivery Network コンテンツ・デリバリー・ネットワーク、CDN)は、ウェブコンテンツのキャッシュコピーを提供する、地理的に分散したサーバーネットワークです。CDNは、エンドユーザーの近くにサービスを移動することでオリジンサーバーの負荷を軽減し、ウェブサイトのパフォーマンスを向上させます。
NaaS
Network as a Service (NaaS)は、ネットワーキング・サービスのクラウドベース提供モデルです。NaaSでは、サービスプロバイダー独自のインフラを使用して、企業が独自のネットワークを展開・管理することができます。SASEはNaaSの一例であり、SASEのPoPは必要とされるネットワークサービスをすべてクラウドベースのアプライアンスで提供します。
ISP
インターネット・サービス・プロバイダー(ISP) は、インターネットアクセスを顧客に提供します。ISPはインターネットアクセスの他に、電子メール、ウェブホスティング、ドメイン登録などの他のサービスも提供することがあります。
uCPE
Universal Customer Premises Equipment uCPE)は、コンピューター、ストレージ、ネットワークを含む汎用オフザシェルフ型のサーバーです。uCPEはネットワーク機能を仮想化することで、ネットワークとセキュリティサービスを提供します。
NFV
Network Function Virtualization (ネットワーク仮想化、NFV)は、専用アプライアンスの代わりに、仮想化サービスを使ってネットワーク機能を提供します。これにより、uCPEやクラウドプラットフォームを利用して、高価な専用インフラと同等の機能提供が実現します。
VNF
Virtual Network Functions(仮想ネットワーク機能、VNF)は、専用のハードウェアアプライアンスに代わる、仮想化されたネットワークサービスです。VNFは、サービスチェイニングにより互いにリンクさせることで、より複雑な機能を実現することができます。VNFとサービスチェーンの利用は、SASEの代替サービスプロバイダーの間で一般的ですが、SASEに必要なサービスコンバージェンスには欠ける部分があります。
SDN
Software-Defined Networks (ソフトウェア定義ネットワーク、SDN)は、コントロールプレーンとデータプレーンを切り離します。ネットワークはソフトウェアで定義され、管理されるため、より柔軟性と適応性が高くなります。SD-WANおよびSASEは、SDNを企業WANに適用した例です。
LAN
Local Area Networks ローカル・エリア・ネットワーク、LAN)は、組織内のコンピューター同士を繋ぐネットワークを指します。通常LANは、1社以上のISPを介してインターネットに接続されています。
BGP
The Border Gateway Protocol は、異なるインターネット上の自律システム(AS)間で、ルーティング情報を交換するためのプロトコルです。それぞれの自律システムがトラフィックをルーティングできるIPアドレスを通知し、ソースAS から宛先に最も近いASへのトラフィックの移動を実現します。
OSPF
The Open Shortest Path First (オープン・ショーテスト・パス・ファースト、OSPF)プロトコルは、自律システム内のトラフィックをルーティングするために設計されています。ダイクストラ法を使用することで宛先への最短経路を特定し、トラフィックの移動距離を最小限に抑え、可能であれば待ち時間も短縮します。
DNS
The Domain Name Service ドメイン・ネーム・サービス、DNS)は、インターネットの「アドレス帳」です。DNSサーバーは、(catonetworks.comなどの)ドメイン名を、コンピューターがトラフィックをルーティングするために使用するIPアドレスに変換します。
上に挙げた略語は、最も一般的で重要なネットワーク関連の略語のほんの一部です。今日のネットワークがどのように機能するのか、詳細はCato Networksの ブログでご確認ください。
2019年に米ITアドバイザリ企業であるガートナー...
5分でわかる:なぜSASEの2年後に「SSE」が提唱されたのか 2019年に米ITアドバイザリ企業であるガートナー社により提唱された、新しいエンタープライズネットワーキングのカテゴリである「SASE」。SASEの概念が提唱された半年後、世界的にコロナウィルスのパンデミックが拡大し、リモートワークの機会が激増しました。これにより多くの企業が、根本的に自社のネットワークとセキュリティを見直さなければならない事態に直面したため、2020年はSASEを導入する企業が飛躍的に増加した「SASE元年」とでもいうべき年となったのです。
しかしその直後の2021年、ガートナーは「クラウド・セキュリティのハイプ・サイクル:2021年」において「SSE(Security Service Edge)」を提唱しています。なぜガートナーはSASE提唱後、たった2年でSSEの提唱に踏み切ったのでしょうか。
SASEとSSEの違い
ガートナーのSSE定義により、SASEはオンプレミスのSD-WANを中心としたネットワークサービスと、クラウドネイティブなセキュリティサービスの組み合わせであることが明確となりました。SASEのネットワークとセキュリティ機能という2つの柱のうち、セキュリティ機能に該当する部分がSSE(下図参照)であると位置付けられています。
SASEは、よりカバー範囲が広く総合的なアプローチにより、安全で最適化されたアクセスを実現することで、ユーザー環境を最適化し、すべてのアクセスとトラフィックを脅威、攻撃、データ損失から保護します。SSEは、統合クラウドネイティブサービスとしてSWGやCASB/DLP、ZTNAを組み合わせたもので、インターネットやSaaS、特定のプライベートアプリケーションへのセキュアなアクセスを提供する一方、WANリソースへのセキュアなアクセスには対応しません。
なぜ今SSEなのか
SD-WANは、本社やデータセンターを経由せずとも、支店や営業所など直接インターネットに接続することを可能とし、これによりSaaSやクラウドへのアクセス速度向上を実現します。しかしながらSD-WANは、ほとんどのワーカーがオフィスに出社するという、コロナ以前の環境に合致したソリューションでした。コロナ禍に多くの企業がリモート/ ハイブリッドワークへ移行したことにより、オフィスから直接インターネット接続することの必要性が低下し、それに伴いSD-WANの必要性も低下しました。一方、リモートワーカーへの保護の必要性は拡大しているため、ガートナーはSASEに比べ導入の難易度もコストも低いSSEを提唱したものと考えられます。
SASEとSSE、組織はどちらを選ぶべきなのか
ガートナーは、2022年に求められるクラウドセキュリティ技術としてSASEとSSEの両方を挙げ、SASEは今後2~5年、SSEは3~5年で変革的インパクトを与えると予測しています。そんな中ITの専門家たちは、今後のITインフラの在り方にどう取り組むべきかの岐路に立っています。最初から完全に統合されたSASEを選ぶべきなのか、SSEの導入からセキュリティの変革をはじめて、段階的にSD-WANレイヤーを統合していくべきなのか、様々なアプローチがあると思います。いずれにせよSSEの導入は、確実に将来のネットワーク変革やアーキテクチャの統合、ビジネススピードの向上、運用負荷とコストの軽減を実現する戦略的な意思決定といえます。業界の流れはSSE提唱後も変わらず、最終的にSASEへと行き着くものと予想されています。
Cato SSE 360は、SSEを拡張し、すべてのトラフィックに対する完全な可視化と制御、グローバルなアプリケーションアクセスの最適化を提供します。完全なシングルベンダーによるSASEへのシームレスな接続を、必要に応じてサポートする唯一のサービスであるCato SSE 360をより詳しく知るには、ホワイトペーパーをお読みください。
デジタルという国境のない新たな世界では、世界中にい...
活動開始:タグ・ホイヤー・ポルシェ・フォーミュラEチームとの新たなパートナーシップ デジタルという国境のない新たな世界では、世界中にいる同僚やパートナーと共にイノベーションを起こすことが可能です。成長めざましいABB FIAフォーミュラE世界選手権は、モータースポーツのみならず、自動車業界全体にとって最新のイノベーションの実験場となっています。そこでCatoは、タグ・ホイヤー・ポルシェ・フォーミュラEチームの公式SASEパートナーとして、パートナーシップを開始したことをご報告します。
1950年代から続く壮大なレースの歴史を持つポルシェは、フォーミュラEの第6シーズンにおいて、フォーミュラカーレースへ待望の上位復帰を果たすなど、積極的に過去3年間前進し続けてきました。昨シーズンのメキシコシティでは上位2位を独占し、フォーミュラE初優勝を果たしました。
Catoは、お客様がロケーションに関わらず安全に協業できるよう、ポイントソリューションの複雑性を排除し、安全なネットワークアーキテクチャを単一ベンダーのSASEクラウドプラットフォームとして提供することで支援します。世界的なモータースポーツ大会はしばしば「旅するサーカス」に例えられ、各国で週次または月次でレースを行い、荷物をまとめたら次の国へと移動します。そういったフォーミュラEのレースシーズンの性質と、チームのテクノロジーとデータの広範な使用を考慮して、クラウドネイティブなネットワークとセキュリティインフラをチーム戦略の基礎としました。
画像を拡大するにはここをクリック
すべての企業組織の決断と同様、タグ・ホイヤー・ポルシェチームによる決断は、タイヤの温度からバッテリーの消耗まで、あらゆるデータポイントをリアルタイムで分析する必要があります。さらにサーキット上で違いを生み出すためには、チーム本部が地球の裏側にあってもチームとして瞬時に判断を下すことが不可欠です。
フォーミュラEの各イベントと広範な車両開発を通じて、チームが収集した膨大なデータセットによっ てそれらの判断は下されます。このデータに基づくインサイトは、レース中のチームパフォーマンスに大きく影響します。そのため、セキュリティと運用上のリスクを最小限に抑え、最適なアプリケーションとデータアクセスを実現する方法をとる必要があるのです。
Catoは、タグ・ホイヤー・ポルシェ・フォーミュラEチームのシーズンを通じたオペレーションの最適化と、ネットワークとSaaSアプリケーションへの安全なアクセスを可能とするため、重要な役割を担っています。私たちは今シーズンに向けて、わくわくしながらも楽観的に、勝利を共に掴むため努力しています。
“2023年1月14日、メキシコシティで開幕するフォーミュラEシーズン9では、タグ・ホイヤー・ポルシェ・フォーミュラEチームへのご声援をお願いします。今後数週間以内に、パートナーシップに関する詳細を発表しますので、ご期待ください。”
タグ・ホイヤー・ポルシェ・フォーミュラEチームの詳細はこちら: https://motorsports.porsche.com/international/en/category/formulae
ある窮地を描いた短いストーリーをお読みください ス...
コダックのフィルムやノキアの携帯電話は、未だに利用できる? ある窮地を描いた短いストーリーをお読みください
ストーリー
あなたは、サーバー、ハードディスク、マウントラックを満載した巨大なコンテナ船の船長です。今荒波の中を進んでいます。重すぎる積荷で船はバランスを崩し、目的地まで安全にたどり着くことが困難な状況です。突然、目前に大きな岩が迫ってきました。過重により、舵を思うように切ることができず、衝突を免れそうにありません。あなたは警報を鳴らすと同時に、躊躇することなく、救命ボート1隻にありったけの積荷を積み込み始めます。船員たちは遠巻きに戸惑いながらあなたの行動を見守っています。しかし、あなたはポジティブです。自分自身、船員たちそしてすべての積荷を守ることができと信じています。ことの発端が積荷の過重重であることは、もはや眼中にありません。
正当な行動? 無駄な抵抗? 何とも言えない?
同じような窮地に立たされた場合、どのような行動をとりますか?
貴社は、収益の50~90%をアプライアンスベースのポイントソリューションの再販で得ています。利益率は低く、差別化を図り、提供する価値を顧客に説明することがますます難しくなっています。優秀なエンジニアや営業担当者は、クラウドソリューションの販売や将来のキャリアアップで多忙を極めているため、採用することが困難です。
今目前に荒波が押し寄せています。舵取りが刻一刻と困難になっています。
最近の状況を見てみる
2021年11月16日、Riverbed Technology社は連邦破産法第11条の適用申請を発表しました。Check Point Software Technologies社は、つい最近ナスダック100指数から除外されました。一方で、ネットワークセキュリティビジネスが急成長し続ける中、競合他社はかつてない最高の時価総額と収益成長率を更新しています。Riverbed社とCheck Point社の共通点は何でしょうか? 先ず、両社ともネットワークとネットワークセキュリティのコンバージェンスに取り組んでいません。次に、依然として物理的または仮想的なエッジアプライアンスに大きく依存し、ソリューションをサービスとしてクラウドで提供していません。SD-WANとネットワークアクセラレーションを専業とする大半の企業が、SASEへの取り組みの一環として買収されていく中(VMware社がVeloCloud社、PAN社がCloudGenix社、Cisco社がViptela社を買収)、Riverbed社はアプライアンスベースのポイントソリューションの立場を貫きました。セキュリティ業界の大手ベンダーの大半が、SASEのコンバージェンスやクラウドへの統合に積極的に移行する中(PAN社、Fortinet社、VMware社、Cisco社など)、Check Point社はネットワーキングから距離を置き、クラウド配信ソリューションの立ち上げに出遅れていました。
これらはすべて、ITアーキテクチャの根本的なシフトを示す、明らかな前兆であり、警戒信号といえます。このような傾向を無視することは、30メートルの大波にもまれながら救命ボートに積荷を移し替える行動に等しいといえます。再販業者やサービスプロバイダーが、レガシー技術にしがみつくことはもはや現実的ではありません。進化はもはや勇猛果敢なイノベーターに限られたことではなく、どの企業も現状を見据えて進化していく必要があります。
ビジネスの展開方法を決めるのはあなたです。
次にSASEについて見てみましょう。
クラウドネイティブSASE再販業者の状況
クラウドネイティブSASEソリューション再販業者やサービスプロバイダーは、ネットワークを俊敏かつ柔軟性のあるメンテナンスフリー環境に変革して顧客を支援します。
差別化されたサービスを提供している再販業者やサービスプロバイダーは、デジタルトランスフォーメーションに取り組む企業から高い評価を受けています。
顧客とのパートナーシップを通じて、将来の財務を担保する、経常収益を確保できます。
マネージドサービスを購入する顧客にもメリットがもたらされます。SASEクラウドプロバイダーは、業界のベストプラクティスに従って、ネットワークを管理し、適切な人材を派遣およびメンテナンス、パッチ適用、更新作業などをすべて行います。プロバイダーは、すぐに利用できる新機能を顧客にリリースし、サービスを提供するネットワークやセキュリティコンポーネントに全責任を負います。このように「責任を一手に引き受けている」SASEパートナーは、比類のないSLAによる恩恵を受けています。
SASEパートナーは、SASEを扱うことで高い利益率を達成すると同時に、専門サービスやマネージドサービスを追加して、さらに利幅を拡大しています。
SASEパートナーは、最新の技術を習得して、現状維持の考えから脱却するように顧客に提案して、自信を持って変革を推進しています。
SASEパートナーの顧客が、アプライアンスベースのソリューションに戻ることはあり得ません。信頼できるパートナーが、拡張性と耐障害性に優れたクラウドネイティブネットワークとクラウドサービスとして提供される完全なセキュリティスタックを提供しています。
また、SASEの専門家やソートリーダーになって、ブログを投稿しているパートナーの従業員もいます。
ここで最も重要なのは、パートナーと共に荒波を乗り切れることです。安全な船と信頼できる船長は、乗客を守ることができます。
今後の見通し:変化するビジネス環境において成功を果たすには
クラウド提供ソリューションの勢力が広がっています。世界中でオンプレミスのデータセンターがクラウドデータセンターに置き換わっています。オンプレミスのアプリケーションのほとんどが、クラウドアプリケーションに移行しています。2019年に世界中で発生したコロナ危機が、リモートワークの導入に拍車をかけ、クラウドとSASEの採用を加速さています。
世界をリードするアナリストが予測したとおり、今まさに革新的なSASEが、ネットワーキングとネットワークセキュリティを変革しています。2022年から2025年までが、SASEの採用が企業顧客の主流となる移行期です。1
すべての音楽がクラウドにあります。もはやCDやMP3プレーヤーは必要ありません。誰もがスマートフォンを使っています。クラウドとコンバージェンスが、私たちが日々利用している技術を革新しています。片やネットワークとネットワークセキュリティは、まだ道半ばです。このような市場のシフトは、一朝一夕ではありません。変化を察知している経営者は、現状を見据えて収益を確保する手段を講じています。
アプライアンスがすべてなくなってしまうわけではありません。中にはアプライアンスを選択する顧客も一部いるはずです。しかし、それらは過去の産物です。CDやコダックのフィルム、ノキアの旧式の携帯電話をまだ利用できるのと同じように、エッジアプライアンスも根強く残るはずです。しかし、貴社のビジネスが旧式のソリューションに頼っていると見なされることは望ましいことでしょうか? 貴社のビジネスがレガシーソリューションの成否にかかっていることは望ましいことでしょうか?
前向きな選択肢を選ぶべきではないでしょうか。
1 Gartner, “Hype Cycle for Enterprise Networking ” Andrew Lerner. 2021年10月11日
GARTNER(ガートナー)は、米国およびその他の国におけるGartner, Inc.および/またはその関連会社の登録商標およびサービスマークであり、本書では同社の許可に基づいて使用しています。
SD-WANネットワークは、特にMPLSと比較した...
グローバル企業にとってSD-WANは十分なのか? SD-WANネットワークは、特にMPLSと比較した場合、組織に複数のメリットを提供します。SD-WANはクラウドアプリケーションのパフォーマンスを向上させ、WANコストを削減し、ビジネスの機動性を向上させます。ただしSD-WANには、今日の組織がその選択や導入を計画する段階で考慮すべきいくつかのデメリットもあります。SD-WANの評価・導入をしている企業にとって、考慮すべき重要事項の一覧が当記事で確認できます。この内容は、eブック「SD-WANのデメリット」に基づいています。
ラストマイルに関する考察
SD-WANはMPLSと比べ、組織にとって柔軟性とコスト効率というメリットを提供します。ラストマイルについては、SD-WANユーザーはMPLSやファイバー、ブロードバンド、LTE/4Gなどのラストマイル・サービスなど、好みのサービスを選択することができます。ラストマイルソリューションを選択、決定する際に考慮すべき基準は次の通りです。
費用
冗長性(可用性を確保するため
信頼性
ラストマイルの最適化についてはこちらをご覧ください。
ミドルマイルに関する考察
MPLSはミドルマイル全体において、予測可能性と安定性を提供します。組織はSD-WANのミドルマイルを設計する場合、それらと同じ機能を提供するソリューションを選ぶ必要があります。
この場合、予測不可能なインターネットへの依存は推奨されません。ステートレスであるルーターは、コントロールプレーンのインテリジェンスが制限されています。したがって、アプリケーションの要件や現在のネットワークレベルに基づいたルーティングの決定が行われるわけではありません。その代わり、プロバイダーのビジネス的な選択が優先されることが多くあります。
信頼性の高いグローバルな接続性についてはこちらをご覧ください。
セキュリティに関する考察
分散型アーキテクチャでは、複数のエッジとデータセンターをサポートできるセキュリティソリューションが必要です。現在のところ、企業の主な選択肢は次の4つです。
SD-WANファイアウォール長所:SD-WANアプライアンスに組み込まれている短所:ユーザートラフィックの検査をしない
統合脅威管理デバイスの購入長所:ユーザートラフィックの検査をする短所:拠点ごとにデバイスが必要であり、コストと手間がかかる
クラウドベースのセキュリティ長所:各エッジでのファイアウォールを排除短所:データセンターのファイアウォール、SD-WAN、クラウドのセキュリティデバイスなど、複数のデバイスをベースとするため、高コストかつ複雑。
統合型ソリューションSASE(Secure Access Service Edge):SD-WANをエッジに、セキュリティを中央にそれぞれ統合し、ポリシー管理と分析を1つの場所で行う。
クラウドアクセスの最適化に関する考察
最新のネットワークにおいては、組織のユーザー・拠点・データセンターから外部のデータセンターとクラウドアプリケーションにアクセスする必要があります。インターネットへの依存は、パフォーマンスや可用性の面でリスクが高すぎます。
プレミアム接続を提供するソリューションを選択するか、ターゲットクラウドインスタンスにできるだけ近いエッジからトラフィックを出力するクラウドネットワークを選択することが推奨されます。
(リンク)SD-WANのデメリット|eBookを読む
ネットワーク監視に関する考察
ネットワークを監視する場合、企業は適切に問題を特定し、ISPでチケットを作成し、問題が解決するまで協力する必要があります。
これを組織化し、ビジネスに影響を与える可能性のあるダウンタイムの発生を防ぐために、24時間365日のサポートと監視の設定が推奨されます。
SD-WANを管理する際の考察
SD-WANに移行するには、ネットワークそのものだけでなく、すべてのラストマイルISPとの関係をどのように管理するか決定する必要があります。これらは内部で管理することも、プロバイダーにアウトソースすることもできます。以下の課題についてよく考えてみてください。
複数のプロバイダーを直接管理する場合と、単一の外部アグリゲーターを通じて管理する場合では、どちらが簡単か?
導入や統合について、どの程度コントロールする必要があるか?
社内の人材が必要とする、時間とリソースの優先順位は?
結論
今日の組織は、クラウドベースのアプリケーションの利用増加と、モバイルユーザーのサポートへの対応ができるようシフトする必要があります。多くの人がSD-WANを有効なオプションとみなしていますが、本当にそれで十分でしょうか?このブログ記事を参考に、SD-WAN導入の可否、およびその導入方法を評価してみてください。詳しくは完全版のeBookをお読みください。
SASEについてもっと知りたい方は、ご連絡ください。
リモートワーカーの急増とZTNAへの移行 従来、I...
リモートワーク環境におけるZTNAの優位性 リモートワーカーの急増とZTNAへの移行
従来、IT組織はVPN接続を利用して企業ネットワークへのリモートアクセス環境をユーザーに提供してきました。しかし、COVID-19の影響によるリモートワーカーの急増に伴い、VPN接続の容量が従業員の快適な同時アクセスを妨げるという現実に多くの企業が直面しています。現在、世界中で外出制限等は緩和されていますが、リモートワークの必要性は高まり続けており、リモートワーカーに対するこれまで以上のサポートが求められています。
ZTNA(ゼロトラストネットワークアクセス)は、明確に定義されたアクセス制御ポリシーに基づいて、組織のアプリケーションやデータ、サービスへの安全なリモートアクセスを提供するITセキュリティソリューションです。LANへの完全なアクセスを許可するVPNとは異なり、ZTNAソリューションはデフォルトでアクセスを拒否し、ユーザーが明示的に許可されたサービスへのアクセスのみが提供されます。ガートナー社によると、2022年までに新しいビジネスアプリケーションの約80%がZTNAを通じてアクセスされ、2023年までに企業の約60%がリモートアクセスVPNを廃止し、ZTNAに移行すると予想されています。
広域ネットワークアクセスの境界をなくすZTNA
従来のネットワークセキュリティは、その周辺部のみを保護しているに過ぎませんでした。許可されたネットワーク認証情報を持つユーザーは、ネットワーク上のすべての情報と内部リソースにアクセスすることができ、規制対象やビジネスクリティカルな情報にもアクセスできる状況にあったのです。従業員がオフィス内でデータにアクセスする場合や、情報がオンプレミスで一箇所に保存されている場合、広域ネットワーク境界は問題なく機能していましたが、ネットワークの境界外にあるクラウドデータへのアクセスの必要性や、リモートユーザーの劇的な増加により、データリソースをグループごとに保護するZTNAに移行する企業が増えています。
またデータ漏洩の約30%は組織内部に起因しますが、最小特権アクセス、多要素認証、マイクロセグメンテーションといったゼロトラストの原則を活用することで、ネットワーク内の個々のユーザーに対して厳格な管理を実施できます。ゼロトラスト・アプローチではネットワークの内外を問わず、すべてのユーザーが脅威とみなされ、各エントリーポイントでの認証が必要となります。ZTNAでは、広域ネットワーク境界に依存せずアクセスを許可するための明確な方法が確立されています。
ネットワークアクセスにおけるゼロトラストのメリット
ゼロ・トラストのコンセプトは、企業を保護し、外部からの脅威を阻止し、有害な内部脅威から個人を保護するための様々なポリシーを提供します。ゼロトラストは検証の概念に焦点を当て、次の点で組織にメリットをもたらします。
1. ネットワークの可視化
データとコンピューティングデバイスを横断し、組織全体の脅威を監視するアプローチを強化することで、ネットワークに対する洞察力が高まり、アクセス・リクエストごとのタイムスタンプ、アプリケーション、ユーザー、場所をより意識するようになります。標準的でない動作はすべてセキュリティ・インフラによってフラグが立てられ、リアルタイムですべてのアクティビティを追跡することが可能になります。ネットワーク全体の可視性を高めることで、誰が、あるいは何がネットワークへのアクセスを許可されているか、より深く理解することができます。
2. データ保護の向上
データ漏洩は、サイバー犯罪者が効果的に企業の身代金を要求する方法の一つですが、ZTNAはマルウェアやネットワークの大部分への不当なアクセスを防ぎ、攻撃の可能性を減らすことができます。また、たとえ侵入されたとしても、ネットワークへのアクセスが最小限であれば、被害を最小限に食い止めることができ、ビジネスだけでなく顧客や知的財産も保護することになります。その結果、顧客からの信頼を高め、データ流出から生じる混乱の収束のための財政的負担も回避することができます。
3. 遠隔地の従業員へのセキュリティ強化
COVID-19から生じた最も一般的なビジネス適応はリモートワークでした。しかしリモートワークが広く受け入れられるようになったにもかかわらず、ネットワークやデバイスのセキュリティ対策が不十分なためにリスクが高まっています。世界中で働くワーカーを抱える企業は、非効率なファイアウォールのためにリスクにさらされる可能性を持っています。
ZTNAはあらゆるレベルでユーザーの識別と確認を要求し、プライベートネットワークと別のパブリックネットワークの間にファイアウォールを設置する「境界の概念」に基づいています。すべてのユーザー、デバイス、アプリケーションは、アクセスのためのセキュリティレイヤーが保証され、世界中のどこにいても、データがどこに保管されていても、ワーカーに対してより強固な保護が提供されます。
4. 手作業によるIT管理の必要性を低減
ZTNAのコンセプトは継続的な監視に重点を置いており、自動化されたプロセスを取り入れることで、組織のITチームはよりシンプルに物事を進めることが可能となります。すべてを手作業で行っている場合、各リクエストの承認に多くの時間がかかるため、生産性やワークフローが低下し、ビジネスに悪影響を及ぼすことになります。
自動化パッケージは、特定のセキュリティ識別子に従ってアクセス要求の判断をプログラムすることができるため、ITチームがすべてのリクエストを手動で承認する必要がありません。また手動アクセスはワークフローの低下だけでなく、ヒューマンエラーの可能性も増大させます。自動化により全てが解決するわけではありませんが、自動化によってチームは煩雑な管理業務に追われることなく、ビジネスの改善と革新に取り組むことができるようになります。
リモートワークをサポートする方法について、詳しくはCato eBook「Work From Anywhere for Everyone」をご覧ください。
SASE(セキュアアクセスサービスエッジ)は、20...
SASEにより廃れゆくVPN:ゼロトラストネットワークアクセス(ZTNA)時代の幕開け SASE(セキュアアクセスサービスエッジ)は、2019年にガートナー社により提唱された、新しいエンタープライズ・テクノロジーのカテゴリです。SASEは、ネットワークおよび、エンドポイントセキュリティ・ソリューションの機能を、統合したされたグローバルなクラウドネイティブサービスに集約します。現在、SASEという用語は新たなトレンドとなっており、多くのベンダーは、真にSASEプラットフォームによるメリットを提供していないにも関わらず、自社製品にSASEという用語を取り入れています。それによって、SASE導入を検討する企業は、どのベンダーが真に要件を満たしているのか特定しなければならないという課題に直面しています。当記事では、SASEの背景的情報と、この新たなテクノロジーが今日の企業ネットワークに革命をもたらし、その過程で従来のVPNに取って代わりつつある理由について説明します。
SaaSアプリケーションと、IaaS型パブリッククラウド・プラットフォーム上に存在する多くのワークロードのために、クラウドで実行されるエンタープライズ・アプリケーションがますます増加傾向にあります。さらに、Covid19以降の「ニューノーマル」時代は、日常的にクラウドにアクセスし、自宅等からリモート環境で働く従業員数が右肩上がりで増えており、企業はこのクラウドの変革とモビリティの変化により、アクセスネットワークの設計方法を再考する必要に迫られています。
何故従来のVPNは時代にそぐわなくなったのでしょうか。典型的なVPNベースのアーキテクチャは、ユーザーが企業ネットワーク内のネットワークセグメントにアクセスできるようにする、ネットワーク中心のソリューションです。通常、アプライアンスとアクセス制御リスト(ACL)、ファイアウォールポリシーが必要であり、ユーザーからアプリケーションに対するきめ細かいマッピングは提供されません。企業の境界がインターネットにまで拡大することにより、リモートアクセスVPNなどのネットワーク中心のソリューションは時代遅れになったのです。従来のVPNなどのネットワーク中心のアプローチの落とし穴は、セキュリティやパフォーマンス、柔軟性、コストの観点から次のように要約できます。
セキュリティ:従来のVPNは、特定のアプリケーションアクセスに対する個々のユーザーのニーズを加味せず、ユーザーをネットワークセグメントに配置します。それらはネットワークアクセスに焦点を合わせており、ユーザーによる完全なネットワークアクセス要求に対して真偽の判断を提供するものですします。VPNサービスのユーザー側のアプリケーション需要に対するこの融通の効かなさと、アプリケーション関連のアクティビティに対するユーザーの可視性の欠如は、セキュリティリスクを大幅に増大させます。第三者のVPNクレデンシャルを盗むことができる悪意のある存在は、知的財産や顧客情報など、組織の機密データを手に入れるため、大胆な行動に出る可能性があります。多要素認証機能の追加がこれらの事故防止に一役買ってはいますが、それでもラテラルムーブメントの非常に大きなリスクは残ります。一方、「ゼロトラスト」の原則を採用するSASEは、データ制御と企業リソースの可視性を提供します。
パフォーマンス:SASEモデルは信頼の置けるブローカーを利用して、特定のプライベート・アプリケーションと、許可を与えられたユーザー間の接続を仲介します。ITチームはゼロトラストを基底としながら、コンテキスト(ID、デバイスなど)に基づいた接続の提供を可能とします。SASEはVPNとは異なり、ネットワークアクセスではなく、なしでアプリケーションにアクセスする手段と、オープンなインターネットからアプリケーションをマスクする機能を提供します。企業がクラウドでSaaSアプリケーションをサブスクライブする場合、パブリッククラウドによりホストされた複数のミラーサイトにアクセスすることが望ましいですを望んでいます。つまり、ユーザーに最適なパフォーマンスを提供するには、エンドポイントから最寄りのクラウドサービスプロバイダーの拠点にトラフィックを転送する必要があります。しかし従来のVPNモデルのセキュリティチェックは、トラフィックを集中型ハブにバックホール(中継)することに依存しています。今日、SaaSを利用した重要なビジネスアプリケーションが多数存在するため、データセンター中心のネットワークインフラストラクチャは、アプリケーションに多大なパフォーマンスのペナルティを課し、全体的なユーザーエクスペリエンスを低下させます。
柔軟性:VPNソリューションは、特定数のユーザーとレガシーネットワークに根ざしているため、柔軟性がありません。このようなソリューションは、トラフィックとユーザー数の変化に応じてスケールを変更することが困難です。ソリューションをスケールアップするために、組織は新しいハードウェアとライセンスを購入し、新しいリソースのインストールと構成にOPEXを割く必要があります。対してスケールダウンの機能はほとんど無視され、使用しない容量とライセンスへの料金を結局支払うことになります。COVID-19のパンデミックにより、ギグワーカーへのより大きな依存が加速しています。プロジェクトの開始・終了と共に変化する人的移動に伴い、組織は双方向のリモートアクセスを拡張する必要がありますが、多くの場合、実践的なIT作業が必要になります。クラウドネイティブのマルチテナントSASEソリューションは、手作業を最小限に抑え、必要に応じてネットワークやコンピュータの設備などのリソースを提供できるよう予測・準備する時間を合理化します。
コスト:SASEソリューションの導入により、企業ネットワークの日常業務の多くの側面でメリットを確認できます。SASEは、企業が複数のポイントプロダクトに代わって、単一のプラットフォームの使用を実現することで、コストを削減します。エンタープライズネットワーク全体でさまざまなポイントソリューションを調達、プロビジョニング、監視、保守することで、CAPEXとOPEXの両方が膨れ上がります向上します。
組織の外部に配置されるユーザー、デバイス、アプリケーション、およびデータが増えるにつれ、既存のVPNアーキテクチャは不十分なものとなっています。SASEは、クラウドから必要なすべてのネットワーキングとセキュリティテクノロジーを提供し、「サービスとして」提供することで、一般的なVPNソリューションの欠点を克服することを目的としています。
SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。 。また認定SASEエキスパートになることもできます。
CatoのSASEプラットフォームを実際にご覧いただくには、デモをご予約いただくか、今すぐお問い合わせください。
COVID-19の発生により、ビジネスVPNの使用...
企業向けVPNの欠点 COVID-19の発生により、ビジネスVPNの使用がごく短期間で急増しました。具体的に、VPNを使った通信量は複数の地域で、数週間で200%以上増加しました。ほとんどの企業はオフィスが閉鎖されているにもかかわらず、VPNを使用し率先して自宅から迅速に仕事を始めることによって、ビジネスの継続が可能となりました。
しかしニューノーマルが定着するにつれ、多くの企業がVPNにはいくつかの欠点が存在することを理解しつつあります。リモートアクセスVPNにおいては、スケーラビリティとパフォーマンス、セキュリティのすべてが課題となり得ます。SDP(ソフトウェア定義の境界)は、企業にこれらVPNの欠点に対するソリューションを提供します。SDP(ZTNAまたはゼロトラストネットワークアクセスとも呼ばれる)は、リモートアクセスとネットワークセキュリティにソフトウェア定義のアプローチを採用し、それらの課題への対処をより長期的で持続可能な方法で促進します。
それでは、SDPと従来のリモートアクセスVPNとの明確な違いは一体何なのかを確認してみましょう。
VPNの利点
リモートアクセスVPNは、企業にリモート作業を可能にする手段を提供します。ほとんどの場合、WAN内の仮想アプライアンスまたは物理アプライアンス、パブリックインターネット、および従業員のPC上のクライアントソフトウェアは、在宅勤務の主導をサポートするのに十分です。多くの場合、そのような厳密な種類のリモートアクセスVPN構成は、パンデミック発生の際に企業が活動を続けるのに役立ちました。
VPNの欠点
リモートアクセスVPNにより、一部の企業が窮地を脱したのは事実ですが、使用量の増加により、いくつかのVPNの大きな欠点がさらに拡大したのも事実です。
#1:継続使用のために設計されていない
企業全体をWANに接続することは、リモートアクセスVPNの活用事例ではありませんでした。企業は従来、ごく一部の従業員を短期間接続するためにVPNソリューションを購入していました。大規模な自宅からの作業への移行に伴い、既存のVPNインフラストラクチャは、意図されていない継続的な作業量のサポートを余儀なくされています。これにより、VPNサーバーが過度の負荷にさらされ、パフォーマンスとユーザーエクスペリエンスに悪影響を与える可能性のある環境が引き起こされます。
#2:スケーラビリティを妨げる複雑さ
企業が追加のVPNアプライアンスやVPNコンセントレーターを使用することで、VPNの過負荷の問題に対処しようとすることにより、ネットワークにコストと複雑さが加算されます。同様に、VPNアプライアンスをHA(高可用性)構成にするとコストが増加し、より複雑な構成が必要になります。
さらに、VPNサーバーはリモートアクセスを提供しますが、エンタープライズ・グレードのセキュリティと監視は提供されないため、管理ソリューションとセキュリティツールを使って補完する必要があります。これら追加のアプライアンスとアプリケーションは、さらに多くの構成とメンテナンスにつながります。追加のソリューションが階層化されるたびに、ネットワークはより複雑になり、より拡張が困難となります。
#3:きめ細やかなセキュリティの欠如
VPNアプライアンスは、典型的なCastle-and-Moat(城と堀)セキュリティの例です。ユーザーがVPN経由で接続すると、サブネットの他の部分にも事実上無制限にアクセス可能となります。これは一部の企業においては、管理者以外のユーザーが重要なインフラストラクチャに、不必要にネットワークアクセスできることを意味します。さらにCastle-and-Moatアプローチは、マルウェアの拡散とデータ侵害のリスクを増加します。
多くの場合、リモートアクセスVPNにきめ細かいセキュリティ制御を追加するためには、企業は追加のセキュリティポイントソリューションを配備する必要がありますが、これによって構成ミスや人的エラーの可能性が発生する他、コストが増し、より複雑となります。
#4:予測できないパフォーマンス
VPN接続はパブリックインターネットを介することで作成されるため、ネットワークパフォーマンスはパブリックインターネットのパフォーマンスに直接関係しています。インターネットに共通するジッタ(パケット遅延の変動)とパケットロスにより、ミッションクリティカルなアプリとユーザーエクスペリエンスに大打撃を与える可能性があります。さらに、グローバル・フットプリント指標を持つ企業は、さらなるVPNトンネリングのオーバーヘッドが追加されることを考慮するまでもなく、世界中にインターネットトラフィックを送信しようとすると、重大な遅延が課題となることを理解しています。
#5:可用性への低い信頼性
予測不可能なパフォーマンスの範囲を超えて、リモートアクセスをパブリックインターネットに依存する企業には、可用性の保証がありません。パブリックインターネットの停止が組織全体の生産性の低下を意味する場合、パブリックインターネットのみに依存するリスクは、そのメリットを遥かに上回る可能性があります。
SDPのリモートアクセスVPNの欠点への対処法
総合的なSecure Access Service Edge(またはSASE)プラットフォームの一部として使用される場合、SDPはVPNの欠点に直接対処し、企業にスケーラブルかつ信頼性の高いリモートネットワークアクセスへのソリューションを提供します。
SASEは、ネットワークとセキュリティ機能をクラウドネイティブサービスに統合する、エンタープライズネットワーキングのカテゴリのひとつです。SASEフレームワークの重要な一部であるSDPは、グローバル・パフォーマンスの最適化と脅威からの保護、きめ細かいアクセス制御が組み込まれた、リモートアプリケーションアクセスへの最新アプローチです。
次の通りSDPの考え方は簡単です:
√ ユーザーを安全に認証(例:MFAと暗号化されたネットワークプロトコルを使用)
√ プロファイルと特定のアプリケーションに基づいてアクセス権を割り当て
√ 各ユーザーセッション中に継続的に行われるリスク評価
一例として、CatoのSASEプラットフォームの導入により、企業はSASEとSDPを使用して次のようなリモートアクセスソリューションが利用可能となります:
継続的なアクセスを意図した構築。グローバルに分散されたCatoクラウドネイティブプラットフォームは、継続的なアクセスを目的として構築されています。クラウドネイティブなインフラで、単一のVPNアプライアンスへの過負荷を企業が心配する必要がありません。さらにCatoのグローバル・プライベートバックボーンには、パフォーマンスの最適化およびHAが組み込まれているため、VPNがパブリックインターネットに依存する原因となったパフォーマンス問題の多くが解消されます。
高いスケーラビリティの実現。拡張のためのアプライアンスを企業が追加する必要がありません。SDPとSASEにより、クラウドの高いスケーラビリティがリモートアクセスにもたらされます。
きめ細やかなアクセス制御を提供。SDPの使用により、企業はアプリケーションレベルでユーザープロファイルに基づいたアクセス制御を設計できます。これによってネットワークレベルでのVPNのアプローチと比較して、リスクが大幅に軽減されます。
積極的な脅威からの保護。ネットワークトラフィックはSDPを使用することにより、悪意のある動作を検出・防止するように設計された、堅牢なクラウドベースのセキュリティスタックを使用して、エンドツーエンドなパケットの検査を通過します。これは追加のセキュリティソリューションを展開・維持する必要なしに発生します。
99.999%の稼働率を誇るSLAによるサポート。Catoのグローバルプライベートバックボーンは、Tier-1 ISPにより相互接続され、99.999%稼働率のSLAにより支えられた、70を超えるPoPで構成されています。この可用性保証により、従業員全員が遠隔地にいるときに雲泥の差が生まれる可能性があります。
これらのすべてが一体となり、SASEとSDPを理想的なリモートアクセスVPNの代替手段にします。
リモートワークやSDP、SASEについてより詳しく知りたいですか?
ニューノーマルに対応するためには、リモートアクセスVPNが長期的なソリューションとして適切ではない可能性について企業は理解しつつあります。SASEとSDPが拡張可能かつ安全で信頼性が高く、高性能なリモートワークの実現のため理想的であることも多くの人が学んでいます。
レガシーVPNの持つ課題に、SDPとSASEがどのように対処できるかを詳しく知りたい場合は、Work from Anywhere forEveryone(eBook)をダウンロードしてください。ご自身で実際にCato SASEプラットフォームの動作を確認したい場合は、今すぐお問い合わせいただくか、デモにご登録ください。
Cato Networksは、既存のITアプローチ...
Total Economic Impact™(EI:総経済効果): CatoがROI246%およびNPV433万ドルを達成 Cato Networksは、既存のITアプローチに伴う複雑さ、コスト、リスクを排除する、クラウドネイティブアーキテクチャーを通じて、次世代のネットワークとネットワークセキュリティを実現するというビジョンとともに設立されました。ITチームの負担をゼロにして、新しい機能を素早く導入し、セキュリティ体制を維持することを目指しています。
果たして、この目標は達成されているのでしょうか?
Cato Networksがもたらす潜在的なインパクトとROIを、Catoをご検討されるお客様にご判断いただくために、このたびForrester Consulting社にTotal Economic Impact(TEI:総経済効果)を委託しました。実は、調査対象のお客様がCato SASEクラウドで達成している成果に、私どもも正直驚いています。
Cato Networksがコスト削減、間接費の回避、旧システムの廃止、セキュリティ強化、効率向上、従業員の意欲向上に大きな役割を果たしていることが、今回の調査結果で判明しています。
Catoにより、以下のような主なメリットが組織にもたらされていることが、Forreste社による調査の結果判明しました:
ROI246%
NPV433万ドル
6ヶ月以内の投資回収
オペレーションとメンテナンスの低減により、380万ドルの節約
Catoの新規サイトへの導入時間短縮により、約44,000ドルの節約
旧システムのCatoへの置き換えにより、220万ドルの節約
導入にかかる時間短縮およびコスト削減
一貫性のあるセキュリティ
その他
現在、セキュリティとネットワークサービスの管理が組織の課題となっています。VPN、インターネット、WANなどの専門チームが、各ネットワークサイトの更新を個別に管理する必要があります。これには、多大な時間とコストがかかります。長期的には、このままでは、ビジネスのデジタルトランスフォーメーションが妨げられ、競争優位性の維持および最善の顧客サービスの提供が困難になります。
調査結果をさらに詳しく見てみましょう。
オペレーション・メンテナンスコストの削減
Cato Networksによる、3年間で380万ドルのオペレーション・メンテナンスコストの削減が今回の調査で判明しました。ネットワーク/セキュリティエンジニアがシステムの最適化ではなく、システムの管理に多くの時間を費やしていることは、組織の複数の関係者にとって極めて重要な懸念材料です。
「率直に申し上げて、Catoダッシュボードを基盤とする、SD-WANソリューションのセットアップとメンテナンスがこんなに容易く行えることに、とても驚いています。[以前のソリューション]では、セットアップに10人、オペレーションに20人のエンジニアが必要でした。Catoにより、これらすべてが解消されました。着想の背景をダッシュボードに表示して、1時間以内に理解することができ、あとは実行するだけです。」
- 自動車部品メーカー、ITマネージャー
セットアップ時間の短縮
企業の規模が拡大し、従業員や顧客をどこからでも接続できる柔軟性が求められる中、セットアップや設定にかかる時間が、ネットワーク/セキュリティソリューション選定時の重要な検討事項となっています。今回の調査によると、Cato Networksは、3年間で約44,000ドルの節約をもたらし、膨大な数の手作業による時間を排除しています。
「当社は別のことも推進していました。合併やオフィス移転の増加、さまざまな地域への進出などが[理由]で、「担当者を1名だけ送り出し」、一度設定すれば後は何もする必要がない、管理面を簡素化するアプローチが必要でした。つまりチームメンバーのひとりが出向いて、多くの作業を行い、ある程度知識のある担当者が図示に従ってプラグを差し込み、管理ポータルを表示するだけで、ビジネスが成立します。
- 技術ディレクター、顧問、税務&保証
旧システム廃止による節約
高額なハードウェアは、ITチームやセキュリティチームにとって大きな難題です。メンテナンス、更新、修正、他のプラットフォームとの統合も必要です。Cato SASEに移行して旧システムを廃止することで、3年間で220万ドルの節約が可能です。
「インテリジェンスとセキュリティレイヤーを兼ね備えたCatoにより、必要なことをすべて行うことができ、他のソリューションへのさらなる投資も必要ありません。」
- 技術ディレクター、顧問、税務&保証
その他のメリット
今回の調査報告によると、Cato Networksは、以下のような、定量化できないその他のメリットも同時にもたらしています:
導入の時間短縮とコスト削減 - 遠隔サイトへの搬入導入の時間短縮とコスト削減。
セキュリティ体制の強化 - 組織全体にわたって、一貫性のあるセキュリティルール一式を確保。
アプリケーションの効率向上 - 実務担当者の仕事を迅速化。
従業員の意欲向上 - 顧問、税務、保証の技術ディレクターの見解:「元のシステムに戻すことは考えられません。そのスピードを考慮すると、従業員の大反発が火を見るよりも明らかです。当社のエンジニアは、客先でダッシュボードの設定を行い表示するだけで稼働できる、このシステムを高く評価しています。」
柔軟性 - インフラストラクチャを追加する必要なく、新しいモバイルユーザーを追加でき、サイト展開を加速。
調査報告書の全文
レポートの全文をお読みください。Cato Networksが企業のデジタルトランスフォーメーションをどのように実現するのか、より詳しくご理解いただけます。Cato Networkのビジネスインパクトをさらに詳しくご理解ただくために、この報告書には、すべての財務情報、より多くの引用、ユースケース、コストおよび節約の内訳が含まれています。こちらをクリックして調査報告書をご覧ください。
貴社がどのようにROIを達成できるのか、専門家がご説明いたします。こちらから お問い合わせください。
SASE、SD-WAN、およびクラウドベースのセキ...
Catoの評価額が25億ドルに上昇 SASE、SD-WAN、およびクラウドベースのセキュリティ市場は、ほとんどが超大手ベンダーで占められていることをご存知の方も多いはずです。SD-WANやCASBなどのカテゴリーの独立系企業の大半が、大手ベンダーにより、これまでに買収されています。その目的は、SD-WANとセキュリティの両方を含むオファーによる、SASE分野での競争体制の確保です。しかし、これらの買収価格は、現在のCatoの評価額の数分の1に過ぎません。
Catoと競合他社の違い?
Catoは設立当初から、根底的に差別化されたアーキテクチャと価値提案により、大手ソフトウェアベンダーやハードウェアベンダー、通信事業者など、さまざまな企業に果敢に挑んできました。
現在、オンプレミスでの展開に構築されたアプライアンスやポイントソリューションから、真のクラウドネイティブプラットフォームへの移行が進んでいます。例えば、Amazon Web Services(AWS)のネットワークおよびセキュリティです。しかしながら、SASE分野の競合他社はすべて、従来のビルディングブロックとクラウドネイティブポイントソリューションを継ぎはぎして提供しています。そして今後、よりシームレスで合理的なソリューションへ時間をかけて進化させていくことを望んでいます。Catoは、「AWSなど」のネットワーキングおよびセキュリティクラウドサービスの構築には、まったく新しいプラットフォームとアーキテクチャが必要という考えに基づき、
いち早くこれを2015年に実行しました。それ以来、Catoはクラウドサービスの機能、グローバルなフットプリント、そして顧客基盤を大規模に拡大し、真のクラウドネイティブデザインがもたらす自動化、効率化、回復力、拡張性を備えたネットワークとセキュリティを、サービスとして提供できることを実証しています。
Catoの将来性の基盤となるビジョン。それはビジネスおよびITのより良い未来です。IT部門が基礎となる技術をより効率的に提供することで、ビジネスを迅速に進めていくことができます。これは、AWSなどのサービスと同じように、ルーティング、最適化、冗長性、セキュリティその他に伴う、最も難しく手間がかかる部分をプラットフォームで行うことで実現できます。
新しい拠点やユーザーグループ、クラウドアプリケーションなど、今後発生するお客様のリソースをCato SASE Cloudに接続するだけで、安全な最適化されたアクセスをご利用いただけます。
市場においてCatoがやるべきことはまだまだあります。ネットワーキングとセキュリティのより良い未来を実現し、インフラの運用方法を常に変革していくことが、Catoのミッションです。
ご期待ください。
昨年、ガートナー(Gartner のゼロトラストネ...
セキュアアクセスサービスエッジ(SASE[サシ―])のゼロトラストネットワークアクセス機能 昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、2023年までに企業の60%がVPNを段階的に廃止し、代わりにZTNAを使用すると予測しています。 ZTNA採用の主な推進力は、エンタープライズネットワーク境界の形状の変化です。 クラウドワークロード、テレワーク、モバイル、およびオンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。
大まかに言えば、VPNに対するZTNAの利点を1つの単語で要約できます: それは精度です。 ゼロトラストネットワークアクセスにより、企業はVPNレベルでアクセスを制限できますが、ネットワークセキュリティに対する他の「城と堀」のアプローチでは絶対に不可能です。
このきめ細かいレベルの制御は、ゼロトラストネットワークアクセスがネットワークアクセス SASE(セキュアアクセスサービスエッジ) の要求に対するアイデンティティ主導のアプローチを補完する理由でもあります。 ゼロトラストネットワークアクセスがクラウドネイティブネットワークプラットフォームに組み込まれているため、SASEは、モバイルユーザー、サイト、クラウドアプリケーション、クラウドデータセンターなどの最新の企業のリソースを適切なアクセスレベルで接続できます。 しかし、ZTNAとSASEは、この約束を果たすためにどのように正確に連携するのでしょうか。 見てみましょう…
ゼロトラストネットワークアクセスとは何か?
ソフトウェア定義の境界(ブラッククラウド)[SDP]software-defined perimeter (SDP)とも呼ばれるゼロトラストネットワークアクセスは、クラウドとオンプレミスの両方でアプリケーションとサービスへのアクセスを保護するための最新のアプローチです。 ZTNAの仕組みは単純です。明示的に許可されていない限り、リソースへのすべての人とすべてのアクセスを拒否します。 このアプローチにより、全体的なネットワークセキュリティとマイクロセグメンテーションが強化され、侵害が発生した場合に横方向の動き(ラテラルムーブメント)を制限できます。
今日、レガシーネットワークセキュリティポイントソリューションでは、ユーザーがセキュリティアプライアンスを通過すると、同じサブネット上のすべてのものへのネットワークアクセスが暗黙的に取得されます。 これは本質的にリスクと攻撃対象領域を増加させます。 ZTNAは、そのパラダイムを真っ向から反転させます。 ZTNAを使用すると、ITはネットワークリソースへのアクセスを明示的に許可する必要があり、アプリケーションレベルまで制限を適用できます。
ゼロトラストネットワークアクセスとSASEが連携する方法
ZTNAはSASEのごく一部です。 SASEは、ZTNAの原則に従って、すべてのエッジ(サイト、モバイルユーザー、およびクラウドリソース)へのアクセスを制限します。 言い換えると、SASEのNGFWおよびSWG機能は、SASEがアクセスを制限する方法です;ZTNAは、SASEエッジのアクセスが制限されている度合いです。
SASEは、ゼロトラストネットワークアクセス、NGFW、およびその他のセキュリティサービスを、SD-WAN、WAN最適化、帯域幅集約などのネットワークサービスとともにクラウドネイティブプラットフォームにバンドルします。 つまり、SASEアーキテクチャを活用する企業は、ゼロトラストネットワークアクセスのメリットに加えて、管理が簡単で拡張性の高いネットワークおよびセキュリティソリューションの完全なスイートを利用できます。
SASEとゼロトラストネットワークアクセスの利点
SASEとゼロトラストネットワークアクセスの最初の利点は、セキュリティに対するID主導のデフォルト拒否アプローチにより、セキュリティ体制が大幅に改善されることです。 悪意のあるユーザーがネットワーク資産を侵害した場合でも、ZTNAは被害を制限できます。 さらに、SASEセキュリティサービスは、通常のネットワーク動作のベースラインを確立できます。これにより、ネットワークセキュリティ全般、特に脅威検出へのよりプロアクティブなアプローチが可能になります。 ベースラインがしっかりしていると、悪意のある動作の検出、封じ込め、防止が容易になります。
セキュリティ上の利点に加えて、SASEとZTNAを組み合わせることで、ポイントソリューションが現代の企業にもたらす別の一連の問題、つまりアプライアンスの無秩序な増加とネットワークの複雑さを解決します。 VPNポイントソリューションを使用すると、企業はSD-WANやNGFWなどの機能のために追加のアプライアンスを展開する必要があります。 これは、アプライアンスを必要とするサイトが増えるごとに、運用コストと設備投資が増えることを意味します。 また、アプライアンス、モバイルユーザー、クラウドサービスを統合すると、ネットワークが大幅に複雑になります。
SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供することにより、これらの問題を取り除きます。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増加させることなく、同じレベルのセキュリティを利用できます。
要約すると、従来のポイントソリューションと比較すると、SASEを使用したゼロトラストネットワークアクセスは以下のとおりです:
拡大/縮小が容易. アプライアンスの無秩序な増加により、ネットワークの成長に伴ってVPNポイントソリューションの管理が困難になります。 SASEは、マルチテナントクラウドネイティブプラットフォームのスケーラビリティをネットワークセキュリティにもたらします。
よりきめ細かく。 . 従来のポイントソリューションを使用すると、企業はIPアドレスに基づいてアクセスを制限するポリシーを実装できます。 SASEとゼロトラストネットワークアクセスにより、特定のアプリケーションとIDのレベルまでアクセス制御とネットワークの可視性が可能になります。
より安全に。 . 城と堀」のパラダイムが十分なネットワークセキュリティを提供していた時代には、ポイントソリューションは十分に優れていました。 ただし、最新のネットワークには、このパラダイムに単純に適合しないトポロジがあります。 すべてのネットワークエッジが確実に考慮されるようにし(たとえば、クライアントレスモバイルアクセスを有効にすることによって)、最新のネットワークトポロジ専用に構築されたセキュリティソリューションを使用することで、SASEとZTNAはセキュリティ体制を大幅に向上させることができます。
より高速で信頼性が高くなります. くの場合、VPNアプライアンスはボトルネックになり、WANの速度が低下し、パフォーマンスに悪影響を及ぼします。 これは、個々のアプライアンスにCPUとリソースの制限があるためです。 クラウドネイティブアプローチにより、SASEはこれらのリソース制限を排除し、基盤となるネットワークファブリックの一部としてWAN最適化も提供することにより、WANパフォーマンスをさらに向上させます。
ゼロトラストネットワークアクセスを備えた最初の真のSASEプラットフォーム
SASE市場はまだ成熟しきったたわけではなく、多くのベンダーはSASEの真の使命を果たすには至っていません。 Cato Networksは、ガートナー(Gartner)の2019エンタープライズネットワークのハイプ・サイクル(2019 Hype Cycle for Enterprise Networking)でSASEのサンプルベンダーとして評価されているだけでなく、世界初の真のSASEプラットフォームでもあります。
CatoのSASEプラットフォームは、最新のエンタープライズネットワークを念頭に置いてゼロから構築されました。 このプラットフォームは、ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能をSD-WANや WAN最適化 などのネットワークサービス、および99.999%の稼働率SLAを備えたグローバルプライベートバックボーンと組み合わせています。 その結果、Catoは、パフォーマンス、セキュリティ、およびスケーラビリティの観点から目下SASEの真の約束を提供できる唯一のベンダーです。
Cato SASEプラットフォームの動作を確認したい場合は デモにサインアップ するか、今すぐおすぐお問い合わせください. SASEの詳細については、eBook 「デジタルビジネスのネットワークはセキュアアクセスサービスエッジ(SASE)から始まる」 をご覧ください。
時々、見込み客の皆さんから、Catoがサンドボック...
サンドボックス機能には制限があります。ゼロデイ脅威を阻止する理由と方法を以下にご紹介します 時々、見込み客の皆さんから、Catoがサンドボックスを提供しているかどうかを尋ねられることがあります。これは当を得た質問であり、当社が真剣に検討している課題でもあります。しかし、サンドボックス化を検討したところ、このテクノロジーは今日のよりスリムで俊敏な企業のニーズと一致していないと感じました。 代わりに、ゼロデイ脅威または脅威を含む未知のファイルを防止するために別のアプローチを採用しました。
サンドボックスとは?サンドボックスとは?
従来のマルウェア対策ソリューションは、脅威を検出するために、主にシグネチャと既知の攻撃のインジケーターに依存しているため、ゼロデイ攻撃やステルス攻撃を常に検出できるとは限りません。 サンドボックスは、他のすべての主流の方法が失敗した結果、悪意のあるコード、添付ファイル、およびWebリンクに隠された脅威を検出するためのツールとして機能することを意図していました。
アイデアは非常に単純です。未知のファイルが収集され、サンドボックスで実行されます。これは、ターゲットホスト環境の完全に分離されたシミュレーションです。 ファイルアクションを分析して、外部コマンドアンドコントロール(C&C)サーバーとの通信の試行、プロセスインジェクション、権限の昇格、レジストリの変更など、実際の本番ホストに損害を与える可能性のある悪意のあるアクションを検出します。 ファイルが実行されると、サンドボックスは複数のコード評価プロセスを実行し、脅威の可能性を説明および評価するレポートを管理者に送信します。
サンドボックスの導入には時間と専門知識が必要
ただし、すべてのセキュリティツールと同様に、サンドボックスには欠点があります。 この場合、これらの欠点により、特に脅威防止ソリューションとしての効率と効果が制限されます。 1つには、サンドボックスに関連するファイル分析には、ビジネスユーザーがリアルタイムで操作するには5分もかかります。
IT側では、長く詳細なサンドボックスレポートを評価するには、時間、専門知識、リソースが必要です。 セキュリティアナリストは、オペレーティング環境内でのコードの動作を理解するために、マルウェア分析とオペレーティングシステムの詳細を十分に理解する必要があります。 また、悪意のある動作を識別するために、正当なシステムコールと正当でないシステムコールを区別する必要があります。 それらは多くの企業に欠けている高度に専門化されたスキルです。
そのため、サンドボックス化は多くの場合、予防よりも検出およびフォレンジックに効果的です。 サンドボックスは、検出後にマルウェアを分析し、対応と根絶戦略を考案したり、将来の攻撃を防ぐための優れたツールです。 実際、Catoのセキュリティチームはまさにそのためにサンドボックスを使用しています。 しかし、攻撃を防ぐための方法としては、サンドボックスは時間がかかりすぎて複雑すぎます。
サンドボックスは常に機能するとは限りません
サンドボックスのもう1つの問題は、サンドボックスが常に機能するとは限らないことです。 セキュリティ業界が攻撃を検出および防止するための新しいツールと戦略を開発するにつれて、ハッカーはそれらを回避するための高度な方法を考え出します。サンドボックスも例外ではありません。 サンドボックス回避戦術には、悪意のあるコードの実行を遅らせることが含まれます。 マスキングファイルタイプ。 サンドボックス環境を検出するために、ハードウェア、インストールされているアプリケーション、マウスクリックのパターン、開いて保存したファイルを分析します。 悪意のあるコードは、マルウェアが実際のユーザー環境にあると判断した場合にのみ実行されます。
サンドボックスは、フィッシングに対する効果も思ったほど高くありません。 たとえば、フィッシングメールには、アクティブ化しても悪意のある動作を示さないが、悪意のあるサインインフォームへのユーザーリンクが含まれている単純なPDFファイルが含まれている場合があります。 ユーザーがリンクをクリックしたときにのみ、攻撃がアクティブになります。 残念ながら、ソーシャルエンジニアリングは、ハッカーがネットワークエントリを獲得するために使用する最も人気のある戦略の1つです。
結果:サンドボックスソリューションは、回避方法を検出および防止するためのより洗練された環境と手法を考案する必要があり、多くの企業にとって疑問視されるコスト/メリット比を生み出す、より多くの電力、ハードウェア、リソース、および費用を必要とします。
Catoアプローチ
問題は、ソリューションがサンドボックスを提供するかどうかではなく、セキュリティプラットフォームが未知の攻撃とゼロデイ脅威をリアルタイムで一貫して防止できるかどうかです。 Catoは、サンドボックス化の複雑さを伴わずに、これらの目的を満たすアプローチを開発しました。
既知の脅威は、マルウェア対策ソリューションによって検出されます。 暗号化されたトラフィックでも完全なトラフィックの可視性を利用して、ラインレートでファイルを抽出および分析します。 Catoは、ファイル拡張子(.pdf、.jpegなど)ではなく、ファイルの内容に基づいて、実際のファイルタイプを決定します。 これは、実行可能ファイルをドキュメントとしてマスキングするための回避策と戦うためです。 次に、Catoによって維持および更新されている既知のマルウェアシグネチャデータベースに対してファイルが検証されます。
次のレイヤーである高度なマルウェア対策ソリューションは、構造的属性に基づいて悪意のあるファイルを検出するSentinelOneの機械学習エンジンを利用して、未知の脅威やゼロデイ攻撃から防御します。 Catoの高度なマルウェア対策は、署名ベースの検査エンジンを回避するように設計されたポリモーフィック
加えて、Catoの高度なマルウェア対策ソリューションは高速です。 SentinelOneの高度な機械学習とAIツールを使用すると、ファイルを分析するのに1〜5分かかる代わりに、Catoは、最も洗練されたゼロデイ攻撃とステルス攻撃をわずか50〜100ミリ秒で分析、検出、ブロックできます。 これにより、Catoの高度なマルウェア対策をリアルタイムで予防モードで実行できます。
同時に、Catoは検出と応答を無視しません。 エンドポイントは依然として他の手段で感染する可能性があります。 Catoは、Catoのプライベートバックボーン全体のトラフィックフローのパターンを検出することにより、これらの脅威を識別します。 Catoは毎日、クラウドスケールのビッグデータ環境でCatoのグローバルプライベートバックボーンを通過する何十億ものネットワークフローの属性をキャプチャします。 この大規模なデータウェアハウスは、CatoのAIと異常検出アルゴリズムの分析のための豊富なコンテキストを提供し、マルウェアの症状を示す可能性のある有害な動作を発見します。 不審なフローは、Catoのリサーチャーによってレビュー、調査、および検証され、顧客のネットワーク上のライブ脅威の存在が判断されます。 修復を支援するために利用可能なCatoのリサーチャーには、明確なレポート(およびアラートが生成されます)が提供されます。
これらのダークリーディング記事をチェックして、Catoのネットワーク脅威探知機能が、これまで識別されていなかった悪意のあるボットアクティビティをどのように検出できたかを確認してください。 MDRとCatoのAI機能の詳細については、このCatoブログをご覧ください。
途絶することのないセキュリティ
企業は未知のファイルのゼロデイ脅威と攻撃を防止および検出する必要がありますが、サンドボックスの速度と複雑さは、今日の学習者である、俊敏なデジタルエンタープライズと互換性がないと感じています。 Catoは、これに代わるものとして、高度な専門知識を必要とせず、常に最新のリアルタイムアプローチを開発しました。 しかし、私たちの言葉にとらわれず、セキュリティプラットフォームのデモを依頼して、ご自身の目で確かめてください。
