企業向けVPNの欠点

COVID-19の発生により、ビジネスVPNの使用がごく短期間で急増しました。具体的に、VPNを使った通信量は...
企業向けVPNの欠点 COVID-19の発生により、ビジネスVPNの使用がごく短期間で急増しました。具体的に、VPNを使った通信量は複数の地域で、数週間で200%以上増加しました。ほとんどの企業はオフィスが閉鎖されているにもかかわらず、VPNを使用し率先して自宅から迅速に仕事を始めることによって、ビジネスの継続が可能となりました。 しかしニューノーマルが定着するにつれ、多くの企業がVPNにはいくつかの欠点が存在することを理解しつつあります。リモートアクセスVPNにおいては、スケーラビリティとパフォーマンス、セキュリティのすべてが課題となり得ます。SDP(ソフトウェア定義の境界)は、企業にこれらVPNの欠点に対するソリューションを提供します。SDP(ZTNAまたはゼロトラストネットワークアクセスとも呼ばれる)は、リモートアクセスとネットワークセキュリティにソフトウェア定義のアプローチを採用し、それらの課題への対処をより長期的で持続可能な方法で促進します。 それでは、SDPと従来のリモートアクセスVPNとの明確な違いは一体何なのかを確認してみましょう。 VPNの利点 リモートアクセスVPNは、企業にリモート作業を可能にする手段を提供します。ほとんどの場合、WAN内の仮想アプライアンスまたは物理アプライアンス、パブリックインターネット、および従業員のPC上のクライアントソフトウェアは、在宅勤務の主導をサポートするのに十分です。多くの場合、そのような厳密な種類のリモートアクセスVPN構成は、パンデミック発生の際に企業が活動を続けるのに役立ちました。 VPNの欠点 リモートアクセスVPNにより、一部の企業が窮地を脱したのは事実ですが、使用量の増加により、いくつかのVPNの大きな欠点がさらに拡大したのも事実です。 #1:継続使用のために設計されていない 企業全体をWANに接続することは、リモートアクセスVPNの活用事例ではありませんでした。企業は従来、ごく一部の従業員を短期間接続するためにVPNソリューションを購入していました。大規模な自宅からの作業への移行に伴い、既存のVPNインフラストラクチャは、意図されていない継続的な作業量のサポートを余儀なくされています。これにより、VPNサーバーが過度の負荷にさらされ、パフォーマンスとユーザーエクスペリエンスに悪影響を与える可能性のある環境が引き起こされます。 #2:スケーラビリティを妨げる複雑さ 企業が追加のVPNアプライアンスやVPNコンセントレーターを使用することで、VPNの過負荷の問題に対処しようとすることにより、ネットワークにコストと複雑さが加算されます。同様に、VPNアプライアンスをHA(高可用性)構成にするとコストが増加し、より複雑な構成が必要になります。 さらに、VPNサーバーはリモートアクセスを提供しますが、エンタープライズ・グレードのセキュリティと監視は提供されないため、管理ソリューションとセキュリティツールを使って補完する必要があります。これら追加のアプライアンスとアプリケーションは、さらに多くの構成とメンテナンスにつながります。追加のソリューションが階層化されるたびに、ネットワークはより複雑になり、より拡張が困難となります。 #3:きめ細やかなセキュリティの欠如 VPNアプライアンスは、典型的なCastle-and-Moat(城と堀)セキュリティの例です。ユーザーがVPN経由で接続すると、サブネットの他の部分にも事実上無制限にアクセス可能となります。これは一部の企業においては、管理者以外のユーザーが重要なインフラストラクチャに、不必要にネットワークアクセスできることを意味します。さらにCastle-and-Moatアプローチは、マルウェアの拡散とデータ侵害のリスクを増加します。 多くの場合、リモートアクセスVPNにきめ細かいセキュリティ制御を追加するためには、企業は追加のセキュリティポイントソリューションを配備する必要がありますが、これによって構成ミスや人的エラーの可能性が発生する他、コストが増し、より複雑となります。 #4:予測できないパフォーマンス VPN接続はパブリックインターネットを介することで作成されるため、ネットワークパフォーマンスはパブリックインターネットのパフォーマンスに直接関係しています。インターネットに共通するジッタ(パケット遅延の変動)とパケットロスにより、ミッションクリティカルなアプリとユーザーエクスペリエンスに大打撃を与える可能性があります。さらに、グローバル・フットプリント指標を持つ企業は、さらなるVPNトンネリングのオーバーヘッドが追加されることを考慮するまでもなく、世界中にインターネットトラフィックを送信しようとすると、重大な遅延が課題となることを理解しています。 #5:可用性への低い信頼性 予測不可能なパフォーマンスの範囲を超えて、リモートアクセスをパブリックインターネットに依存する企業には、可用性の保証がありません。パブリックインターネットの停止が組織全体の生産性の低下を意味する場合、パブリックインターネットのみに依存するリスクは、そのメリットを遥かに上回る可能性があります。 SDPのリモートアクセスVPNの欠点への対処法 総合的なSecure Access Service Edge(またはSASE)プラットフォームの一部として使用される場合、SDPはVPNの欠点に直接対処し、企業にスケーラブルかつ信頼性の高いリモートネットワークアクセスへのソリューションを提供します。 SASEは、ネットワークとセキュリティ機能をクラウドネイティブサービスに統合する、エンタープライズネットワーキングのカテゴリのひとつです。SASEフレームワークの重要な一部であるSDPは、グローバル・パフォーマンスの最適化と脅威からの保護、きめ細かいアクセス制御が組み込まれた、リモートアプリケーションアクセスへの最新アプローチです。 次の通りSDPの考え方は簡単です: √ ユーザーを安全に認証(例:MFAと暗号化されたネットワークプロトコルを使用) √ プロファイルと特定のアプリケーションに基づいてアクセス権を割り当て √ 各ユーザーセッション中に継続的に行われるリスク評価 一例として、CatoのSASEプラットフォームの導入により、企業はSASEとSDPを使用して次のようなリモートアクセスソリューションが利用可能となります: 継続的なアクセスを意図した構築。グローバルに分散されたCatoクラウドネイティブプラットフォームは、継続的なアクセスを目的として構築されています。クラウドネイティブなインフラで、単一のVPNアプライアンスへの過負荷を企業が心配する必要がありません。さらにCatoのグローバル・プライベートバックボーンには、パフォーマンスの最適化およびHAが組み込まれているため、VPNがパブリックインターネットに依存する原因となったパフォーマンス問題の多くが解消されます。 高いスケーラビリティの実現。拡張のためのアプライアンスを企業が追加する必要がありません。SDPとSASEにより、クラウドの高いスケーラビリティがリモートアクセスにもたらされます。 きめ細やかなアクセス制御を提供。SDPの使用により、企業はアプリケーションレベルでユーザープロファイルに基づいたアクセス制御を設計できます。これによってネットワークレベルでのVPNのアプローチと比較して、リスクが大幅に軽減されます。 積極的な脅威からの保護。ネットワークトラフィックはSDPを使用することにより、悪意のある動作を検出・防止するように設計された、堅牢なクラウドベースのセキュリティスタックを使用して、エンドツーエンドなパケットの検査を通過します。これは追加のセキュリティソリューションを展開・維持する必要なしに発生します。 99.999%の稼働率を誇るSLAによるサポート。Catoのグローバルプライベートバックボーンは、Tier-1 ISPにより相互接続され、99.999%稼働率のSLAにより支えられた、70を超えるPoPで構成されています。この可用性保証により、従業員全員が遠隔地にいるときに雲泥の差が生まれる可能性があります。 これらのすべてが一体となり、SASEとSDPを理想的なリモートアクセスVPNの代替手段にします。 リモートワークやSDP、SASEについてより詳しく知りたいですか? ニューノーマルに対応するためには、リモートアクセスVPNが長期的なソリューションとして適切ではない可能性について企業は理解しつつあります。SASEとSDPが拡張可能かつ安全で信頼性が高く、高性能なリモートワークの実現のため理想的であることも多くの人が学んでいます。 レガシーVPNの持つ課題に、SDPとSASEがどのように対処できるかを詳しく知りたい場合は、Work from Anywhere forEveryone(eBook)をダウンロードしてください。ご自身で実際にCato SASEプラットフォームの動作を確認したい場合は、今すぐお問い合わせいただくか、デモにご登録ください。

SASEベンダー:SASEプロバイダーの選択

ガートナーは「The Future of Network Security in the Cloud」レポート...
SASEベンダー:SASEプロバイダーの選択 ガートナーは「The Future of Network Security in the Cloud」レポートの中で、SASEモデルを提唱し、WAN接続およびセキュリティ市場の方向性を示しています。一方で、SASE市場は成熟初期であり、多くのベンダーがSASEの完全なメリットを提供できていないという事実も指摘されています。 SASEはバズワードとして注目されているため、多くのベンダーが、SASEプラットフォームのメリットを十分に提供しないにも関わらず、現行の製品をSASEとして販売しています。その結果、最新のデジタルビジネス要件を本当に満たすことができるベンダーを見極めることが困難になっています。 ここでは、似て非なるものではなく、真のSASEを提供しているベンダーを選択する具体的な方法について説明します。 SASEモデルを理解する SASEプロバイダーを比較する前に、SASEに関する明確な知識を持つことが重要です。ガートナーは、SASEモデルの説明において、特定ベンダーに偏らない説明をおこなっております。 ガートナーは「The Future of Network Security in the Cloud」レポートで、SASEについて、従来のデータセンター重視のアーキテクチャとはまったく異なる、ID指向のアーキテクチャと説明しています。つまり、SASEは、物理的なデータセンターではなく、ネットワーキングおよびセキュリティ機能を統合した、ユーザーとリソースのIDに基づいてアクセスを判断するモデルです。 クラウドとモバイルがネットワークアーキテクチャを大幅に変化させている今、従来のデータセンター重視のモデルではデジタルビジネスの最新のユースケースに適切に対応できないという現実が、SASEへの移行を加速させています。 SASEベンダーの評価方法 SASEの本質的な実現とは、グローバル規模でネットワークおよびセキュリティの統合サービスを提供し、コストと複雑さを軽減すると同時に、機動力、可視化、パフォーマンスを向上させることです。SASEの可能性から確実にメリットを得るには、SASEベンダーを比較する基準を適切に理解することが重要です。 企業によって重視する基準は異なるかもしれませんが、これらの基準により、大規模なネットワークおよびセキュリティインフラの統合により、真のメリットをもたらすことを目的とするWANアーキテクチャを見極めることができます。 基準1:ネットワーキングとセキュリティがサービスとして統合されているか? SASEは、ネットワーキングとセキュリティを、単一のクラウドネイティブプラットフォームに統合します。SASEプロバイダーが、エンタープライズグレードのネットワーキング(SD-WAN、WANアクセラレーションなど)およびセキュリティサービス(FWaaS、IPS、SWGなど)の両方を含むネットワークファブリックを提供できない場合、それは完全なSASEソリューションとはいえません。 基準2:プラットフォームはクラウドネイティブか? SASEベンダーは、このモデルのメリットを最大限に活用するために、クラウドネイティブアプローチを採用している必要があります。SASEに求められているID指向のアプローチが、オンプレミス、モバイル、クラウドなど、すべてのネットワークエッジに適用されなければなりません。SD-WANアプライアンスなどのポイントソリューションだけでは、この要件に対応できません。統合型クラウドネイティブソフトウェアスタックは、これを確実に満たすことができます。 基準3:グローバル規模でネットワークパフォーマンスを最適化できるか? グローバルなネットワークバックボーンはSASEの要件ではありませんが、世界中のすべての拠点に最適な環境を提供する必要があります。公共のインターネットはまさしくグローバルですが、地理的な距離とインターネットルーティングに基本的な問題点があり、国をまたぐグローバルなユースケースでは信頼性が低く、遅延時間が発生しやすいです。一方、MPLSは信頼性が高いですが、多くの企業が求めている理想的な機動力が得られず、高額なコストがかかります。結論として、これらの要件を最も有効に対応し、グローバルなSLAで保証されたプライベートバックボーンを提供しているSASEベンダーが理想的です。 基準4:SASEプロバイダーは、ZTNAを実現できるか? ZTNA(ゼロトラストネットワークアクセス)はSASEに不可欠な要素です。ZTNAは、従来の「城と堀」型のアプローチでは実現できない、細密なID主導型かつコンテキスト認識型のネットワークセキュリティアプローチを提供します。レガシーソリューションでは、「堀」(VPNやファイアウォールアプライアンスなど)を通過したユーザーは、ほぼ無制限にネットワークへアクセスできます。また、レガシーアプローチでは、クラウドやモバイルエッジのエンドポイントへの拡張が困難です。ZTNAは、クラウド、モバイル、オンプレミスのユーザーとリソースに対して、ユーザーIDに基づくアプリケーション固有のアクセスを設定できます。 ZTNAを提供していないSASEベンダーは、IDに基づくインフラという、SASEの基本要件を満たすことができません。 Cato NetworksでZTNAとSASEに関する知識を深めてください。 基準5:SASEプロバイダーがネットワークの複雑さとコストを削減できているか? ZTNA、FWaaS、SD-WAN、WANアクセラレーションなどの機能により、SASEベンダーは、ネットワークのパフォーマンスとセキュリティ体制を向上させることができますが、それは全体の半分に過ぎません。SASEは、コストを削減し、複雑さを軽減するものでなければなりません。クラウドネイティブのマルチテナントアーキテクチャにより、アプライアンスの調達、プロビジョニング、監視、パッチ適用、置き換えが減り、CAPEXとOPEXを削減できます。同様の理由で複雑さも軽減されます。しかし、アプライアンスのパッチワークが解消されるだけでは十分ではありません。 堅牢で直感的かつ使いやすい管理インターフェースを提供するSASEプラットフォームにより、不必要な複雑さを排除して、IT部門がネットワークのメンテナンスに時間を費やすことなく、ビジネスのコア機能に集中できます。 CatoはSASEを本質的に実現します Catoはガートナーの最新の「企業ネットワーキングのハイプサイクル」で「Sample Vendor(見本となるベンダー)」に位置付けられ、世界初のSASEプラットフォームを提供しています。デジタルビジネス向けに開発されたCatoは、真に統合されたクラウドネイティブネットワークおよびセキュリティファブリック、99.999%の稼働率を誇るグローバルプライベートバックボーンを提供し、導入初日からSASEを本質的に実現してメリットをもたらします。 SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。  また認定SASEエキスパートになることもできます。 CatoのSASEプラットフォームを実際にご覧にただくには、デモをご予約いただくか、今すぐお問い合わせください。

SD-WANからSASEへ:WANの進化・発展について

ガートナーがSASE(セキュアアクセスサービスエッジ)と呼ばれる新しいネットワークとセキュリティのカテゴリを提...
SD-WANからSASEへ:WANの進化・発展について ガートナーがSASE(セキュアアクセスサービスエッジ)と呼ばれる新しいネットワークとセキュリティのカテゴリを提唱したことが転機となりました。ガートナーによる「The Future of Network Security in the Cloud」レポート以前では、SD-WANが、2010年代に広く知られるようになりました。2020年代に入ると注目の的がSASEに移りました。z§ SASEという用語に初めて触れた人は、SASEはSD-WANをパッケージ化し直したものに過ぎないのではと思われるかもしれません。端的には、SD-WANは、SASEのサブセットです。SD-WANアプライアンスは重要なネットワーキング機能を提供しますが、SASEはSD-WANを他のネットワークやセキュリティサービスと統合し、包括的なWAN接続とセキュリティファブリックを構築します。 それでは、SD-WANからSASEへのWANの進化の過程をたどり、これらの関係について見ていきましょう。 SD-WAN:WANからの進化 SD-WANは、WAN接続のよりアジャイルでクラウドに適したアプローチとして、2010年代を通じて普及しました。大量のワークロードがクラウドに移行される中、SD-WANはインターネットベースのVPNに代わる信頼性の高い選択肢であり、多くのユースケースにおいてMPLSに代わるよりアジャイルかつ手頃な価格の選択肢となりました。 SD-WANは、ネットワークトランスポートサービス基盤(xDSL、MPLS、4G LTEなど)を抽象化して、WANをソフトウェアによって管理することにより、ネットワークパフォーマンスの向上、MPLS帯域幅の高コストやトロンボーン現象などの課題に対応することができるようになりました。さらに、SD-WANはラストマイルにおける復元力と障害耐性を向上させることができます。 これらのメリットにより、多くの企業でSD-WANの採用が急ピッチで進んでいきました。その具体的な例として、SD-WANは、Catoの2019年ネットワーキング調査で上位3の主なユースケース、2020年の調査では最上位のユースケースとなりました。 SD-WANアプライアンスだけでは実現できないこと SD-WANの導入が進んでいることをデータが示していますが、2020年のネットワーキング調査では、さらにもうひとつ大きな見識が得られました。SD-WANだけでは、現代のデジタルビジネスに必要なWANトランスフォーメーションを完全には実現できないという事実です。SD-WANはコストと機動力の面で優れていますが、SD-WANアプライアンスを導入した企業は一様に、デジタルトランスフォーメーション後のネットワークに困難を感じています。 最近のネットワークが単なる拠点間の接続や公共のインターネット帯域幅のクラウドサービスへの利用にとどまらないという現状のために、SD-WANアプライアンスの多くのユーザーのが不満を感じることになっています。 SD-WANアプライアンスにより、企業は求めていることに近づくことはできますが、現代直面しているネットワーキングとセキュリティのすべての課題に対処できるわけではありません。具体的には、SD-WANアプライアンスには、以下のような欠点があります: グローバルバックボーンの欠如。SD-WANアプライアンスは、基盤となるネットワークインフラと一緒に利用されることになります。つまり、SD-WANアプライアンスだけでは、高いパフォーマンスと信頼性のネットワークバックボーンについては何の対応もできません。 高度なセキュリティ機能の欠如。SD-WANアプライアンスは、最新のネットワーキングの多くのユースケースに対応していますが、セキュリティ要件には対応していません。このニーズを満たすために、多くの場合、さまざまなベンダー(CASBなど)のセキュリティおよびネットワークアプライアンスのパッチワークを管理する必要があります。また、各アプライアンスを社内のIT部門やMSPが調達、プロビジョニング、管理する必要があるため、ネットワークのコストと複雑さが増します。 テレワークをサポートしない。 SD-WANアプライアンスは、拠点間の接続用に構築されています。SD-WANアプライアンスは、リモートワークの安全な接続には対応していません。 SASE:さらなる進化 このように、SD-WANはいくつかの重要なメリットをもたらしますが、SD-WANアプライアンスだけでは包括的なソリューションとはいえません。これに対応するのがSASEです。SD-WANはSASEの重要な要素ですが、唯一の要素ではありません。 SASEの主なメリットは、インターネットのコスト削減、機動性、ネットワークの範囲、またはMPLSの持つ安定性とパフォーマンスを損なうことなく、企業のあらゆる拠点(サイト、テレワーク、クラウドリソース)を接続して保護する単一のグローバルネットワークを構築できることです。各拠点がローカルのインターネットアクセスを介して、SASEグローバルネットワークの最も近いPoPにトラフィックを転送します。そこでトラフィックが最適化および保護された後、転送先に送られます。 SD-WANの主なメリットは、コスト削減、機動性およびクラウドへの対応です。SASEは、これらのメリットに加え、ネットワーキング機能を提供します。また、SASEは基盤となるクラウドネイティブアーキテクチャにセキュリティを組み込み、セキュリティアプライアンスのパッチワークを不要にします。さらにSASEは、基盤となるプライベートネットワークバックボーンにより、長年にわたって求められてきた包括的なソリューションを提供します。 SASEの主な特徴: クラウドネイティブアーキテクチャ。 SASEは、WANインフラに対するマルチテナントのクラウドネイティブアプローチにより、パフォーマンスやセキュリティを犠牲にすることなく、テレワークを含む、あらゆる拠点のエンドポイントにサービスを提供できます。また、アップグレード、パッチ、メンテナンスなどをSASEベンダーに任せることで、企業は複雑な作業から解放されます、 グローバルネットワークバックボーン。 Catoのプライベートネットワークバックボーンは、70以上のPoPで構成され、99.999%の稼働率をSLAで保証しています。SASEはアプライアンスだけでは実現できない信頼性をもたらします。 ネットワーキングとセキュリティの統合。 SD-WANは、WANネットワーキングとセキュリティの一部に過ぎません。SASEは、NGFW、IPS、CASB、SWGなどの機能をSD-WANに追加してもたらします。ネットワークおよびセキュリティのインフラ全体を単一のクラウドネイティブプラットフォームで提供するため、可視化を向上させ、サイロを減らし、セキュリティを強化できます。 シンプルな管理。SASEは、シンプルなWAN管理インターフェースを提供し、複数のアプライアンスや複雑な統合を不要にします。これにより、OPEXとネットワークの複雑さが軽減され、IT部門がインフラのメンテナンスではなく、ビジネスのコア機能に集中できるようになります。 要するに、SASEは、ネットワークとセキュリティの統合により、セキュリティアプライアンスだけでは実現できない包括的なソリューションネットワークを提供します。 SASEは、今日のエンタープライズWANの標準です。 企業のセキュリティとネットワーキングのすべてのユースケースに対応する、万能なソリューションはありません。SASEは、WANを真に変革するアプローチを実現します。SD-WANやその他のネットワーキング機能を高度なセキュリティ機能と組み合わせることで、SASEは大規模なWANネットワークとセキュリティの大半の要件に対応できます。これは、販売のための誇大広告ではありません。これには、業界の専門家も同意しています。ガートナーは、SASEアーキテクチャがもたらすメリットにより、2024年までに40%以上の企業がSASE採用を具体的に計画することになると予測しています。 Catoは、世界初の真のSASEプラットフォームを構築し、この分野のリーダーとしての評価を得ています。認定SASEエキスパートの資格を取得することもできます。ご遠慮なくお問い合わせください。またデモをお申し込みいただくこともできます。「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」eBookも併せてご覧ください。

SASEとゼロトラストネットワークアクセス機能

ガートナーのゼロトラストネットワークアクセス(ZTNA)マーケットガイドは、2023年までに60%の企業がVP...
SASEとゼロトラストネットワークアクセス機能 ガートナーのゼロトラストネットワークアクセス(ZTNA)マーケットガイドは、2023年までに60%の企業がVPNを廃止し、ZTNAに移行すると予測しています。企業ネットワークにおける境界線の変化が、ZTNA採用の主な促進要因となっています。クラウドワークロード、在宅勤務、モバイル、オンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。 VPNを上回るZTNAの優位性を一言で言い表すならば、それは「細密さ」です。ゼロトラストネットワークアクセスは、VPNやその他の「城と堀」型のネットワークセキュリティアプローチでは実現できないレベルのアクセス制限を提供します。 細密なレベルでの制御により、SASE(セキュアアクセスサービスエッジ)に必要なネットワークアクセスへのID主導型のアプローチを補完できます。クラウドネイティブネットワークプラットフォームにゼロトラストネットワークアクセスを組み込んだSASEにより、企業のリソース(モバイルユーザ、サイト、クラウドアプリケーション、クラウドデータセンター)を適切なアクセスレベルで接続できます。ZTNAとSASEがどのように連携して、これを実現するのか、説明します... ゼロトラストネットワークアクセスとは? ゼロトラストネットワークアクセスは、SDP(ソフトウェア定義の境界)とも呼ばれる、クラウドまたはオンプレミスのアプリケーションやサービスへのアクセスを保護する最新のアプローチです。ZTNAの仕組みはシンプルです。明示的に許可されていない限り、リソースへのアクセスをすべて拒否します。このアプローチにより、全体としてより強固なネットワークセキュリティとマイクロセグメンテーションが可能となり、セキュリティ侵害が発生した場合でも横方向への移動を制限することができます。 従来のネットワークセキュリティポイントソリューションでは、セキュリティアプライアンスを通過したユーザーが、ネットワークの同じサブネットのすべてのリソースに暗黙的にアクセスできます。これにより、リスクと攻撃対象が必然的に増えます。ZTNAは、これに革新をもたらします。ZTNAはIT部門がネットワークリソースへのアクセスを明示的に許可する必要があるため、アプリケーションレベルで制限を適用できます。 SASEとゼロトラスト ZTNAは、SASEのごく一部に過ぎません。SASEは、ZTNAの原則に従って、サイト、モバイルユーザー、クラウドリソースなど、すべてのエッジへのアクセスを制限します。つまり、SASEのNGFWおよびSWG機能がアクセスを制限し、ZTNAがSASEエッジのアクセス制限のレベルを決めます。 SASEは、ゼロトラストネットワークアクセス、NGFW、その他のセキュリティサービスとSD-WAN、WANなどのネットワークサービスの最適化、帯域幅アグリゲーションをクラウドネイティブプラットフォームにバンドルします。つまり、SASEアーキテクチャにより、ゼロトラストネットワークアクセスのメリットの他に、ネットワークおよびセキュリティソリューションを完備したスイート製品を、シンプルに管理できる拡張性の高いパッケージに統合できます。 SASEとゼロトラストネットワークアクセスのメリット SASEとゼロトラストネットワークアクセスの第一のメリットとして、ID主導型の拒否をデフォルとするアプローチにより、セキュリティ体制を大幅に強化します。悪意のあるユーザがネットワークアセットのセキュリティを侵害した場合でも、ZTNAによって被害を最小限に食い止めることができます。さらに、SASEのセキュリティサービスは、通常のネットワーク挙動のベースラインを確立し、ネットワークセキュリティ全般、特に脅威の検出において、より能動的なアプローチを実現します。ベースラインの確立により、悪意のある行動を容易に検出、封じ込め、防止できます。 SASEとZTNAの組み合わせにより、セキュリティ面のメリットが得られるだけでなく、ポイントソリューションが現代の企業に及ぼしているもうひとつの問題点、すなわちアプライアンスの増加とネットワークの複雑化も解決します。VPNポイントソリューションでは、SD-WANやNGFWなどの機能を追加するために、アプライアンスを導入する必要があります。つまり、アプライアンスが必要な拠点が追加されるたびに、OPEXとCAPEXが増えます。また、アプライアンス、モバイルユーザー、クラウドサービスの統合により、ネットワークの複雑さが大幅に増します。 SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供して、これらの課題を解決します。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増やすことなく、同じレベルのセキュリティを利用できます。 従来のポイントソリューションと比較して、SASEとゼロトラストネットワークアクセスの特徴を要約すると次のようになります: 拡張が容易。アプライアンスが増加すると、ネットワークが拡大するため、VPNポイントソリューションの管理が難しくなります。SASEは、マルチテナントのクラウドネイティブプラットフォームの拡張性をネットワークセキュリティにもたらします。 より細密に。従来のポイントソリューションは、IPアドレスに基づくアクセス制限ポリシーを適用します。SASEとゼロトラストネットワークアクセスは、特定のアプリケーションやIDレベルでのアクセス制御とネットワーク可視化を実現します。 より安全。ポイントソリューションは、「城と堀」型のモデルでネットワークセキュリティを十分に確保できる時代には適していました。しかし、最新のネットワークトポロジーは、このモデルに当てはまらなくなっています。SASEとZTNAは、すべてのネットワークエッジを考慮し(クライアントレスのモバイルアクセスなど)、最新のネットワークトポロジーに特化したセキュリティソリューションにより、セキュリティ体制を大幅に強化できます。 より高速に、より高い信頼性。 VPNアプライアンスがボトルネックとなり、WANの速度が低下し、パフォーマンスに悪影響を及ぼすことは多々あります。個々のアプライアンスのCPUやリソースに限界があるためです。SASEのクラウドネイティブアプローチは、リソースの制限を受けずに、ネットワークファブリック基盤の一部としてWANを最適化し、WANのパフォーマンスを向上させます。 ゼロトラストネットワークアクセスを提供する、世界初の真のSASEプラットフォーム SASEの市場はまだ成熟化されておらず、多くのベンダーがSASEを本質的に実現できていません。そのため、SASEに似に非なるものを知ることが重要です。Cato Networksは、ガートナーの「企業ネットワーキングのハイプサイクル2019」で「Sample Vendor(見本となるベンダー)」に位置付けられ、世界初の真のSASEプラットフォームを提供しています。 Cato SASEプラットフォームは、現代の企業ネットワークを念頭に置いて、ゼロから構築されています。ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能とSD-WAN、WAN最適化などのネットワーキングサービスを組み合わせたプラットフォームを、99.999%の稼働率SLAを提供するグローバルプライベートバックボーンで接続しています。Catoは、パフォーマンス、セキュリティおよび拡張性の面でSASEを本質的に実現する唯一のベンダーです。 Cato SASEプラットフォームを実際にご覧いただくには、デモをお申込みください。または、今すぐお問い合わせください。SASEの詳細については、「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」eBookをご覧ください。

SASEに似て非なるもの?

ガートナーは、2019年の「The Future of Network Security in the Clo...
SASEに似て非なるもの? ガートナーは、2019年の「The Future of Network Security in the Cloud(ネットワークの未来はクラウドにある)」で2つの項目をレポートしています。1つ目は、次世代に向けたエンタープライズネットワークおよびセキュリティアーキテクチャの正確な特定と説明です。2つ目は、Googleトレンドの数字で示されている新しいアプローチを説明する、当時最大のITバズワードのひとつ、つまりSASE(セキュアアクセスサービスエッジ)についてです。 SASEが取り上げられたことで、多くの「SASEベンダー」がSASE機能を備えるソリューションの販売を開始しました。しかし、これらのソリューションの大半が、SASEの核心である包括的な統合型ネットワークセキュリティソリューションの実現からはかけ離れたものでした。ここでは、「SASEに似て非なるもの」およびSASEベンダーが提供すべき価値について説明します。 SD-WANはSASEではない SASEは、次世代のSD-WANと見なされている場合があります。機動力と統合をもたらすネットワークインフラという点では、この見解は妥当かもしれません。実際、トラフィックを最適にルーティングし、SD-WANの中核メリットである、物理的媒体基盤を不要にする機能は、SASEの重要な一部です。 しかし、SD-WANだけでは、SASEが提供する広範なソリューションの一部しか提供できません。また、すべてのSD-WANが同じように構築されているわけではありません。例えば、すべてのネットワークエッジ(WAN、エッジコンピューティング、クラウドコンピューティング、モバイル)をサポートすることがSASEの目的ですが、多くのSD-WANアプライアンスが、モバイルを十分にサポートしていない、あるいはまったく提供していません。 クラウドベースのセキュリティはSASEではない SD-WANと同じように、数多くのセキュリティ機能は、SASEソリューションの重要な要素です。これには、IPS(不正侵入検知防御システム)、NGFW(次世代ファイアウォール)、SWG(セキュアWebゲートウェイ)などが含まれます。 ID主導型のセキュリティおよびクラウドネイティブアーキテクチャは、SASEの重要な特徴です。SASEの実装により、多数のクラウドベースのファイアウォールを利用できるようになるというのは、受け入れやすい考え方です。しかし実際には、セキュリティは、SASEアーキテクチャ構成の半分に過ぎず、クラウドベースのファイアウォールとIPSだけでは、グローバル規模でルーティングやWANを最適化できません SD-WANと同じように、セキュリティ技術によるメリットはSASEの重要な要素ですが、単なるバンドルの場合、本来のSASEとはいえません。 複数のアプライアンスの組み合わせはSASEではない アジャイルで効率的なルーティングを可能にするSD-WANの機能は、SASEの重要な要素です。同様に、IPS、SWG、NGFWなどのセキュリティ機能も、SASEの重要な要素です。しかし、SASEの機能一式をすべて提供していると主張する「SASEプロバイダー」のアプライアンスやソリューションを導入するだけでは、SASEを本質的に実現することはできません。 ネットワークやセキュリティアプライアンスとクラウドソリューションのパッチワークでは、単一の統合型ソリューションが提供する機動力、可視化、シンプルさ、パフォーマンスを実現できません。複数の製品を調達、導入、管理、統合することで、コストが上昇するだけでなく、ネットワークの複雑さが増します。見栄えの良いソリューションのパッチワーク(つぎはぎのネットワーク)が、実質的には運用の障壁となり、セキュリティの大規模な見落としが起こりやすくなります。複雑な作業はサービスプロバイダーに任せるべきという意見もありますが、これでは根本的な問題は解決されません。結果として、最適とはいえないパフォーマンスを補足する余分なコストがかかります。 エッジデバイスの仮想アプライアンスはSASEではない エッジデバイスで仮想アプライアンスを実行すると、ハードウェアのフットプリントを減らすことができますが、運用コストはほとんど変わりません。アプライアンスの導入、統合、アップグレード、展開、メンテナンスが必要です。また、サイロや複雑さを根本的に解消することはできません。真のSASEプラットフォームは、アプライアンスのフォームファクターを排除します。マルチテナントのクラウドネイティブプラットフォームで機能が提供されます。SASEプロバイダーは、すべての顧客にメリットをもたらすために、プラットフォーム基盤を管理および維持すべきです。また、アプライアンス管理に伴うコストを企業やプロバイダーが負担する必要をなすべきです。 真のSASEとは何でしょう? SASEは、ネットワーキングとセキュリティの統合により、グローバル規模でのパフォーマンスを向上させ、運用をシンプル化し、セキュリティ体制を強化します。これらを実現する真のSASEソリューションには以下が必要です: すべてのエッジをサポート。 モバイル、クラウド、WANなど、すべてのエッジのパフォーマンスや機能を犠牲にすることなくサポート。仮想アプライアンスや物理的アプライアンスでは、多くの場合、これを満たすことは困難です。多くのセキュリティアプライアンスが本質的に特定の拠点に結び付けられているためです。 ID主導型セキュリティ。SASEのセキュリティモデルは、リソースの細密なIDに基づいて構築されます。SASEは、すべてのアプリ、ユーザーおよびデバイスを把握し、データの流れを詳細に分析します。これにより、ネットワーク全体の可視化とコンテキストを把握して、脅威を軽減できます。 クラウドネイティブアーキテクチャ。複雑な管理をシンプル化し、適応力、回復力、自己メンテナンスを提供し、エンタープライズ向けのパフォーマンスと拡張性を実現するため、SASEにはマルチテナントのクラウドネイティブアーキテクチャが不可欠です。 ネットワーク接続のグローバルな分散。 グローバルに分散されたクラウドプラットフォームにより、すべてのネットワークエッジがSASEの機能をすべて利用できます。つまり、SASEのPoP(ポイントオブプレゼンス)は、公共のクラウドデータセンターを上回る機能を提供し、すべてのWANエンドポイントに低レイテンシー接続を確保します。 真のSASEベンダーは、コンバージェンスの重要性を理解している 重要なポイント:SASEは、単に堅牢なネットワークおよびセキュリティ機能一式ではなく、必要な機能を統合して、複雑さとコストを削減し、パフォーマンスとセキュリティを向上させます。  Cato Networksは、ガートナーの最近の「企業ネットワーキングのハイプサイクル」」において、3年連続でSASEの「Sample Vendor(見本となるベンダー)」に位置付けられています。CatoのSASEに対するアプローチは、統合と最新のデジタルビジネスを考慮して構築されています。 SASEが貴社のビジネスに何をもたらすのか、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」で詳細をご確認ください。弊社のクラウドベースSASEソリューションを実際にお試しになりたい場合や、デモをご要望の際は是非ご連絡ください。

CASBとSASEの比較:その違いとは?

CASB(クラウドアクセスセキュリティブローカー)は、2010年代後半に最も注目を集めた情報セキュリティ市場セ...
CASBとSASEの比較:その違いとは? CASB(クラウドアクセスセキュリティブローカー)は、2010年代後半に最も注目を集めた情報セキュリティ市場セグメントです。ガートナーは、46%の年平均成長率(2017年から2022年まで)をこのセグメントに予測しました。ガートナーは、ワークロードのクラウドへの移行に伴う課題に対応するセキュリティソリューションをCASBと名付け、「The Future of Network Security in the Cloud」レポートでは、その他のネットワークおよびセキュリティサービスを同時にクラウドセキュリティに提供する、SASE(セキュアアクセスサービスエッジ)を事実上のCASBの上位集合として位置付けました。これにより、CASBに代わり、SASEが注目されるようになりました。 CASBとは何なのか? SASEの概念にどのように位置付けられるのか? また、CASBが提供していないSASE機能は何なのか? ここでは、このような疑問について詳しく説明します。 CASBとは CASBには、クラウドの普及に伴う、従来のセキュリティソリューションでは対応できない動的な脅威ベクトルへの対抗が想定されています。ビジネスクリティカルなアプリケーションやデータがクラウドに移行する中、ITセキュリティに対する「城を堀によって守る」旧式の古いアプローチが通用しなくなっています。CASBは、クラウドコンピューティングに伴う新たな脅威に対する防御と同時に、IT部門が直面しているワークロードと複雑さを軽減する手段を提供します。 ガートナーによるCASBの定義 CASBは具体的にどのように価値を提供するのでしょうか? オンプレミスのアプライアンスを利用、SaaSモデルを採用するなど、ベンダーが提供するCASBソリューションはさまざまですが、CASB市場にはいくつかの共通点があります。SASEベンダーの選択で考慮すべき重要点をまとめてみました。ガートナーによると、CASBプロバイダーは、CASBの4つの基本的な条件を満たす必要があります。 CASBの4つの条件: 脅威からの保護。攻撃対象となる領域やハッキング、ユーザーの過失、マルウェアなどの攻撃にさらされる可能性は、クラウドサービスの導入と足並みを合わせて増加します。新しいサービスが増えると、攻撃対象も増えます。CASBは、クラウドサービス専用のSWGやアンチマルウェアエンジンなどの機能により、脅威に対する防御を支援します。 データセキュリティ。 トークン化、アクセス制御、DLP(データ損失防止)などのセキュリティ機能により、データの完全性を保護できます。CASBは、クラウドサービス向けのデータセキュリティを提供し、重要なデータのセキュリティ侵害リスクを軽減して、クラウドへの移行を支援します。 規制遵守。PCI-DSSやHIPAAなどの規制遵守は、オンプレミスでさえ、かなり複雑です。クラウドのデータセキュリティとデータ主権を考慮すると、複雑さがさらに増します。CASBは、クラウドサービスにおいて規制を遵守および維持するために役立ちます。 可視化。 ワークロードが複数のクラウドプラットフォームに分散すると、ベンダーごとにログ、監査、監視のプロセスが異なるため、ネットワークの可視化が制限される可能性があります。これは、IT部門が明示的に許可していないクラウドサービスにユーザーがアクセスする場合に特に問題となります。CASBは、複数の異種クラウドプラットフォームをまたぐ活動を記録および追跡する手段を提供します。 CASBの不足要素 CASBにより、クラウドセキュリティの大半の課題を解決できます。しかし、IT部門が対応する必要があるネットワークやセキュリティに関する要件はまだ残っています。CASBをポイントソリューションと組み合わせて、SD-WAN、ZTNA、WANを最適化する機能を提供して要件を満たすことができますが、コストと複雑さが増します。SASEは、単一の包括的なネットワークファブリックでCASBのすべての機能およびその他のネットワークおよびセキュリティサービスを提供して、この課題を解決します。 SASEがCASBに提供する機能 CASBは重要な、SASEの主な要素です。SASEはさらに一歩進んで、エンタープライズWANが満たすべきすべての要件に対応します。SASEは、複数のポイントソリューションに起因する複雑さを、クラウドネイティブアーキテクチャで抽象化します。これにより、複数のアプライアンス管理、複数のインターフェースへのアクセス、複雑な統合が必要なくなります。結果として、WANのメンテナンスにかかる負担が減り、IT部門がさらに重要なビジネスタスクに取り組むことができます。 要約すると、SASEは、クラウド、モバイル、オンプレミスにおける可視化、データセキュリティ、脅威に対する防御、規制遵守などの機能だけでなく、堅牢なネットワーク機能も提供します。主要なすべてのネットワークおよびセキュリティサービスを単一のクラウドネイティブマルチテナントプラットフォームに統合して、セキュリティ強化、パフォーマンス向上、ネットワークの複雑さの軽減、コスト削減を実現します。 世界初のSASEプラットフォーム SASEに注目が集まり、多くのプラットフォームのマーケティング資料にSASEという用語が追加されています。これがSASEとSASEに似て非なるものを正しく区別することを困難にしています。以下の条件を満たすのが真のSASEです: ID主導型のセキュリティに基づく クラウドネイティブ すべてのネットワークエッジをサポート グローバル規模でパフォーマンスの高いネットワーク接続を提供 Cato Networksは、ガートナーの「エンタープライズネットワーキングのハイプサイクル 2021」で「Sample Vendor(見本となるベンダー)」に位置付けられ、世界初の真のSASEプラットフォームを提供しています。SASEの可能性を最大限に高める、Cato SASEプラットフォームは、ゼロから構築され、現代のデジタルエンタープライズのニーズに対応しています。今日、SASEを本質的に実現する唯一のプラットフォームです。 CASB、SWG、NGFW、SD-WAN、WANの最適化など、ネットワークおよびセキュリティサービスを含むクラウドネイティブインフラと同時に、Catoはグローバルなプライベートバックボーンを提供しています。複数のティア1 ISPに接続された50ヵ所以上のPoP、99.999%の稼働率を保証するCatoのバックボーンは、MPLSに頼ることなく、世界中で最適なネットワークパフォーマンスを達成します。 SASEとCASBの詳細に関心がおありですか? SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。Cato、SASE、CASBの詳細については、弊社宛にお問い合わせいただくか、デモをお申し込みいただき、プラットフォームで実際のパフォーマンスをご確認ください。

ガートナー社による、セキュアアクセスサービスエッジ(SASE)

世界有数のリサーチ&アドバイザリ企業であるガートナー社は、IT分野を中心に、企業の重要な意思決定を支援していま...
ガートナー社による、セキュアアクセスサービスエッジ(SASE) 世界有数のリサーチ&アドバイザリ企業であるガートナー社は、IT分野を中心に、企業の重要な意思決定を支援しています。さまざまな技術ソリューションの相対的なメリットとデメリットを明確かつ公平に評価する、ガートナー社のマジッククアドラント(MQ)を、多くの企業が買収プロセスに役立てています。 またガートナー社は、既存の技術の評価に留まらず、将来を見据えた、未来のネットワークを構築およびセキュリティを確保するためのガイダンスも提供しています。ほんの数年前、大半のIT企業においてSD-WANがまだ着想段階であった頃、ガートナー社はすでにセキュアアクセスサービスエッジ(SASE)の構想を先駆けていました。 今日、ガートナー社が提唱する「ネットワークセキュリティの未来」の採用を検討している組織の間で、SASEはバズワードになっています。ガートナー社は、SASEのメリットを全面的に実現できるように、SASEへの取り組みを開始する組織に向けて、SASE採用の明確なロードマップを提供しています。 SASEアーキテクチャのコンポーネント 「ブランチネットワークのみならず、すべてのエッジをサポートする真の統合型ネットワークセキュリティスタックを備えたグローバルなクラウドベースのサービス」が、ガートナー社によるSASEの定義です。SASEアーキテクチャの主なコンポーネント: ソフトウェア定義型WAN(SD-WAN):SASEは、SD-WANの機能を活用して、SASEのプレゼンスポイント(PoP)間のネットワークルーティングを最適化します。 サービスとしてのファイアウォール(FWaaS):ファイアウォールは、ネットワークセキュリティスタックの基礎です。SASEは、FWaaSにより、最小限の間接費と管理で強力な保護を提供します。 ゼロトラストネットワークアクセス(ZTNA): 従来のセキュアリモートアクセスソリューションに取り代わる、ZTNA(SDPとも呼ばれる)は、ゼロトラストポリシーを採用し、その場に応じたリソースへのアクセスを提供します。 クラウドアクセスセキュリティブローカー(CASB):クラウドベースのセキュリティソリューションであるSASEは、論理的にクラウドアプリケーションのセキュリティを提供する必要があります。SASEには、クラウドベースのリソースへのアクセスを監視およびセキュリティを確保するために、CASBが統合されています。 セキュアWebゲートウェイ(SWG):SWGソリューションは、マルウェア、フィッシング、およびその他のインターネット上の脅威からユーザーを保護します。SASEは、ロケーションを問わず、SWGの保護をすべてのユーザーに提供します。 統合型管理:複雑かつ分断されたセキュリティは、SASEが解決する主な課題のひとつです。SASEのユーザーは、シングルペインオブグラス(単一の画面)から、すべてのセキュリティソリューションを監視および管理できます。 SASEのメリットを全面的に実現するには、すべてのコンポーネント全体にわたって、真のコンバージェンスの実現が不可欠です。 またガートナー社は、SASE機能のすべての条件を満たしているが、必要な完全な統合がされていないソリューションを「SASEオルタナティブ」と定義しています。これらのソリューションは、「デュアルベンダー」またはマルチベンダーSASEと呼ばれ、多くの場合、APIやサービスチェイニングを介してポイントセキュリティ製品をリンクしています。これらは、SASEと同等の機能を備えているかもしれませんが、真のSASEソリューションに比べて性能が劣り、また管理も困難です。 ガートナー社のSASEガイダンスレポート ガートナー社は、2019年にSASEという用語を定義して以来、その「Hype Cycle for Enterprise Networking」レポートにSASEカテゴリを含めています。ガートナー社は、真のSASEソリューションの基準を満たしている、Cato SASE Cloudを2年連続して、この分野の「Sample Vendor(見本となるベンダー)」)に位置付けています。 ガートナー社は、ハイプサイクルレポートの他にも、この分野をさらに定義する数多くのレポートを発表して、SASE採用を検討している組織にガイダンスを提供しています。最近発表された「SASE Convergence Roadmap 2021」には、SASE採用時に組織が行うべき手順の概要が示されています。これには、移行のための短期的および長期的な目標が含まれています。また、このレポートには、SASEベンダー選択の推奨事項も含まれています。 SASE採用に向けた取り組みを開始 ガートナー社は、SASEが「ネットワークセキュリティの未来」を構築するという考えに基づき、SASE採用に向けた取り組みを今すぐ開始することをすべての組織に推奨しています。このプロセスを開始するにあたり、SASEについてさらに詳しく学び、SASEソリューションに期待できることを知ることが、適切なスタートポイントです。CatoのSASEエキスパート認証レベル1を取得して、SASEに関する知識とスキルを習得および証明することができます。 SASEソリューションの詳細およびSASEへの取り組みを開始する方法について、弊社宛にお問い合わせください。無料デモをリクエストして、真のSASEソリューションの機能およびCato SASE Cloudがお客様の組織に提供できるメリットをご確認ください。  

企業向けリモートアクセス技術の種類

世界的なパンデミックが世界中で広まる前から、企業はすでに限られた従業員にリモートで業務を行えるようにしていまし...
企業向けリモートアクセス技術の種類 世界的なパンデミックが世界中で広まる前から、企業はすでに限られた従業員にリモートで業務を行えるようにしていました。それがオフィスの外で勤務する営業担当者であれ、週に数日の在宅勤務者であれ、従業員のある程度のパーセンテージは遠隔地から企業のリソースにアクセスする必要があります。 これまで多くの世界中の企業の従業員はある意味隔離された状態で在宅勤務を行うように指示されていました。それが、ビジネス環境の急激な変化に伴い、世界中のどこからでも一斉に何百、何千人ものユーザーがリモートアクセスを行う必要が出てきました。 すでにVPNサービスを小規模グループのリモートワーカーに提供していた多くの企業は、在宅で隔離された多くの労働力にもそのような機能を拡張すべく、大急ぎで取り組んでいました。それは必要性から急いで行われた判断でしたが、現在、VPNが企業にとって最善のリモートアクセスの技術であるのか、また、他の技術がより優れた長期的なソリューションになりえるのかを検討する時が来ました。 長期的なリモートアクセスはしばらくの間、規範になりえる 一部の知識労働者は、実際のオフィスに少しずつ戻ってきていますが、多くは未だに在宅におり、しばらくはそうなるでしょう。Global Workplace Analytic(世界的な職場分析)によれば、全従業員の25~30%は2021年末まで週に複数日は在宅ワークを行うと推定されています。他の従業員は正式のオフィスに戻ることはなく、永遠に在宅ワーク(WFH)従業員のままでいることを選択しています。 結果として、企業は、利便性、優れたパフォーマンス、そして完全にセキュアなネットワークアクセスエクスペリエンスを含め、在宅ワーカーにオフィスにあるものと同じエクスペリエンスを提供するリモートアクセスソリューションを見つける必要性があります。さらには、そのソリューションはコスト効果が高く、さらに技術スタッフ職員を追加する必要なく、管理しやすいものである必要があります。 VPNは確かに一つの選択肢ですが、それだけではありません。他の選択肢には、アプライアンスベースのSD-WANとSASEが含まれます。それぞれのアプローチを見ていきましょう。 VPNは企業の全従業員をサポートするよう、設計されていませんでした。 VPNが従業員の少数の一部には便利なリモートアクセスのソリューションですが、それは非常の多くの労働者にリモートアクセスを提供するには非効率的な技術です。VPNは、ポイントからポイントへの接続に設計されいるため、各ポイント(想定として、リモートワーカーとデータセンターのネットワークアクセスサーバー(NAS))間の各セキュア接続は、それ自身のVPNリンクが必要となります。各NASには、同時ユーザー数に有限のキャパシティーがあるため、大規模のリモートユーザーベースに対しては、いくつかの本格的なインフラがデータセンターに必要となる場合があります。 パフォーマンスも問題となる可能性があります。VPNを利用すると、ユーザーとVPN間の全ての通信は暗号化されます。暗号化のプロセスは時間がかかり、使用される暗号化の種類に応じて、これは、インターネット通信に顕著な遅延がかかる場合があります。しかし、さらに重要なことに、リモートユーザーがIaaSやSaaSサービスにアクセスする必要がある時に加わる遅延があります。トラフィックのパスは外部クラウドに向かい、逆に戻って来る前にエンドユーザーとNAS間を通らなければならないため、複雑となります。 VPNでの重要な問題は、VPNは特定のリソースへの粒度の細かいユーザーアクセスを管理する選択肢が無く、全体のネットワークへ非常に広いアクセスを提供するということです。盗まれたVPN認証情報は、いくつかの注目を浴びるデータ違反に関与していました。正当な認証情報を使い、VPNで接続することによって、攻撃者はターゲットとする企業のネットワークに侵入し、自由に動くことが出来ました。その上さらに、接続しているデバイスのセキュリティー体制の精査がなく、それでマルウェアが安全でないユーザーデバイスを通してネットワークに入ることを可能にする場合があります。 SD-WANは、リモートユーザーのトラフィックをルーティングすることにインテリジェンスをもたらします 在宅ワーカー用のリモートアクセス提供のもう一つの選択肢はアプライアンスベースのSD-WANです。それは、VPNが持たない接続性へのある水準のインテリジェンスをもたらします。ドイル・リサーチ(Doyle Research)主席アナリストのリー・ドイルは、在宅オフィスユーザーを企業ネットワークに接続するためにSD-WANを利用するメリットの概要説明を行っています ミッションクリティカルで遅延の影響を受けやすいアプリケーションに対する優先順位 クラウドベースのサービスへのアクセスを加速 暗号化、VPN、ファイヤーウォール、及びクラウドベースのセキュリティーとの統合によるセキュリティー強化、 IT管理者のための中央管理ツール アプライアンスベースのSD-WANに関して検討すべき一つの事は、それは個々の在宅ユーザーにも対応することが可能ですが、それは主として支社オフィスの接続用に設計されていること言うことです。しかし、企業がすでにSD-WANを利用していない場合、これは、何百、何千の在宅ベースのユーザーように展開やセットアップすることが容易な技術ではありません。さらに、重要な投資は様々な通信やセキュリティーアプライアンスに行われる必要があります。 SASEはよりシンプルでセキュア、容易に拡張可能なソリューションを提供します Catoの セキュア・アクセス・サービス・エッジ (略してSASE) のプラットフォームは、多くの同時アクセスの従業員によるリモートアクセス用にVPNの優れた代替を提供します。このプラットフォームは、継続的な大規模リモートアクセスをサポートするために必要とされる 拡張可能なアクセス、最適化した接続性及び統合化脅威防止 を提供します。 Catoのプラットフォームを利用した在宅ワーク(WFH)を可能にする企業は、簡単にリモートユーザーのどのよう人数にもすぐに拡張対応可能です。地域ハブやVPNコンセントレータをセットアップする必要はありません。SASEサービスは、全ての場所とユーザーに広範囲のセキュリティーとネットワーキングサービスを提供するCato社により保守される数十のグローバルに分散化したポイントオブプレゼンス(PoP)の上に構築されます。拡縮対応の複雑性は、Cato提供のPoPに全て隠されているため、その組織が購入、構成、または配備するインフラがありません。エンドユーザーにリモートアクセスを提供することは、ユーザーのデバイスにクライアントエージェントをインストールする、またはクライアントレスのアクセスをセキュアブラウザーにより特定のアプリケーションに提供することによることと同じくらい単純です。 CatoのSASEプラットフォームは、利用する必要がある特定のリソースやアプリケーションへのユーザーアクセスを許可する上でゼロ・トラスト・ネットワーク・アクセスを採用しています。粒度の細かいレベルのセキュリティーは、SASEが供給するネットワークアクセスへのアイデンティティー駆動型アプローチの一部です。全てのトラフィックはSASEサービスに構築されたするネットワークセキュリティースタックを通るため、、多要素認証、フルアクセスコントロール、及び脅威防止はリモートユーザーからのトラフィックに適用されます。全ての処理は、全ての企業ネットワークとセキュリティーのポリシーを実施し、ユーザーに最も近いPoP内で行われます。これで、ネットワーク上のセキュリティーチョークポイントにトラフィックを強いることに伴う「トロンボーン効果」を排除します。さらに、管理者は企業WAN全体の全てのトラフィックについて一貫した可視性とコントロールを有しています SASEは在宅ワーク(WFH)を短期的かつ長期的にサポートします 一部の従業員はオフィスに戻ろうと冒険していますが、多くは未だに在宅であり、永遠に在宅ワークとなるかもしれません。Cato SASEプラットフォームは、安全ではなく、不便なVPN使用を強いることなく、通常のネットワーク環境にアクセスさせる理想的な方法です。

SASE(セキュアアクセスサービスエッジ)[サシ―])のゼロトラストネットワークアクセス機能

昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、20...
SASE(セキュアアクセスサービスエッジ)[サシ―])のゼロトラストネットワークアクセス機能 昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、2023年までに企業の60%がVPNを段階的に廃止し、代わりにZTNAを使用すると予測しています。 ZTNA採用の主な推進力は、エンタープライズネットワーク境界の形状の変化です。 クラウドワークロード、テレワーク、モバイル、およびオンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。 大まかに言えば、VPNに対するZTNAの利点を1つの単語で要約できます: それは精度です。 ゼロトラストネットワークアクセスにより、企業はVPNレベルでアクセスを制限できますが、ネットワークセキュリティに対する他の「城と堀」のアプローチでは絶対に不可能です。 このきめ細かいレベルの制御は、ゼロトラストネットワークアクセスがネットワークアクセス SASE(セキュアアクセスサービスエッジ) の要求に対するアイデンティティ主導のアプローチを補完する理由でもあります。 ゼロトラストネットワークアクセスがクラウドネイティブネットワークプラットフォームに組み込まれているため、SASEは、モバイルユーザー、サイト、クラウドアプリケーション、クラウドデータセンターなどの最新の企業のリソースを適切なアクセスレベルで接続できます。 しかし、ZTNAとSASEは、この約束を果たすためにどのように正確に連携するのでしょうか。 見てみましょう… ゼロトラストネットワークアクセスとは何か? ソフトウェア定義の境界(ブラッククラウド)[SDP]software-defined perimeter (SDP)とも呼ばれるゼロトラストネットワークアクセスは、クラウドとオンプレミスの両方でアプリケーションとサービスへのアクセスを保護するための最新のアプローチです。 ZTNAの仕組みは単純です。明示的に許可されていない限り、リソースへのすべての人とすべてのアクセスを拒否します。 このアプローチにより、全体的なネットワークセキュリティとマイクロセグメンテーションが強化され、侵害が発生した場合に横方向の動き(ラテラルムーブメント)を制限できます。 今日、レガシーネットワークセキュリティポイントソリューションでは、ユーザーがセキュリティアプライアンスを通過すると、同じサブネット上のすべてのものへのネットワークアクセスが暗黙的に取得されます。 これは本質的にリスクと攻撃対象領域を増加させます。 ZTNAは、そのパラダイムを真っ向から反転させます。 ZTNAを使用すると、ITはネットワークリソースへのアクセスを明示的に許可する必要があり、アプリケーションレベルまで制限を適用できます。 ゼロトラストネットワークアクセスとSASEが連携する方法 ZTNAはSASEのごく一部です。 SASEは、ZTNAの原則に従って、すべてのエッジ(サイト、モバイルユーザー、およびクラウドリソース)へのアクセスを制限します。 言い換えると、SASEのNGFWおよびSWG機能は、SASEがアクセスを制限する方法です;ZTNAは、SASEエッジのアクセスが制限されている度合いです。 SASEは、ゼロトラストネットワークアクセス、NGFW、およびその他のセキュリティサービスを、SD-WAN、WAN最適化、帯域幅集約などのネットワークサービスとともにクラウドネイティブプラットフォームにバンドルします。 つまり、SASEアーキテクチャを活用する企業は、ゼロトラストネットワークアクセスのメリットに加えて、管理が簡単で拡張性の高いネットワークおよびセキュリティソリューションの完全なスイートを利用できます。 SASEとゼロトラストネットワークアクセスの利点 SASEとゼロトラストネットワークアクセスの最初の利点は、セキュリティに対するID主導のデフォルト拒否アプローチにより、セキュリティ体制が大幅に改善されることです。 悪意のあるユーザーがネットワーク資産を侵害した場合でも、ZTNAは被害を制限できます。 さらに、SASEセキュリティサービスは、通常のネットワーク動作のベースラインを確立できます。これにより、ネットワークセキュリティ全般、特に脅威検出へのよりプロアクティブなアプローチが可能になります。 ベースラインがしっかりしていると、悪意のある動作の検出、封じ込め、防止が容易になります。 セキュリティ上の利点に加えて、SASEとZTNAを組み合わせることで、ポイントソリューションが現代の企業にもたらす別の一連の問題、つまりアプライアンスの無秩序な増加とネットワークの複雑さを解決します。 VPNポイントソリューションを使用すると、企業はSD-WANやNGFWなどの機能のために追加のアプライアンスを展開する必要があります。 これは、アプライアンスを必要とするサイトが増えるごとに、運用コストと設備投資が増えることを意味します。 また、アプライアンス、モバイルユーザー、クラウドサービスを統合すると、ネットワークが大幅に複雑になります。 SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供することにより、これらの問題を取り除きます。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増加させることなく、同じレベルのセキュリティを利用できます。 要約すると、従来のポイントソリューションと比較すると、SASEを使用したゼロトラストネットワークアクセスは以下のとおりです: 拡大/縮小が容易. アプライアンスの無秩序な増加により、ネットワークの成長に伴ってVPNポイントソリューションの管理が困難になります。 SASEは、マルチテナントクラウドネイティブプラットフォームのスケーラビリティをネットワークセキュリティにもたらします。 よりきめ細かく。 . 従来のポイントソリューションを使用すると、企業はIPアドレスに基づいてアクセスを制限するポリシーを実装できます。 SASEとゼロトラストネットワークアクセスにより、特定のアプリケーションとIDのレベルまでアクセス制御とネットワークの可視性が可能になります。 より安全に。 . 城と堀」のパラダイムが十分なネットワークセキュリティを提供していた時代には、ポイントソリューションは十分に優れていました。 ただし、最新のネットワークには、このパラダイムに単純に適合しないトポロジがあります。 すべてのネットワークエッジが確実に考慮されるようにし(たとえば、クライアントレスモバイルアクセスを有効にすることによって)、最新のネットワークトポロジ専用に構築されたセキュリティソリューションを使用することで、SASEとZTNAはセキュリティ体制を大幅に向上させることができます。 より高速で信頼性が高くなります. くの場合、VPNアプライアンスはボトルネックになり、WANの速度が低下し、パフォーマンスに悪影響を及ぼします。 これは、個々のアプライアンスにCPUとリソースの制限があるためです。 クラウドネイティブアプローチにより、SASEはこれらのリソース制限を排除し、基盤となるネットワークファブリックの一部としてWAN最適化も提供することにより、WANパフォーマンスをさらに向上させます。 ゼロトラストネットワークアクセスを備えた最初の真のSASEプラットフォーム SASE市場はまだ成熟しきったたわけではなく、多くのベンダーはSASEの真の使命を果たすには至っていません。 Cato Networksは、ガートナー(Gartner)の2019エンタープライズネットワークのハイプ・サイクル(2019 Hype Cycle for Enterprise Networking)でSASEのサンプルベンダーとして評価されているだけでなく、世界初の真のSASEプラットフォームでもあります。 CatoのSASEプラットフォームは、最新のエンタープライズネットワークを念頭に置いてゼロから構築されました。 このプラットフォームは、ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能をSD-WANや WAN最適化 などのネットワークサービス、および99.999%の稼働率SLAを備えたグローバルプライベートバックボーンと組み合わせています。 その結果、Catoは、パフォーマンス、セキュリティ、およびスケーラビリティの観点から目下SASEの真の約束を提供できる唯一のベンダーです。 Cato SASEプラットフォームの動作を確認したい場合は デモにサインアップ するか、今すぐおすぐお問い合わせください. SASEの詳細については、eBook 「デジタルビジネスのネットワークはセキュアアクセスサービスエッジ(SASE)から始まる」 をご覧ください。