ガートナーは2019年に、新しい市場カテゴリとして... 詳しくはこちら ›
SASEを推奨するアナリストによる説得力ある7つの理由 ガートナーは2019年に、新しい市場カテゴリとしてSASEを提唱し、SASEをネットワークとセキュリティがシームレスに統合されたクラウドネイティブ ソリューションに統合するものであると定義しました。これには、SD-WAN、FWaaS、CASB、SWG、ZTNAなどが含まれます。
ガートナーによるSASEの定義から数年が経過しました。いまこそ、市場がSASEについて知り、経験する時がきました。そこで、主要な業界アナリストによるSASEについての考察を理解しなければなりません。このブログ投稿では、SASEを推奨し、その根本的な影響を分析するアナリストからの7つの分析結果を紹介します。このブログ投稿の基となるレポートで、彼らの完全な洞察と予測を読みたい方はこちらから。
1.新しい機能追加よりも統合が重要
Futuriom Cloud Secure Edgeおよび、SASEトレンドレポートによると、「要約すると、SASE はテクノロジーツールを統合し、それらをクラウドアーキテクチャと統合するという大きな傾向を強調しているということがいえます。」
ポイントソリューションは、ITチームの頭痛の種を増やします。また、攻撃対象領域が拡大するため、ネットワークのパフォーマンスが低下します。総合的なクラウドネイティブ・プラットフォームに、SASEはネットワーク機能とセキュリティ機能を統合し、この問題を解決します。
コンバージェンスにより、SASEはポイントソリューションよりも効率的かつ効果的になります。シングルパス処理によりパフォーマンスが向上し、総合的なインテリジェンスによりセキュリティ体制が向上し、ネットワーク計画が簡素化され、可視性が向上して問題解決にかかる時間が短縮されます。
2.SASEとは究極の「コンバージェンスの具現」
SASEはコンバージェンスを具現しています。2022年のガートナーの予測によると、統合セキュリティが複数の統合ポイントソリューションよりも完全なカバー範囲を提供する方法であることを強調しました。統合型セキュリティプラットフォームは、個々の部分の総計よりも高い効率を生み出します。
このコンバージェンスは、コア機能がシングルパスエンジンを利用して脅威からの防御、データ保護、ネットワークの高速化などに対処する場合にのみ実現できます。
3.SASEは段階的な移行をサポートこれは革命ではなく、進化なのです
Forresterのシニアアナリストである David Holnes氏は、次のように述べています。「SASEは段階的な移行をサポートするように設計されるべきです。一度にすべてを揃えるのではなく、小規模から始めて、ニーズとペースに基づいて徐々に拡大する方法は間違いなくあります。」
SASEは、影響力の大きな市場カテゴリーです。ただしこれは、企業のITチームが適切な計画なしに突然、ネットワークとセキュリティインフラストラクチャ全体を再設計する必要があるということではありません。SASEの変革には、組織の要件に応じて数か月から、場合によっては数年かかる場合もあります。
[boxlink link="https://www.catonetworks.com/resources/7-compelling-reasons-why-analysts-recommend-sase/"] 7 Compelling Reasons Why Analysts Recommend SASE | Download the eBook [/boxlink]
4.統合および簡素化がSASEの目的
NemertesのCTO兼主席アナリストである John Burke氏は、次のように述べています。「SASEを使用すると、ポリシー環境が統合されます。8つの異なるツールでポリシーを定義し、コンテキスト全体で一貫したセキュリティを実装しようとしているわけではありません。」
SASE では、ネットワークとセキュリティは切り離すことができません。すべてのユーザーは、SASEの総合的なセキュリティとネットワークの最適化の恩恵を受けます。
5.SASEの導入により、スピードと俊敏性を持ったビジネス運営が実現
Forresterリサーチの主席アナリストである、Andre Kindnes氏は、「ネットワークは最終的にビジネスに結びつき、ビジネスの重要な差別化要因になります。」と述べています。
SASEはコスト構造を最適化しながら、ビジネスの俊敏性をサポートし、ビジネスに付加価値を与えます。IT部門は、セルフサービスおよび集中管理を通じてすべてのサポート操作を簡単に実行できます。さらに、新機能、アップデート、バグ修正、パッチも、ITチームに大きな負荷を与えることなく配信されます。
6.SASEは未来への保険
NemertesのCTO兼主席アナリストである John Burke氏は、「これは次のパンデミックに備えた、パンデミック保険です」と述べています。
SASEは、継続的な成長とイノベーションのためのビジネスとネットワークを将来的に証明します。それはパンデミックのような劇的な出来事である可能性もあれば、デジタルトランスフォーメーションやM&Aなどの重大な変化、あるいは単なるネットワークパターンの変化である可能性もあります。SASE により、組織はスピードと俊敏性を保ちながら行動できるようになります。
7.IT業務の性質を戦術的なものから戦略的なものへと変えるSASE
ForresterのコンサルタントであるMary Barton氏は、「システムを稼働させるためにリモート拠点へ展開する必要がなくなったため、ITスタッフの満足度は最終的に向上しました。」と述べています。
彼女は、次のように続けます。「日々解決される問題はまったく異なるものになるため、IT部門の士気が高まります。IT部門は、複雑なトラフィック問題、アプリケーションのトラブルシューティング、パフォーマンスについて考えています。」
ネットワークの健全性はビジネスの健全性に直結しています。ネットワークが停止したり、パフォーマンスが低下した場合、ビジネスの収益と従業員の生産性の両方が打撃を受けます。最適化されたネットワークにより、IT部門は常時目を光らせている必要がなくなり、ビジネスクリティカルなタスクに集中できるようになります。
Cato Networksは、SASEの代名詞
Futuriomの創設者兼主任アナリストである Scott Raynovich氏が、次のように述べました。「CatoはSASEのパイオニアであり、SASEが生まれる前にカテゴリーを創生しました。」 同氏は続けます。「彼らは、企業がグローバルなクラウド配信型ネットワーキングとセキュリティを提供する必要性を早くから認識していました。そのビジョンは現在、驚異的な成長を遂げてその成果を示しています。」
レポート完全版を読むにはこちらをご覧ください。
組織の分散拠点、データセンター、クラウドベースのイ... 詳しくはこちら ›
レガシーWAN vs.SD-WAN:考慮すべきすべての事案 組織の分散拠点、データセンター、クラウドベースのインフラストラクチャ、およびリモートワーカーを接続する企業WAN。WANは、高性能で信頼性の高いネットワーク接続を提供することにより、あらゆるユーザーとアプリケーションが効果的に通信できるようにする必要があります。
WANが SaaSアプリケーションやクラウドデータセンターを包括しながら拡大するにつれて、この環境の管理はさらに困難になっていきます。レガシーWANアーキテクチャに依存する企業は、SD-WANなどの代替接続手段を探す必要が出てきます。
レガシーWANとSD-WANを比較し、どちらが現代の組織に適しているかを以下に検討します。
レガシーWANの概要
従来のWANは、分散した企業拠点を各拠点に WANルーターで接続するように設計されていました。こうしたWANルーターはネットワーク境界を定義し、トラフィックを適切な宛先にルーティングします。
主な特長
レガシーWANを定義する主な機能には次のようなものが挙げられます。
ハードウェアへのフォーカス:レガシーWANは、分散する拠点を接続するルーターなどのハードウェア製品を使用して構築されます。
ポリシーの構成:レガシーWANの特徴として、多大な手動設定が挙げられます。これにより、ポリシー構成の高度な制御が実現した一方、大幅な複雑さやオーバーヘッド、潜在的な構成ミスも生じてしまいます。
レガシーWANのメリット
レガシーWANは長い歴史を有しています。これには、次のような有益な理由がいくつか挙げられます。
セキュリティ:2つの企業が同じネットワーク接続を共有しないため、専用の専用線により強力なセキュリティとプライバシーが保証されます。
信頼性:こうした専用接続は、パブリックインターネット上のネットワークルーティングよりもはるかに高い信頼性を提供します。
制御:レガシーWANを使うことにより、組織はネットワークを完全に制御でき、トラフィックの種類とフローに優先順位を付けるルーティングポリシーを定義することが可能でした。
レガシーWANの制限
レガシーWAN は分散した企業拠点を効果的に接続できますが、特に現代の企業にとっては完璧とは程遠いものです。主な制限には次のようなものがあります。
コスト:MPLS 接続は高価であり、利用可能な帯域幅に厳しい制限があります。
敏捷性:変更やアップグレードには大規模な手動での介入が必要となり、変化するビジネス要件に適応する能力が制限されます。
スケーラビリティ:ハードウェアへの依存も拡張を困難にします。組織が必要とする帯域幅が現在のハードウェア容量を
超える場合、新しいハードウェアまたは追加のハ
ードウェアが必要となります。これには時間がか
かるうえ、高価なプロセスになる可能性があります。
複雑さ:レガシーWAN は、複雑なアーキテクチャによって定義されています。それらの管理は難しく、専門的なスキルが必要になる場合がありますが、社内に担当者を置くには費用がかかるため難しいです。
クラウドサポート:多くの場合、クラウドトラフィックは企業のデータ センターを介してバックホールされるため、遅延が増大し、パフォーマンスが低下します。クラウドに移行する組織が増えるにつれ、この問題は深刻化します。
[boxlink link="https://www.catonetworks.com/resources/sase-vs-sd-wan-whats-beyond-security/"] SASE vs SD-WAN - What’s Beyond Security | Download the eBook [/boxlink]
SD-WANの概要
SD-WANは次のように定義できるでしょう:1・ソフトウェア レベルでのトラフィックのルーティング、2・複数のネットワーク接続を集約してパフォーマンスと復元力を向上させるSD-WAN アプライアンスの機能。
主な特長
SD-WAN の主要な機能には次のようなものがあります。
ソフトウェアオーバーレイ:SD-WAN はソフトウェアオーバーレイを作成し、すべてのルーティングの決定はソフトウェアレベルで行われます。これにより、転送のために公共のインターネットを使用できるようになり、ネットワークコストが削減されます。
管理の簡素化:ほとんどのSD-WANソリューションは、ネットワーキング、トラフィック管理、セキュリティコンポーネントとポリシーを含むすべての機能の展開と監視のための集中管理を提供します。
帯域幅の拡大:組織は、広く利用可能なブロードバンド製品を利用して利用可能な帯域幅を拡大することで、最適なネットワークとアプリケーションのパフォーマンスを確保できます。
SD-WANのメリット
多くの組織が、レガシーWANからSD-WANへと切り替えています。SD-WANには次のようなメリットがあります。
コストの削減:SD-WANの主な特徴とメリットの1つは、専用接続を必要とせず、利用可能な広帯域幅のデータ伝送を使用することです。これにより、レガシーWANと比べて大幅なコスト削減が実現します。
柔軟性:SD-WANを使用すると、ネットワーク・トポロジーとアーキテクチャがソフトウェアで定義されるため、構成、変更、全体的な管理の柔軟性が向上します。
スケーラビリティ: 仮想オーバーレイであるSD-WANは、ビジネスの変化に応じて必要な帯域幅を迅速かつ簡単に拡張できます。
ソフトウェアベースの管理:ソフトウェア レベルで動作するため、多くの管理タスクを自動化して簡素化します。これにより、ネットワーク管理のコストと複雑さが軽減されます。
クラウドサポート:SD-WANは、クラウドデータ センターへの直接接続を提供し、バックホールを排除することで遅延を減らします。これは、クラウドに移行された企業アプリや、SaaSアプリケーションのパフォーマンスのために不可欠です。
SD-WANの制限事項
人気のWANソリューションとなったSD-WANですが、依然として次のような制限があります。
信頼性とパフォーマンス:SD-WANのパフォーマンスは、信頼性の低い公共インターネットのパフォーマンスに依存するため、トラフィックの伝送を公共インターネットに依存すると、信頼性とパフォーマンスに関する予測ができなくなる可能性があります。
セキュリティ:SD-WANには通常、基本的なセキュリティが備わっているため、高度な脅威に対する防御は存在しません。このため、組織は次世代ファイアウォール・アプライアンスの購入と設置をする必要があり、環境内のハードウェアが複雑になります。
レガシーWAN vs.SD-WAN:軍配はどちらに上がるのか
どちらも同様の目的を果たしてくれます。分散した場所を接続し、複数の種類のトラフィックを伝送します。さらに、どちらのソリューションもQoSおよびトラフィック優先順位付けポリシーを実装しており、ネットワークのパフォーマンスとセキュリティを最適化します。
とはいえ、レガシーWANには SD-WANと同じ利点はありません。適切に設計・実装されたSD-WANは、レガシーWANと同様の信頼性とパフォーマンスの保証を提供しながら、それらの管理に関連するコストとオーバーヘッドを削減することができます。またSD-WANは、レガシーWANより優れた柔軟性と拡張性を備えており、進化する組織のニーズにより迅速かつコスト効率よく適応できます。
レガシーWANはその目的を十分に果たしましたが、クラウドやリモートワークの導入が進んだ、今日のより動的なネットワーキング環境では、もはや適切な選択肢ではなくなりました。今日、よりダイナミックで進化し続けるビジネス ニーズを満たすために、現代企業はSD-WANを導入しています。
Cato NetworksによるSD-WANへの移行
ほとんどのSD-WANソリューションの主な課題は、その信頼性とパフォーマンスが公共インターネット上の利用可能なルートによって定義されることです。Cato Networks は、グローバル・プライベート・バックボーン上に構築された、SD-WAN as a Serviceとして提供します。これにより、最適化されたSD-WANルーティングがパフォーマンスを向上させながら、専用MPLSに匹敵する信頼性が実現します。Cato SASE クラウドはさらに、SD-WANとCato SSE 360 を統合し、総合的なセキュリティと高いパフォーマンスを提供します。
SD-WAN が、どのようにSASEへと進化を遂げるのか、またCatoによるネットワークとセキュリティの統合から、組織がどんなメリットを得ることができるかについて詳しくご覧ください。
SASEは、クラウドサービスとしてのネットワーキン... 詳しくはこちら ›
シングルベンダーSASEとそれ以外のもの:貴社に最適なのは? SASEは、クラウドサービスとしてのネットワーキングとセキュリティの融合のための設計ガイドラインを設定します。SASEを導入することで、企業は運用の簡素化、信頼性、適応性を実現することができます。2019年のガートナーによるSASEの定義以来、ベンダーが自社の提供する製品をSASEであるとして位置付け直しているのは予想できたことでした。では、推奨されるシングルベンダーSASEのアプローチと、その他のSASE「のようなもの」との違いは何でしょうか?確かめてみましょう。
このブログ記事は、電子書籍「シングルベンダーSASE vs.その他のSASEに似て非なるもの」に基づいています。詳しくはこちら。
SASEとは?
従来のネットワーク境界が無意味となり、ユーザー、アプリケーション、データがさまざまな環境に分散する分散型ネットワーク・アーキテクチャが主流になったことで、複雑性が増し、リスクも増大しています。その結果、企業は運用コストの増加、セキュリティ脅威の拡大、可視性の制限といった問題を抱えることになりました。
SASEは高性能な接続性と、あらゆるユーザーによる、あらゆる場所からの、あらゆるアプリケーションへの安全なアクセスという、これからの企業ニーズに対応する新しいアーキテクチャ・アプローチです。
ガートナー社による、SASEの基本的なアーキテクチャ要件は以下の通りです:
統合化 - ネットワーキングとセキュリティは、コンテキストを共有しながら、ルーティング、検査、ルールの実効性の確保などのコアタスクを同時に処理する1つのソフトウェアに統合される。
IDベース管理 - ユーザーIDと、リソースへのきめ細かなアクセス制御に基づく ZTNAの実施。
クラウドネイティブ - クラウドで提供され、マルチテナントで、柔軟に拡張できる。通常、これはマイクロサービス・アーキテクチャを意味する。
世界的な規模 - ユーザーやアプリケーションに近いPoP(Point of Presence)を通じて世界中で利用可能。
すべてのエッジをサポート - 最適なアプリケーション・パフォーマンスを確保しながら、統一されたセキュリティ・ポリシーにより、すべての支店、データセンター、クラウド、リモート・ユーザーに均一のサービスを提供します。
さらに、よく設計されたSASEソリューションは、単一の管理アプリケーションで制御可能であるべきとされています。これにより、管理、監視、トラブルシューティングのプロセスが合理化されるからです。
一般的なSASEアーキテクチャ
今日、多くの業者が「SASE」を提供しています。しかし、すべてのSASEが同じわけではなく、同一のユースケースに、同一の方法で同じソリューションを提供しているわけではありません。それぞれのSASEアーキテクチャを簡単に比較し、その違いを見ていきましょう。
[boxlink link="https://www.catonetworks.com/resources/cato-sase-vs-the-sase-alternatives/"] Cato SASE vs. The SASE Alternatives | Download the eBook [/boxlink]
1.シングルベンダーSASE
シングルベンダーSASEプロバイダは、ネットワークとセキュリティ機能を単一のクラウド・サービスに統合します。こうすることにより、企業は異なるポイント製品を統合し、アプライアンスを排除し、一貫したポリシーの実施を保証することができます。
さらに、イベントデータは単一のデータレイクに保存されます。こうしてコンテキストを共有することで、可視性が向上し、セキュリティ・ポリシーが効果的に実施されるのです。さらに、集中管理により、ネットワークとセキュリティの問題の監視とトラブルシューティングが容易になります。こうして、SASEは簡単に使用でき、効率を高め、規制遵守を確実なものとします。
2.マルチベンダーSASE
マルチベンダーSASEは、SASEの全機能を提供する2つのベンダーを含み、通常、ネットワークに特化したベンダーとセキュリティに特化したベンダーを組み合わせたものを意味します。このセットアップには、ソリューションが確実に連携し、可視化と管理のためのログ収集と相関を可能にする統合が必要です。 また、複数のアプリケーションが必要とされます。シングルベンダー・システムと同様の機能を実現することはできるが、複雑さが増すと可視性が低下し、俊敏性や柔軟性に欠けることが多くなります。
3.ポートフォリオ・ベンダーSASE(マネージドSASE)
ポートフォリオ・ベンダー型SASEとは、サービス・プロバイダが、設定と管理にAPIを使用する中央管理ダッシュボードを含む、様々なポイント・ソリューションを統合することによってSASEを提供することを指します。このモデルでは、顧客は複数の製品を扱う必要はありませんが、多様なSASEのインフラストラクチャを管理する複雑さという課題が残ってしまいます。さらに、このアプローチを選択したMSPは、変更やサポートの際のリードタイムが長くなり、組織の俊敏性や柔軟性に悪影響を及ぼす可能性もあります。
4.アプライアンス型SASE
アプライアンス・ベースのSASEは、レガシーと化したオンプレミス・ソリューションに縛られているベンダーによって提案されることが多く、通常、リモート・ユーザーや支店のトラフィックは、宛先に到達する前に、オンサイトまたはクラウドの中央データセンター・アプライアンスを経由します。このアプローチはネットワークとセキュリティの機能を兼ね備えているかもしれませんが、その物理的な性質とネットワーク・トラフィックのバックホールは、柔軟性、パフォーマンス、効率性、生産性に悪影響を及ぼす可能性があります。一見魅力的に見えますが、根本的な限界があるのです。
どのSASEオプションが最適か?
様々なSASEのアーキテクチャを操り、それらの違いを理解することは難しいかもしれません。e-bookでは、ガートナーのSASE要件に従ってSASEアーキテクチャをマッピングした簡潔な比較表をご覧いただけます。
結論:シングルベンダーのSASEは、企業にとって最も優先すべき課題への対応に最適です。
ネットワークセキュリティ
敏捷性と柔軟性
効率性と生産性
これらを可能にするのは、
一元化 - 複雑な統合やトラブルシューティングの必要性を排除。
アイデンティティ主導のアプローチ - セキュリティとコンプライアンスを強化。
クラウドネイティブアーキテクチャ - 将来の成長を確実にサポート。
グローバルな可用性 - 生産性を高め、グローバルな活動や事業拡大をサポート。
あらゆるエッジをサポート - 企業全体で1つのプラットフォームと1つのポリシーエンジンを使用し、セキュリティと効率を強化。
ガートナー社によると、シングルベンダーSASEは、2025年までに新規のSASE導入の3分の1を占めるようになると予想されています。2022年の割合はわずか10%で、大幅に増加しています。貴社はこのトレンドにどのように対応していますか?あなたはこの成長著しいムーブメントの一翼を担う立場にあるでしょうか?
具体的なユースケースを探りつつ、様々なアーキテクチャを図解と詳細な比較で深掘りすることに興味がある方は、電子書籍全体をお読みください。こちらでご覧いただけます。
企業ネットワークは急速に複雑化し、分散化しています... 詳しくはこちら ›
SD-WAN導入のための安全で効果的なベストプラクティス5選 企業ネットワークは急速に複雑化し、分散化しています。クラウド・コンピューティング、リモートワーク、モバイル、モノのインターネット(IoT)の普及に伴い、企業ユーザーやIT資産はあらゆる場所に配置され、それぞれが接続性を必要としています。
ソフトウェア定義WAN(SD-WAN)は、セキュアで高性能な企業WANを、既存のネットワーク上に実装する機能を提供します。しかし、組織にその完全な価値を提供するためには、SD-WANインフラストラクチャは慎重に設計・実装されなければなりません。
SD-WAN ベストプラクティス
SD-WANの導入が不完全だった場合、組織に重大なリスクがもたらされます。SD-WANの設計および導入には、以下のベストプラクティスを考慮しなければなりません。
ユーザーをサポートするSD-WANデバイスの位置
SD-WANは、さまざまな拠点間で安全かつ最適化されたネットワークルーティングを提供します。多くの場合、企業は支店やクラウドエッジの近くにSD-WANルーターを導入します。
リモートワーカーにとっても、SD-WANは有益です。最適なネットワーク接続を実現するためには、SD-WANソリューションの導入により、リモートワーカーのパフォーマンスを最大化する必要があります。つまり、SD-WANエッジまでのリモートトラフィックの距離を最短にすることを意味しています。
高品質ネットワーク接続の使用
SD-WANは、ブロードバンドインターネット、マルチプロトコルラベルスイッチング(MPLS)、モバイルネットワークなどの異なるネットワーク接続上でトラフィックをスマートにルーティングすることにより、ネットワークのパフォーマンスと信頼性を向上させるように設計されています。SD-WANデバイスにトラフィックが送信されると、ネットワーク状況に基づいて最適なパスが選択されます。
しかし、ネットワーク接続が自由に使える代わりに、ネットワークのパフォーマンスと信頼性を高めるSD-WANの能力が制限されてしまいます。ブロードバンドインターネット同様、利用可能な接続が本質的に信頼できない場合、SD-WANはこの問題を解決することはできません。SD-WANへの投資価値を最大化するには、期待されるレベルのパフォーマンス、待ち時間、信頼性を提供するネットワーク接続の使用が不可欠です。
拡張性を考慮した設計
継続的に増加している企業の帯域幅に対応するため、SD-WANは現在および将来のネットワーク要件をサポートのために拡張可能である必要があります。専用ハードウェアを使用してSD-WANを導入した場合、ソリューションの拡張性が制限され、将来的にアップグレードまたはハードウェアの追加が必要になります。企業は、その代わりにクラウドのスケーラビリティを活用し、組織のニーズに応じて成長するSD-WANソリューションを使用すべきでしょう。
セキュリティとネットワークの統合
SD-WANはネットワークソリューションであり、セキュリティソリューションではありません。目的地までトラフィックを安全かつスマートにルーティングできても、組織とその従業員を高度なサイバーセキュリティの脅威から保護するために必要とされる高度なセキュリティ検査やポリシー施行が実装されていません。
そのため、SD-WANはネットワークセキュリティとともに導入する必要があります。企業はリモートワークとクラウドの増加に伴い、ネットワーク境界の防御を通過するトラフィックを信頼できなくなり、またトラフィックのバックホールを行うことはSD-WAN導入の目的を失うことになってしまいます。セキュアなSD-WANの導入とは、ネットワークに強力なセキュリティを実装することに他なりません。
[boxlink link="https://www.catonetworks.com/resources/sase-vs-sd-wan-whats-beyond-security/"] SASE vs SD-WAN: What’s Beyond Security | Download the eBook [/boxlink]
統合ソリューションの検討
企業はしばしば、重要なネットワーキングとセキュリティソリューションの導入の際に、必要な機能を提供するポイントソリューションを導入するアプローチをとります。しかし、その結果、監視、運用、管理が難しく、高コストのITアーキテクチャが肥大化してしまうのです。
セキュアSD-WANの導入時にこのアプローチを取ってしまうと、問題を悪化させる可能性があります。各SD-WANデバイスは完全なセキュリティ・スタックでサポートされる必要があるため、最終的には各拠点に複数のソリューションを導入して運用することになってしまいます。
この問題に、SASE(セキュアアクセスサービスエッジ)が解決策を提供します。SASEは、クラウドベースのセキュリティサービスとして提供される完全なネットワークセキュリティ一式と、SD-WAN機能を統合しています。組織はSD-WANを使用することで、最小限のコストと運用オーバーヘッドでWANインフラを実装し、保護することができます。
Cato SASEクラウドによる安全で使いやすいSD-WANの実装
SD-WANの正しい設計と展開こそが、組織がSD-WANの利点を最大限に活用する唯一の道です。そうすることで、ネットワーク パフォーマンスの低下、セキュリティの低下、ユーザー エクスペリエンスの低下を回避できます。
Cato SASEクラウドは、SD-WANのベストプラクティスに従い設計されたSD-WAN機能を提供し、組織に次のメリットをもたらします。
グローバルな展開:Cato SASEクラウドは、80箇所以上のPoPを持つ、グローバルに分散されたネットワークです。これにより、リモートワーカーは最小限の遅延で企業 WANへとアクセス可能となります。
最適化されたネットワーク:Cato SASEクラウドは、専用のティア1キャリアにリンクされたネットワークを通じて接続されています。この接続は、公衆インターネット上で実行されるSD-WANソリューションよりも優れたネットワークパフォーマンスと回復力を提供します。
統合されたセキュリティ:SASEソリューションとして、Cato SASEクラウドはSD-WANと完全なネットワークセキュリティスタックを統合します。この統合は、ネットワーク・パフォーマンスやユーザー・エクスペリエンスを損なうことなく、高度な脅威防御の提供を実現します。
クラウドベースでの展開:グローバルなプライベートバックボーンにより接続された、PoPのグローバルネットワークとして、Cato SASEクラウドは展開されています。その結果、現場のアプライアンスベースのソリューションよりも高い拡張性、可用性、回復力の提供を可能とします。
マネージドSD-WAN:Cato SASE CloudはマネージドSD-WANサービスとしての利用が可能です。これにより、SD-WAN導入の設定、管理、更新の手間から開放されます。
SD-WANはネットワークパフォーマンスの向上に貢献しますが、潜在的なセキュリティ・リスクももたらします。Cato SASEクラウドは、PoPネットワーク上に構築され、グローバルなプライベートバックボーンで接続された単一のソフトウェアスタックに、SD-WANとネットワークセキュリティを統合することによってこれを解決します。Cato SASEクラウドを使用し、SD-WANとSASEを実装することで、組織のネットワークパフォーマンスとセキュリティがどのように最適化されるのかについて詳細をご覧ください。
ランサムウェアは、あらゆる規模の組織にとっての主た... 詳しくはこちら ›
企業向けランサムウェア対策のためのSASEアプローチ ランサムウェアは、あらゆる規模の組織にとっての主たるサイバー脅威であり続けています。その理由の一つとして、これらの攻撃がサイバー犯罪者にとって非常に高い収益率を実現する一方で、以前よりも簡単かつ安価になったことが挙げられます。ランサムウェア業界は、2017年のWannaCryの流行以来、次のような幾つかの段階を経て進化してきました。
大規模攻撃キャンペーンの実施:WannaCryのようなランサムウェア攻撃は、できる限り多くのシステムを感染させるよう設計されています。感染させることに成功した場合、それぞれの被感染システムに対して比較的小さな身代金を要求し、質より量で利益を上げようとします。
標的型攻撃:ランサムウェアの攻撃キャンペーンは、時間が経過するにつれ、特定の組織を標的とする極めて標的性の高い攻撃へと進化しています。サイバー犯罪者は、綿密な調査を行うことで、感染させたシステムから奪う利益を最大化する手段を突き止めるためです。
ランサムウェア・アズ・ア・サービス(RaaS):
ランサムウェアをサービスとして提供する「RaaSギャング」は、マルウェアのコピーをアフィリエイトに配布し、感染に成功した場合はその利益の一部を手に入れます。このモデルにより、攻撃力の高いランサムウェアに感染する企業が増加しました。
二重脅迫:二重脅迫型ランサムウェアは、被感染システム上の機密または重要データを盗み出し、暗号化します。そうしてデータ漏洩の脅威を利用し、身代金の支払い確率を高めます。
三重脅迫:三重脅迫とは、ランサムウェア攻撃による影響を、感染した組織からその顧客へと拡大させるものです。ランサムウェアを操る犯罪者は、データが攻撃による影響を受けた複数の組織に対して支払いを要求します。
ランサムウェアは、非常に効果的で収益性の高いサイバー脅威であることが判明しています。サイバー犯罪者は、攻撃の収益性と身代金の支払い確率の向上のため、今後も技術革新と成功体験を続けていくでしょう。
ランサムウェア攻撃に共通する攻撃手法
サイバー犯罪者は、さまざまなランサムウェアの展開・実行方法を持っていますが、代表的なもののごく一部を以下に紹介します。
脆弱性の悪用:非常に一般的な方法でとして、パッチが適用されていない脆弱性を狙ったランサムウェアの配布があります。サイバー犯罪者はこういった脆弱性を悪用することで、脆弱なシステム上にマルウェアを仕込み、実行することを可能とします。
フィッシング攻撃:ソーシャルエンジニアリングを用いて、ユーザーを騙して端末にマルウェアをダウンロードさせ、実行させるものをフィッシング攻撃といいます。ランサムウェアは、メッセージに添付されていたり、悪意のあるリンク先であるフィッシングサイトに配置されていたりすることがあります。
認証情報の漏洩:推測や、フィッシングによる漏洩などの手段により、ユーザー認証情報が侵害されるおそれがあります。サイバー犯罪者は、これらの認証情報をリモートデスクトッププロトコル(RDP)や仮想プライベートネットワーク(VPN)を使って、システムにアクセスしたりマルウェアを展開したりすることができます。
悪意のあるダウンロード:フィッシングサイトでは、ランサムウェアのファイルをダウンロードする場合があります。そうしたファイルは、正規のソフトウェアに見せかけたり、ユーザーのブラウザの脆弱性を悪用してダウンロードさせ、実行することができます。
ランサムウェア攻撃の段階
ランサムウェアは、他の種類のマルウェアと同じ多くの攻撃手順を踏んでいます。攻撃の主な段階は次の通りです。
感染初期:ランサムウェアの攻撃は、標的となるシステムにマルウェアがアクセスするところから始まります。これは、フィッシングや漏洩した認証情報の使用など、さまざまな手段で行われる可能性を持っています。
コマンド&コントロール:ランサムウェアが実行されると、それを操作する者とコマンド&コントロール(C2)間にチャネルを確立します。これにより、ランサムウェアは操作者にデータを送信したり、操作者からの指示を受けたりすることが可能となります。
横方向への動き:ランサムウェアは、暗号化される予定のある貴重なデータを持つデバイスをすぐさま襲うことはほとんどありません。マルウェアは企業ネットワークに足場を築いた後に探索をし、貴重な機密データを暗号化するために必要なアクセス権や特権を獲得するために横方向に移動します。
データ盗用と暗号化:マルウェアは必要なアクセス権を獲得すると、データの暗号化とバックアップの削除を開始します。また、C2チャネルを通じて、データのコピーをマルウェア操作者に流出させたりもします。
身代金ノート:マルウェアはデータの暗号化が完了すると、身代金ノートを公開し、システム上に存在することを示します。その後、身代金が支払われ、復号化キーが提供された場合、ランサムウェアは暗号化されたすべてのファイルを復号化します。
ランサムウェア対策
一度データの盗用や暗号化をされてしまうと、組織ができるランサムウェア対策は限られたものになってしまいます。しかし、ランサムウェアへの感染率を下げるため、企業は以下のような対策をとることができます。
脆弱性管理:定期的に脆弱性をスキャンし、パッチを適用することにより、ランサムウェア配信のため悪用されるセキュリティホールを解消することができます。さらに、Web Application and API Protection (WebアプリケーションとAPIの保護、WAAP)ソリューションは、パッチ未適用の脆弱性の悪用を試みる動きを遮断することができます。
メールセキュリティ:ランサムウェアやその他のマルウェアを配信するもう一つの一般的な手段として、フィッシングが挙げられます。メールセキュリティソリューションは、悪意のある添付ファイルやフィッシングページへのリンクを含むメッセージを識別して遮断します。
多要素認証(MFA):認証情報が漏洩した場合、リモートアクセスソリューションを通じて企業システムへのアクセスやマルウェアの配信に利用される可能性があります。強度の高いMFAを導入することで、漏洩した認証情報の悪用が困難になります。
ウェブセキュリティ:悪意のあるサイトから意図的に、もしくは意図せずにランサムウェアがダウンロードされることがあります。セキュアWebゲートウェイ(SWG)は、危険なサイトの閲覧や悪意のあるダウンロードを遮断することができます。
エンドポイントセキュリティ:ランサムウェアは、被感染エンドポイント上で実行され、ファイルを暗号化するマルウェアです。エンドポイントセキュリティソリューションは、ランサムウェアの感染の特定、および修復を可能にします。
Catoによる企業向けランサムウェア対策アプローチ
機械学習アルゴリズムと、Cato SASEクラウドの詳細なネットワークインサイトを使うことで、エンドポイントエージェントを配置せずともネットワーク上におけるランサムウェアの拡散を検出し、防止することができます。被感染マシンを特定し、即座に隔離して修復を行います。
Catoは、豊富な多層マルウェア軽減戦略により、MITRE ATT&CKフレームワーク全体において攻撃を妨害します。.Catoのマルウェア対策エンジンは、全般的にマルウェアの配布を防止します。Cato IPSは、サイバーキルチェーン全体で使用される異常な動作を検出します。また、CatoはIPSと次世代型アンチマルウェアを使用して、一般的なランサムウェアグループが使用するMITRE ATT&CKテクニックを検出・防止し、発生段階の前に攻撃を発見しています。また、Catoのセキュリティ研究者はこの戦略の一環として、ランサムウェアグループが使用するテクニックを追跡してCatoの防御を更新し、企業を既知の脆弱性の悪用から記録的な速さで保護しています。
当社は、ランサムウェアの検出と遮断に特化した、発見的アルゴリズムを使用しています。機械学習による発見的アルゴリズムは、SMBのライブトラフィックフローを、次のようなネットワーク属性の組み合わせにより検査します。
既知のマルウェアファイルの配信を遮断する。
C2トラフィック、および横方向の移動試行を検出する。
リモートドライブやフォルダのアクセス試行を識別する。
ドライブの暗号化を秒単位で行うなど、間隔時間をモニタリングする。
Cato Networksは、ランサムウェア攻撃の検知と低減を、エンドポイントにエージェントを展開せずに実現します。Catoのネットワークベースのランサムウェア対策について、詳しく知りたい方はこちらから。.
企業におけるデジタル攻撃対象は、クラウドの普及に伴... 詳しくはこちら ›
ネットワークセキュリティの未来: 2023年以降のサイバーセキュリティに関する予測 企業におけるデジタル攻撃対象は、クラウドの普及に伴い拡大しています。サイバー犯罪者は、常に進化したツールとテクニックを駆使して新たな脅威を生み出し、組織を窮地に陥れようとします。
毎年、サイバー攻撃と防御の両面で新たなトレンドが生まれる中、2023年以降のネットワークセキュリティのトップトレンドを予測しました。トップトレンド一覧は以下の通りです。
#1. セキュリティの出発点となるゼロトラスト
ゼロトラストは、データ漏洩などのセキュリティ事故の主な原因である「暗黙の信頼と過剰な権限」の排除を目的としています。「暗黙の信頼と過剰な権限」は、サイバー犯罪者による組織ネットワークやシステムへのアクセスと、アクセス範囲の拡大、およびリソース搾取のために悪用され、多くのサイバー攻撃における原因となっています。性善説に基づく信頼を排除し、生産性を維持するために必要な最小限の権限に基づきアクセス制限することにより、攻撃者による悪用を防ぎます。
ゼロトラストは、現状の課題に対応するセキュリティ手法として近年さらに注目の的となっています。効果的なゼロトラスト戦略は、きめ細かいポリシーを定義し、適切なアクセス許可を付与し、ネットワーク上のユーザーをよりきめ細かく制御することが可能です。
効果的なゼロトラスト戦略は、多くのサイバー脅威から組織を保護しますが、総合的な解決策にはほど遠いものです。ゼロトラストを出発点とし、徐々に制御範囲を拡大することで、完全に成熟したセキュリティプログラムを構築することが理想的なアプローチといえるでしょう。ゼロ・トラストはセキュリティ問題解決への出発点であり、プロセスを円滑かつ迅速に進める正しい戦略を持つことで、その先にあるセキュリティの現実的な課題への対応が可能となります。
#2. セキュリティの簡略化が加速
ITインフラやサイバーセキュリティが脅威にさらされている状況は組織ごとに異なりますが、実際ほとんどの企業が同様の課題に直面します。サイバー犯罪者は、ネットワークやアプリケーションの脆弱性を狙い、利用することに長けています。SOCアナリストは、大量の疑わしいアクティビティによる、対応しきれないほどのアラートに悩まされています。また、複雑なマルチクラウド環境の拡大により、新たなセキュリティ課題が発生し、攻撃の手法も増加しています。
スタンドアロン製品の寄せ集めでこれらの脅威に対処することは、ネットワーク・セキュリティに対する非生産的かつ拡張性に欠けた、非効率的なアプローチといえます。そのため今後は、セキュリティチームが複雑なインフラをより効果的に保護・セキュア化することが出来るようになるために、単一アーキテクチャに集約されたセキュリティ機能を提供するセキュリティプラットフォームを採用する企業は増えて行くでしょう。
#3. SASEの迅速な導入
デジタルトランスフォーメーションの波が押し寄せ、企業ネットワークは、過去の複雑で柔軟性に欠けるアーキテクチャから早急に脱却する必要があります。クラウドの導入、WFA(Work from anywhere)、BYODポリシー、モバイルデバイスなどの影響により、企業のネットワーク環境はより複雑になり、管理や最適化、セキュリティ、および拡張が難しくなっています。さらに、従来の城と堀型のキュリティ・アーキテクチャは時代遅れとなり、企業は信頼性の高いネットワーク接続と完全なセキュリティの二択を迫られています。
その結果、企業による最新のネットワーク特化型ソリューションの導入が加速しました。この最新のネットワークには、信頼性と耐障害性に優れ、ビジネスの成長に合わせて拡張できる、統合されたクラウド提供型のアーキテクチャが求められます。これを実現できるのは、セキュアアクセスサービスエッジ(SASE)だけです。
その結果、企業はこのような最新のネットワークに特化して設計されたソリューションをより迅速に採用することになります。このような最新のネットワークには、信頼性と耐障害性に優れ、ビジネスの成長に合わせて拡張できる、統合されたクラウド提供型のアーキテクチャが必要です。これを実現できるのは、セキュアアクセスサービスエッジ(SASE)だけです。
#4. 標的型ランサムウェア攻撃の拡大
ランサムウェアは、サイバー犯罪者にとってのドル箱であることがわかっています。ランサムウェアによる犯罪を成功させるには、攻撃対象の徹底的なリサーチ、つまり最適な攻撃ベクトル、攻撃対象とする最も価値のあるリソース、そして被害者が支払い可能な最大金額を特定することが重要です。不況に陥る国もあり、多くの組織が利益維持のためのコスト最適化を余儀なくされていることから、サイバー犯罪者はより弱く、脆弱な標的を特定し、追い込んでいくでしょう。
近年では、ヘルスケアや金融サービス業、そして最近では製造業がランサムウェア攻撃の主な標的となっています。2023年以降も、攻撃対象は指数関数的に拡大し、今まで以上の攻撃が出現することが予想されます。
#5. 高まるAPIセキュリティの重要性
現代のアプリケーションは、API を中心に設計されているため、アプリケーションのセキュリティ対策は、APIのセキュリティ対策に大きく依存しています。APIは、他のプログラムが自動的にデータを要求したり、送信したり、他のアクションを実行できるように設計されています。
APIの設計は、クレデンシャル・スタッフィング攻撃、脆弱性スキャン、DDoS攻撃など、ある種の自動化攻撃の理想的なターゲットとなります。これらのAPIがサイバー犯罪者の標的となることが増えるにつれ、ビジネスを成功させるためにAPI固有の攻撃ベクトルに対する防御策を導入することが重要となっています。
#6. IoTに起因するサイバー攻撃の増加
IoTデバイスは、驚異的な成長を遂げています。5Gネットワークの拡張により、高速かつ高性能なネットワーク接続がもたらされ、これらのデバイスをあらゆる場所に配備することが可能となりました。これらのデバイスが成熟するにつれて、機密性の高いビジネスデータの収集、処理、保存に使用されることが多くなるでしょう。
これらのデバイスは、多くの組織にとってますます重要なものとなる一方、攻撃や侵害のリスクを増加させます。IoTデバイスは常時利用可能であるため、継続的な攻撃の理想的なターゲットとなることが大きな脅威となります。これらのデバイスには、脆弱なパスワードやパッチの未適用による脆弱性など、しばしばセキュリティ上の問題が見られます。機密性の高い貴重なデータを扱うIoT機器が企業ネットワークに導入されるようになった現在、これらの機器に対するサイバー攻撃は増加の一途を辿っています。
#7. 保険適用外となるサイバー攻撃の増加
サイバーセキュリティ保険は、組織によるサイバーセキュリティへのリスク管理において重要な対応策の一つです。サイバーセキュリティ保険をデフォルトのサイバーセキュリティ戦略とする企業も一部見受けられます。これらの企業は、ランサムウェア攻撃を受けた場合、身代金や復旧・通知費用を含むすべての費用を保険会社が負担してくれることを期待しています。
しかし、高額なランサムウェア攻撃の急増により、一部の保険プロバイダーは補償スキームにおける選択肢の設定を進めています。これには、保険契約の締結と維持の条件として、顧客に求められるサイバーセキュリティの改善とセキュリティ基準への準拠の証明要件の強化が含まれます。最終的には、補償の範囲は限定され、攻撃被害がより普及し高額になり続ければ(将来的にはおそらくそうなると思われる)、補償自体が提供されなくなるかもしれません。
#8. サイバーレジリエンスが経営者の優先事項となる
サイバー犯罪者は、ビジネスの中断に焦点を当てた攻撃への移行を強めています。ランサムウェア攻撃を受けると、企業の重要なリソースへのアクセスが拒否され、正規ユーザーが企業システムにアクセスできなくなります。こうして、サイバー犯罪者により企業の運営能力や収益性が脅かされ、企業は危険にさらされるのです。
ビジネスに対するサイバー攻撃の脅威が高まり、サイバーレジリエンスは経営上層部にとって優先事項となっています。サイバー攻撃がビジネスを崩壊させる可能性があるのであれば、こうしたリスクを管理または軽減できる予防的なソリューションに投資することは、戦略的にも財務的にも理にかなっているのです。
これらの予測は企業にとって何を意味するのか
サイバーセキュリティの進化は、2023年も企業のセキュリティプラットフォームの進化を促進することになります。レガシーセキュリティアーキテクチャは、最新のよりダイナミックなITアーキテクチャと急速に進化するサイバー脅威のために設計されたソリューションに置き換える必要があります。
Cato SASE CloudとSSE 360ソリューションは、最新のサイバー脅威に対する、企業の全体的な保護を提供するセキュリティアーキテクチャの実装を支援します。貴社のネットワークパフォーマンスと、セキュリティの向上にCatoがどのように貢献できるかについてお確かめいただくためには、デモをお申し込みください。
