SD-WANセキュリティ

SD-WANセキュリティ

AV-TEST(ドイツの独立系ITセキュリティ調査機関)の統計によると、新しいマルウェアの検出数が2019年8月に大幅に増加しました。同月だけで1,444万の新しいマルウェアプログラムが同調査機関に登録され、マルウェアプログラムの登録総数が9億3,800万を突破しました。この数字は、企業ネットワークが直面している極めて深刻な脅威を、客観的に示しています。

WANは企業ネットワークの出入口であり、リスクを軽減し、セキュリティ対策を向上させるには、WANのセキュリティを確保することが不可欠です。しかし、クラウドサービスやモバイルユーザーが主流になっている現在、ネットワークは10年前に比べてはるかに流動的になっており、セキュリティの確保が難しくなっています。

ビジネスのあり方がこのように根本的に変化している中、WANセキュリティにも新たなアプローチが必要です。アプライアンスベースのSD-WANやMPLS(マルチプロトコルラベルスイッチング)は、このようなユースケースには対応しません。一方で、クラウドベースのSD-WANは、クラウドネイティブソフトウェアとサービス型セキュリティ機能により、現代の広範囲にわたるセキュリティ課題に対応する総合型WANソリューションを提供します。

ここでは、クラウドベースのSD-WANセキュリティとサービスとしてのセキュリティモデルがどのように従来型の製品と異なるのかについて解説します。

WANセキュリティと企業が直面している課題

クラウドネイティブSD-WANがセキュリティの観点から非常に説得力がある理由を説明する前に、2つの旧式WANソリューション、MPLSとアプライアンスベースのSD-WANの弱点について見てみましょう。

MPLSは、クラウドやモバイルが世界中で普及する以前に、2つのエンドポイント間に信頼性の高い、高性能な専用接続を提供するために導入されました。しかし、MPLS回線は暗号化されず、トラフィックインスペクション、IPS(不正侵入防止システム)、アンチマルウェアなどのセキュリティ機能を個別に追加する必要があります。アプライアンスベースのSD-WANには、一般的には暗号化機能が含まれており、MPLSの難点のひとつを解決しますが、その他の弱点があります。SD-WANアプライアンスは、セキュリティアプライアンスではありません。例えば、NGFW(次世代ファイアウォール)機能を実装するには、ネットワークエッジに個別のアプライアンスを追加する必要があります。

MPLSおよびアプライアンスベースのSD-WANの両方に関して、「アプライアンスを追加してセキュリティを追加する」アプローチには欠点があります:

  • 複雑で拡張性がない。 アプライアンスの追加に伴い、ネットワークが複雑化します。アプライアンスを追加するたびに時間がかかるだけでなく、コストのかかるセキュリティ侵害につながる見落としが発生する可能性も高まります。アプライアンスにひとつでも設定ミスがあれば、重大なセキュリティリスクにつながる恐れがあり、手動による設定により、見落としやミスが発生しやすくなります。
  • コストが高い。 アプライアンスを個別に調達してライセンスを取得し、展開してメンテナンスを行う必要があるため、コストが増します。
  • クラウドやモバイル対応に限界がある。アプライアンスベースのアーキテクチャは、本質的に拠点を重視しています。セキュリティや接続の観点から、アプライアンスにクラウドサポートを追加する容易な方法はありません。

クラウドネイティブソフトウェアとSecurity as a ServiceによるSD-WANセキュリティがゲームチェンジャーである理由

Cato SASE Cloudをサポートするクラウドネイティブのネットワークインフラストラクチャは、WANファブリック基盤にセキュリティ機能を統合して、SD-WANセキュリティを次世代のレベルに引き上げます。Catoのクラウドネイティブインフラストラクチャは、現代の企業ネットワークを念頭に置いてゼロから構築されています。セキュリティ機能を組み込むことで、専用ハードウェアを統合する必要がほとんどなく、単一の管理インターフェースにより、複雑さを軽減し、WAN管理に必要な技術的専門知識を習得するための投資および時間を減らします。

さらに、CatoのグローバルプライベートバックボーンのPoP(ポイントオブプレゼンス)でTLSトラフィックインスペクションが行われるため、クラウドを行き来するトラフィックを効率的に保護できます。また、Cato Software Defined Perimeterにより、モバイルユーザーへの対応をシンプルかつ拡張性を持って提供できます。

Catoは、セキュリティ機能をクラウドにシフトし、クラウドの拡張性、スケールメリット、機動力をSD-WANセキュリティにもたらすSecurity As a Serviceモデルを提供します。

関連コンテンツ:SASE(Secure Access Service Eccdge)とは?

エンタープライズグレードのクラウドベースSD-WANセキュリティ機能

クラウドベースのSD-WANセキュリティのアーキテクチャのメリットをご理解いただいたところで、Cato SASE Cloud独自の具体的な機能をいくつか説明します。

  • NGFW. Cato NGFWは、WANおよびインターネット接続のトラフィック検査により、ネットワークエンティティ、時間、トラフィックのタイプに基づいて、綿密なセキュリティポリシーを適用できます。NGFWのディープパケットインスペクションエンジンは、ペイロードを復号化することなく、特定のトラフィックフローに関連するアプリケーションやサービスを分類します。NGFWにより、アプリケーションを完全に識別しながら、トラフィックをコンテキスト化し、より綿密なポリシーを適用できます。
  • セキュアWebゲートウェイ(SWG)。インターネットを介するマルウェアやフィッシング攻撃は、企業のWANにとって大きな脅威です。SWGは、Webアクセス制御により、疑わしいまたは悪意のあるソフトウェアのダウンロードを防止します。Webサイトのカテゴリごとに定義されたポリシーに加え、企業独自のルールを入力して、WAN内のWebの安全性をさらに最適化できます。
  • マルウェア対策。Cato SASE Cloudは、エンタープライズグレードのアンチマルウェア機能提供に2つのアプローチを採用しています。一つは、グローバルな脅威データベースからの最新情報に基づいて更新されるシグネチャとヒューリスティックベースのエンジンが、トラフィックをスキャンし、マルウェアを検出します。次に、情報セキュリティ業界のリーダーSentinalOne社との提携により、人工知能と機械学習を組み込み、シグネチャベースのチェックを回避する可能性のある未知のマルウェアを特定します。
  • IPS. Catoの不正侵入防御システムは、コンテキストを意識したSD-WANセキュリティを提供します。Catoのネットワークは、より堅牢なIPSを提供します。Cato Research Labsがビッグデータを活用して、IPSの性能を最適化し、誤検知を削減しています。
  • MDR(Managed Detection and Response). MDRにより、侵害されたエンドポイントの検出を、Catoのセキュリティオペレーションセンター(SOC)に任せることができます。MDRにより、自社のサポート負担を軽減するだけでなく、マルウェアによる被害の主な要因のひとつである、滞留時間を最小限に抑えることができます。MDRにより、脅威を迅速に特定して封じ込め、Cato SOCが修復に関するアドバイスを提供します。また、SOCチームは、ネットワークセキュリティインシデントの定量化に役立つ月次レポートを提供しています。

Catoの最新かつ拡張性の高いSD-WANセキュリティ

アプライアンスの調達、プロビジョニング、パッチ適用、維持にかかる複雑さとコストを、サービスとしてのセキュリティによって削減します。クラウドベースのSD-WANには、アプライアンスベースのSD-WANやMPLSでは実現できない数多くの独自のメリットがあります。クラウドネイティブなソフトウェアとサービスとしてのセキュリティモデルにより、Catoはネットワークとセキュリティを統合したアプローチを提供します。これにより、情報セキュリティ、運用、ビジネス面でのメリットを得ることができます。

この点について、Cato社のお客様であるKyocera Senco社シニアネットワーク&システムアーキテクト、イェルーン・キート氏は次のように述べています。「クラウドに移行する企業は、Catoについてよく調べてみるべきです。接続性、セキュリティ、インテリジェンスの統合が、すべてのビジネスを前進させる一歩となるはずです。Cato Networksが提供する機能をすべて使いこなすことで、財務面、機能面、IT管理面で大きなメリットがもたらされます」

CatoによるSD-WANセキュリティの革命および貴社のニーズに合ったWAN接続ソリューションの選択について、詳しくは弊社宛にお問い合わせください。Cato SASE Cloudを実際にご覧いただくには、デモをお申し込みください。

SD-WANに関するよくある質問

  • SD-WANとは?

    SD-WAN(ソフトウェア定義型広域ネットワーク)デバイスを企業の拠点にセットアップして、MPLS、LTE、ブロードバンドインターネットサービスなど、基盤となるあらゆる転送サービス全体にわたって、デバイス間に暗号化されたオーバーレイを構築できます。

  • SD-WANのメリット?

    帯域幅コストの削減:MPLSの帯域幅は、高額なコストがかかります。「ビット当たりの価格」で見ると、MPLSは公共のインターネットの帯域幅よりもかなり高額です。正確なコスト比較は、立地条件をはじめとするさまざまな変数によって異なります。MPLSは、単に帯域幅あたりのコストが大幅に高いだけではありません。MPLSリンクのプロビジョニングは、数週間から数ヵ月かかることが多いのに対し、同等のSD-WANの導入は多くの場合、数日で完了します。ビジネスにおいては「時は金なり」です。ボトルネックとなっているWANを排除することが大きな競争力につながります。
    公共のインターネットを信頼性の高いネットワークに転じる:アクティブ/アクティブ構成で実行される複数のデータサービスを使用して、拠点間を接続できます。ダウンタイム時にセッションを別の転送に切り替える、1秒未満のネットワークフェイルオーバーにより、アプリケーション中断を回避できます。
    安全な通信:暗号化された接続により、すべての転送にわたって、実行中のトラフィックを保護します。
    オンデマンドの帯域幅: 帯域幅を即座に増減して、重要なアプリケーションに必要な帯域幅を必要なときに確保できます。
    即時の拠点立ち上げ:MPLSでは数週間から数ヵ月かかる新しい拠点の立ち上げを、わずか数分で完了できます。SD-WANのノードは自動的に構成され、4G/LTEを使用してすぐに展開することができます。

  • SD-WANの採用を推進する主なトレンド?

    これまでは、マネージドMPLSサービスなどのレガシー通信事業者サービスを利用してネットワークが構築されてきました。これらのサービスはコストが高く、サービスを開始するまでに数週間から数ヵ月を要し、簡単な変更でもサービスプロバイダーのサービスが必要です。
    SD-WANは、このような状況から脱却し、ITネットワークにアジリティとコスト効率をもたらします。SD-WANは、複数のインターネット接続を利用して拠点間を接続し、暗号化されたオーバーレイでアグリゲーションを行います。オーバーレイのポリシー、AAR(アプリケーションを意識したルーティング)、動的リンク評価により、基盤となるインターネット接続の利用を最適化できます。

    最終的にSD-WANは、安価な公共のインターネットを利用して企業が必要とするセキュリティと可用性を提供し、適切なパフォーマンスと稼働率を実現します。

  • SD-WANの制限?

    グローバルバックボーンの欠如: SD-WANアプライアンスは、基盤となるネットワークインフラにセットアップされます。つまり、SD-WANアプライアンスだけではなく、パフォーマンスと信頼性の高いネットワークバックボーンも必要です。
    高度なセキュリティ機能の欠如: SD-WANアプライアンスは、最新のネットワーキングの多くのユースケースに対応していますが、セキュリティ要件には対応していません。このニーズを満たすために、多くの場合、さまざまなベンダー(CASBなど)のセキュリティおよびネットワークアプライアンスのパッチワーク管理が必要です。また、各アプライアンスを社内のIT部門やMSPが調達、プロビジョニング、管理する必要があるため、ネットワークのコストと複雑さが増します。
    テレワークをサポートしない: SD-WANアプライアンスは、拠点間の接続用に構築されています。SD-WANアプライアンスは、リモートワークの安全な接続には対応していません。