サイバーセキュリティの投資家やベンダー、マスコミが... 詳しくはこちら ›
重要なのはプラットフォームであり、プラットフォーム化ではない サイバーセキュリティの投資家やベンダー、マスコミが、パロアルトネットワークス(PANW)が最近の決算発表とガイダンスの下方修正にともない発表した新しいコンセプトに沸いています。プラットフォーム化。PANWは、長年にわたってサイバーセキュリティの主流であった「ポイント・ソリューション・フォー・マイン・ポイント・プロブレム(ポイント問題に対するポイント・ソリューション)」という考え方により、企業が経験する「ポイント・ソリューション疲れ」に対処したいと考えています。PANWは、現在のポイント・ソリューションをPANWのプラットフォームに統合することで、複数のベンダーによる複数のソリューションを扱う複雑さを軽減し、プラットフォーム化を実現すると主張しています。PANWは移行を容易にするため、顧客に対して入れ替え対象製品の契約が切れるまでの最大6カ月間、同社の製品を無料で使用できるサービスを提供します。
バラバラになったネットワーキングとセキュリティ・インフラを維持するという顧客の課題に対処するために、ポイント・ソリューションの統合が必要であることに、当社はこれ以上ないほど同意します。 Catoは9年前、複数のネットワーキングとセキュリティのカテゴリーを統合するプラットフォームを構築することを使命として設立されました。現在、2,200社以上の企業顧客が、SASEカテゴリーを生み出したCato SASE Cloudプラットフォームの変革によるメリットを享受しています。
PANWはSASEプラットフォームを持っているのでしょうか?PANWや、とりわけシスコを含む多くのレガシー・ベンダーは、M&Aによって機能ポートフォリオを確立し、ビジネスのワンストップショップを確立して成長してきました。しかし、これらの買収とOEMを統合して、まとまりのある統合プラットフォームにするには、コードベース、物理仕様、ポリシーエンジン、データレイク、リリースサイクルにわたって行う必要があり非常に困難です。現在のPANWが持っているのは、統合の度合いが異なるポイントソリューションの集合体であり、顧客はそれにまつわる多くの複雑な手続きを必要とされます。私の目には、PANWのアプローチは「プラットフォーム化」というより「ポートフォリオ化」と呼ぶべきものかと思います、余談ですが。
[boxlink link="https://www.catonetworks.com/resources/the-complete-checklist-for-true-sase-platforms/"] The Complete Checklist for True SASE Platforms | Download the eBook [/boxlink]
複雑さを抽象化するために一から設計された真のプラットフォームだけが、顧客のポイント・ソリューションに関する悩みを解決するのです。Catoのプラットフォームと出会った顧客たちは、ITチームがどのようにセキュリティを確保し、ビジネスを最適化するかを変革する方法を見出すでしょう。Catoは単一のグローバル・ポリシー・エンジンによって管理され、最大の可用性と拡張性、最高のパフォーマンス、最適なセキュリティ体制のために自律的に維持され、世界中どこでも利用可能な、幅広いセキュリティ機能を提供します。ITによるこうした強大なパワーを実現するには、「プラットフォーム化」ではなく「プラットフォーム」が必要です。
当社は数年にわたって、ポイント・ソリューションからの移行を容易にし、より良い結果をもたらす方法を顧客に提供してきました。当社は、ほとんどの顧客に向けて、MPLS サービス、ファイアウォール、SWG、CASB/DLP、SD-WAN、および PANW を含むすべてのベンダーのリモート・アクセス・ソリューションなど、多くのポイント・ソリューションを置き換えてきました。当社顧客がこの戦略的な SASE変革の決定を下すのは、当社が顧客に奨励するのが主な理由ではなく、Cato SASE プラットフォームと現実の状態の質的な違いを理解しているからです。
PANWは、真に顧客の現実を変えることを約束するのではなく、その規模やブランド力で顧客を惹きつけています。真のSASEプラットフォームが、ITの機能的、運用的、商業的、さらには個人的にどのような変革をもたらすかについてもっとくわしく知るには、ぜひCatoをお試しいただくことをお勧めします。
この1年、生成系AI(Generative AI)... 詳しくはこちら ›
Catoが生成系AIセキュリティの謎を解き明かし、ChatGPTへの組織からのアクセスを保護する方法 この1年、生成系AI(Generative AI)やChatGPTを中心に、AIのリスクについて無数の記事、予測、予言、予知が語られてきました。その範囲は、倫理から広範囲にわたる社会や労働力への影響まで多岐にわたります(今のところ、ターミネーターが現実のものになることはないと思いますが…)。Catoのセキュリティ研究とエンジニアリングが、この予測と懸念に高い興味を示していたことから、ChatGPT によってもたらされるビジネスへのリスクを調査することを決めました。私たちの発見は、いくつかの重要な結論に要約することができます。
ChatGPT などを使用している組織では現在、実際のリスク以上に恐怖心を煽るような行為が散見されます。
生産性におけるメリットは、リスクをはるかに上回っています。
とはいえ、脅威の状況は急速に変化する可能性があるため、組織はChatGPTなどのツールで機密情報や所有権を持つ情報が使用されないよう、セキュリティ管理を導入する必要があります。
懸念事項
前述の、恐怖心を煽るような行為の多くは、ChatGPTとその基盤となる生成系AI技術の「プライバシー」という側面に関するものです。 主な懸念事項は、ChatGPTで共有されているデータは具体的にどうなるのかという点です(モデルをトレーニングするためにバックグラウンドでどのように使用されるのか、または使用されないのか、保管されている場合はその保管方法など)。
問題は、ユーザーが ChatGPT を操作する際のデータ侵害や企業の知的財産のデータ漏洩のリスクです。いくつかの典型的なシナリオを見てみましょう:
ChatGPTを使用する従業員 - ソフトウェアエンジニアがAIにレビューしてもらうためにコードのブロックをアップロードするなど、ユーザーが所有権を持つ情報や機密情報をChatGPTにアップロードする。もしモデルがそのデータを使ってさらに自己学習した場合、後で該当のコードが不注意か悪意かによる他のアカウントへの返信を通じて漏れてしまう可能性はないのでしょうか?現実には、その可能性は低く、実際に組織的な搾取を証明するものは発表されていません。
サービス自体のデータ漏洩 - OpenAIが侵害されたり、ChatGPTのバグによってユーザーデータが漏洩した場合、ChatGPTを使用している組織はどのようなリスクにさらされるのでしょうか?機密情報がこのような形で漏れる可能性はあるのでしょうか?現実の可能性としては、OpenAIのインフラストラクチャのバグが原因で、一部のユーザーが自分のアカウントで他のユーザーのチャットタイトルを見ることができたという、少なくとも1つの公開インシデントがOpenAIによって報告されている程度です。
独自の生成系AI実装 – AI はすでに、独自の専用 MITRE攻撃フレームワークである ATLAS を持っており、入力操作からデータ抽出、データポイズニング、推論攻撃などに至るまでの手法を備えています。こうした手法で、組織の機密データが盗まれる可能性はあるのでしょうか?答えはイエスです。このテーマに関する最近の Cato リサーチポスト の投稿で紹介されているように、手法は無害なものから理論的なもの、実践的なものまで多岐にわたりますが、いずれ生成系 AIの独自実装のセキュリティ保護についてはこの記事に含まれていません。
常に私たちが行うことにはリスクが伴います。インターネット接続にはリスクがあるにも関わらず、毎日何十億人ものユーザーがインターネットを利用しています。ただ、適切な予防策を講じる必要があるだけです。ChatGPTにも同じことが言えます。 いくつかのシナリオは他のシナリオよりも可能性が高いですが、現実的な観点から問題を分析することで、簡単なセキュリティ対策を実施して安心することができます。
[boxlink link="https://catonetworks.easywebinar.live/registration-everything-you-wanted-to-know-about-ai-security"] Everything You Wanted To Know About AI Security But Were Afraid To Ask | Watch the Webinar [/boxlink]
生成系AIのセキュリティ管理
最新のSASEアーキテクチャは、CASBとDLPをプラットフォームの一部として含んでおり、これらのユースケースに簡単に対応できます。Catoのプラットフォームはまさにそのように設計されており、ChatGPTや同様のアプリケーションを組織内で安全に使用するためのレイヤーアプローチを提供します。
どのアプリケーションを許可し、どのユーザー/グループにそのアプリケーションの使用を許可するかを制御
送信を許可するテキスト/データを制御
アプリケーション固有のオプション(データ保持のオプトアウト、テナント制御など)の実施
最初のアプローチは、どのAIアプリケーションの使用が許可され、どのユーザーグループに使用が許可されるかを定義すること。これは、「Generative AI Tools」アプリケーション・カテゴリーと、許可する特定のツール、例えば、すべての生成系AIツールをブロックし、「OpenAI」のみを許可するという組み合わせを指定して行うことができます。
高度なDLPソリューションの基礎となるのは、データを確実に分類する能力であり、データの完全一致、静的ルール、正規表現といった従来のアプローチは、単独で使用する場合、もはや時代遅れとなっています。例えば、クレジットカード番号は正規表現を使えば簡単にブロックできますが、金融文書を含む現実のシナリオでは、機密情報が漏れる可能性のある手法は他にもたくさんあります。ただ機能するより、高度なソリューションがなければ、データの変化やポリシーの微調整に追従しようとしてもほとんど意味をなしません。
ここで、CatoのML(機械学習)データ分類器の出番です。これは、Catoが長年にわたってプラットフォームに統合してきたAI/ML機能の広範な配列に、すでに追加された最新バージョンです。何百万もの文書とデータタイプでトレーニングされた当社のLLM(大規模言語モデル)は、ネイティブでリアルタイムに文書を識別することができ、このようなポリシーに最適なツールとして機能します。ChatGPTで特定のテキスト入力をブロックするシナリオを見てみましょう。例えば、プロンプトを通して機密データや機密データをアップロードする場合です。たとえば、法務部門の従業員が NDA (機密保持契約) 文書の草案を作成し、最終的に完成する前にChatGPT に文書を渡して、内容を確認して改善を提案したり、文法を確認したりするとします。特に文書に PII が含まれている場合、これは明らかに会社のプライバシーポリシーに違反する可能性があります。
図1 - ML 分類子を使用して法的文書のアップロードをブロックするルールの例
もっと深く知る
包括的なCASBソリューションの実力と柔軟性をさらに実証するために、ChatGPTのプライバシーコントロールのもう一つの側面を見てみましょう。設定には「チャット履歴とトレーニング」を無効にするオプションがあり、基本的にユーザーは自分のデータがモデルのトレーニングに使用され、OpenAIのサーバーに保持されないように決めることができます。この重要なプライバシー制御はデフォルトで無効になっています。つまり、デフォルトではすべてのチャットが OpenAI によって保存されます。これはユーザーがオプトインされていることを意味し、組織が ChatGPT を使用するビジネス関連の活動においては避けるべきでしょう。
図2 - ChatGPTのデータ制御構成
ChatGPTをユーザーが柔軟に使用できるようにする一方、より厳格な制御を適用することとのバランスを取るための良案として、チャット履歴が無効になっている ChatGPT でのチャットのみを許可することが挙げられます。CatoのCASBグラニュラーChatGPTアプリケーションは、ユーザーがチャット履歴にオプトインしているかどうかをリアルタイムで区別し、データが送信される前に接続をブロックすることができるため、このような柔軟性が可能になります。
図3 - 「トレーニング・オプトアウト」実施ルールの例
最後に、上記の代替 (または補完) アプローチとして、ChatGPT アクセス用のテナント コントロールを構成することができます。つまり、アプリケーションへのアクセス時にどのアカウントが許可されるかを強制することができます。考えられるシナリオは次の通りです。組織は ChatGPT に企業アカウントを持っており、デフォルトのセキュリティおよびデータ制御ポリシーが全従業員に適用されており、従業員が無料枠の個人アカウントで ChatGPT にアクセスしないようにしたいと考えています。
図4 - テナント・コントロールのルール例
CatoのCASBとDLPについての詳細はこちらをご覧ください:
https://www.catonetworks.com/platform/cloud-access-security-broker-casb/
https://www.catonetworks.com/platform/data-loss-prevention-dlp/
アート・ニコルズとニコ・オハラ独占インタビュー ... 詳しくはこちら ›
Cato Networks、画期的なSASEベースのXDRとEPPを発表:パートナーによるインサイト アート・ニコルズとニコ・オハラ独占インタビュー
進化し続けるサイバーセキュリティにおいて、Cato Networksは、世界初のSASEベースの拡張検知・応答(XDR)と、世界初のSASE管理型エンドポイント・プロテクション・プラットフォーム(EPP)を発表しました。
このCato SASEクラウドプラットフォームは、より安全で統合された、迅速なサイバーセキュリティプラットフォームに向けた、業界の道のりにおける重要なマイルストーンとなります。SASEをXDRおよびEPPの機能と統合することで、この革新的なプラットフォームは、サイバーセキュリティの課題に対処する方法における極めて重要な転換を意味し、脅威の検知と対応への統一的かつ包括的なアプローチを企業に提供します。
アナリストが自身のために独自に開発したCato XDRツールは、このシフトを象徴しています。少ないアナリスト数でより多くの顧客にサービスを提供することで、収益が増加し、他のソリューションよりも迅速に脅威を修復できるため、セキュリティが向上し、最終顧客の満足度も高まります。
さらに、当社のCato EPPは、ウォレットシェアと顧客価値を同時に高めることで、この価値提案を増幅させます。それは単なるベンダーの統合にとどまらず、能力の収束にまで踏み込んだものです。
この立ち上げがチャネルに与える影響を理解するため、Windstream EnterpriseのCTOであるアート・ニコルズ氏とAVANTのエンジニアリング・シニア・ディレクターであるニコ・オハラ氏にお話を伺いました。
[boxlink link="https://www.catonetworks.com/resources/the-future-of-the-sla-how-to-build-the-perfect-network-without-mpls/"] The Future of the SLA: How to Build the Perfect Network Without MPLS | Download the eBook [/boxlink]
アート・ニコルズ:SASEベースのXDRとSASEマネージドEPPの変革力に関するCTOの見解
アートは言います。「 SASEにXDRとEPPを統合することは、単に別の製品であるというだけではありません。これは業界にとって大きな変革です。」「これらの機能の革新的な統合により、高度な脅威検出、対応機能、エンドポイント・セキュリティが統合されたクラウドネイティブ・アーキテクチャ内に統合され、ますます高度化するサイバー脅威から企業がネットワークとデータの保護方法に革命が起こります。」
アートは、この統合がサイバーセキュリティの複雑な状況をいかに簡素化するかを強調しました。「企業はしばしば、複数のセキュリティ・ツールやプラットフォームを管理する複雑さに悩まされます。Cato SASE Cloudプラットフォームは、これらのSASEのコア機能を統一されたフレームワークに統合し、企業がネットワークのパフォーマンスとセキュリティを向上させ、セキュリティ体制をより効果的に管理することを容易にします。」
「Windstream Enterpriseは、常に最先端のソリューションを企業に提供することに注力してきました。CatoのSASEベースのXDRとEPPは、我々の理念と完全に合致しています。それは、包括的なセキュリティと高度なネットワーク機能を1つのシームレスなパッケージにまとめることです。」
ニコ・オハラ:セキュリティと効率性の向上に関するエンジニア
エンジニアリング・ソリューションへの戦略的アプローチで知られるニコは、経営上のメリットについての見解を発表しました。
「SASEフレームワークの中に統合された、拡張された検出と対応能力は、当社が単に脅威を防ぐだけでなく、リアルタイムで積極的に脅威を検出し、対応していることを意味します。このプロアクティブなアプローチは、今日のダイナミックな脅威の状況において非常に重要です。」
「Cato NetworksのようなSASEベンダーと提携することで、当社はアドヴァンテージを得ることができます。追う立場ではなく、パイオニア企業であれという当社のビジョンと一致します」。
「AVANTはすでに、セキュリティを強化するだけでなく、業務効率を向上させる技術を採用する最前線に立っていますが、Cato NetworksのSASEベースのXDRとEPPは、この原則を体現しています。」
チャネル・パートナーとディストリビューターにとっての新時代
アートもニコも、この革新がチャネル・パートナーやディストリビューターにとって新時代の到来を告げるものであると同意しています。アートは「チャンネルは、技術的に進化しているだけでなく、商業的にも実行可能なソリューションを必要としています」と述べています。「Cato SASEベースのXDRを使用することで、企業はニーズに合わせて拡張できるセキュリティおよびネットワーキング・ソリューションを手に入れ、複雑さの伴わない比類のないセキュリティを提供できます。」
ニコはさらに、次のように続けました。「今回の立ち上げにより、AVANT のようなテクノロジーサービスディストリビューターは企業にさらに多くの価値を提供できるようになります。当社は従来のセキュリティ・モデルを超えて、より統合されたインテリジェントなアプローチに移行しています。これは、関係者全員がwin-winの関係になるということです。」
結論
Cato Networks のグローバル・チャネル・チーフとして、チャネル・パートナーの熱意と楽天的な様を目の当たりにして興奮しています。世界初となるSASEベースのXDRおよび、SASE 管理のためのEPP の導入は、Catoのイノベーションの証であるだけでなく、パートナーとその企業に対する当社の取り組みを反映したものでもあります。私たちは協力して、セキュリティ、効率、拡張性の強化を約束する、サイバーセキュリティの新たなスタンダードを確立しています。
要約すると、この脆弱性は当初予想されていたよりも深... 詳しくはこちら ›
Cato による cURL SOCKS5 ヒープ・バッファ・オーバーフロー (CVE-2023-38545) の分析と対策 要約すると、この脆弱性は当初予想されていたよりも深刻ではないようです。Catoの顧客とインフラは安全です。
先週、cURLのオリジナル作者であり、長年にわたり開発を手動するDaniel Stenbergが、ユビキタスなlibcurl開発ライブラリと、curlコマンドラインユーティリティに存在する重大度の高い脆弱性の「ティーザー」を発表しました。
一週間も待たされた挙句、人道に対する複数の凶悪犯罪、そして宣戦布告がなされ、脆弱性が公表されました。
今になって思うと、この最初の発表は、セキュリティとシステム管理者たちに、やや過度ともいえるパニックを引き起こしました。しかし、libcurl とcurl の使用法が世界中でいかに広く普及しているかを考え、(Catoでは同じ様に広く使用されています。詳しくは後述します)、libcurlのウェブサイトから引用します - インターネットに接続されている地球上のすべての人間は、意識的かどうかにかかわらず、毎日 (lib)curl を使用していると推定されています - ですから、当初の懸念は当然でした。
libcurl ライブラリとcurl ユーティリティは、URLとの対話やさまざまなマルチプロトコル ファイル転送に使用され、すべての主要な Linux/UNIX ディストリビューションにバンドルされています。おそらくそうした理由から、プロジェクトの管理者は脆弱性を非公開にすることを決め、攻撃者を阻止するために詳細をほとんど共有せず、パッチ適用済バージョンが公開されたときに備えてそれぞれのパッケージ管理システムで準備を整えている間、OS ディストリビューションの管理者に事前に通知するだけでした。
[boxlink link="https://www.catonetworks.com/rapid-cve-mitigation/"] Rapid CVE Mitigation by Cato Security Research [/boxlink]
脆弱性の詳細
バッファ・オーバーフローの脆弱性を含むコードは、SOCKS5プロキシプロトコルをサポートするcurlの一部です。SOCKS5は、組織のプロキシを設定したり、Torネットワークで使われているようにトラフィックを匿名化したりするための、よく知られたシンプルなプロトコルです(最近ではあまり使われていませんが)。
脆弱性はlibcurlのホスト名解決にあり、このホスト名解決はターゲットのプロキシサーバーに委譲されるか、libcurl自身によって行われます。255バイト以上のホスト名が与えられた場合、ローカル解決に切り替わり、解決されたアドレスのみが渡されます。このバグのせいで、ハンドシェイクが十分に遅い場合(投稿によると、「十分に遅い」とは典型的なサーバーのレイテンシーを指します)、バッファ・オーバーフローが引き起こされ、解決された結果の代わりに「長すぎるホスト名」全体がバッファにコピーされる可能性があります。
脆弱性が悪用されるのに満たされる必要がある条件は、具体的に次のとおりです。
「CURLOPT_BUFFERSIZE」を設定していないアプリケーション、または 65541 未満に設定しているアプリケーション。curl ユーティリティ自体はこの値を100kBに設定するため、特別にコマンドラインで変更しない限りは脆弱ではないことに注意してください。
CURLOPT_PROXYTYPEを CURLPROXY_SOCKS5_HOSTNAME 型に設定します。
CURLOPT_PROXYまたはCURLOPT_PRE_PROXYは、スキームsocks5h://を使用するように設定します。
バッファ・オーバーフローを悪用する可能性のある方法として、攻撃者がSOCKS5経由でlibcurlクライアントからアクセスされるウェブサーバを制御し、バッファ・オーバーフローを引き起こすのに十分な長さのホスト名を持つLocationヘッダを含む細工されたリダイレクト(HTTP 30xレスポンス)を返させることです。
Catoの(lib)curlの使い方
Catoは、もちろんlibcurlとcurlそのものを複数の目的で利用しています:
curlとlibcurlベースのアプリケーションは、スクリプトや社内アプリケーションのグローバルなインフラストラクチャで広範囲に使用されています。
CatoのSDPクライアントもlibcurlを実装し、複数の機能に使用しています。
当社はSOCKS5を使用しておらず、Catoのコードとインフラは、このCVEのいかなる形に対しても脆弱ではありません。
CatoによるCVEに対する分析回答
CVEの詳細と公開されたPOCに基づき、Catoリサーチラボの研究者は、これが悪用される可能性は中程度~低いと考えています。
とはいえ、当社はもちろんこのCVEにIPSシグネチャを追加し、仮想パッチを適用することで、世界中のCatoに接続されたサイトに保護を提供し、世界中のCatoに接続されたすべてのユーザーとサイトに対して、検出から保護までの時間を1日と3時間と定めてエクスプロイトの試みをブロックし、14時間後にはすでにオプトイン保護を利用できるようにしています。Catoは、影響を受けるバージョンはlibcurl 7.69.0から8.3.0までで、該当するサーバーとアプリケーションにパッチを当てることを推奨しています。さらに、前述のように、脆弱性を誘発する可能性のあるCURLOPT_PROXYTYPE、CURLOPT_PROXY、およびCURLOPT_PRE_PROXYパラメータの使用法を特定することで、緩和することが可能です。
CVE-2023-38545に関する詳細なインサイトや、その他多くの興味深くオタク的なサイバーセキュリティの話については、次のCato ポッドキャストをお聞きください(そして購読してください!)The Ring of Defense:サイバーセキュリティのポッドキャスト(音声版もあり)。
追いつくのがほとんど不可能なペースで、新たなアプリ... 詳しくはこちら ›
Catoアプリケーションカタログ – AI/MLによるアプリ分類の強化方法 追いつくのがほとんど不可能なペースで、新たなアプリケーションが登場し、それらはシャドーITとして、ITチームとセキュリティチームに絶え間ない課題と盲点を生み出しています。組織は、適切なセキュリティを維持するために、アプリケーション・ランドスケープにおける最新の開発や変更に合わせて自動的に更新されるツールを使用することで、後れを取らないようにする必要があります。
SASE製品に不可欠なのは、ユーザーのトラフィックを正確に分類し、実際に使用されているアプリケーションにマッピングする能力です。認可または非認可アプリケーションを管理し、アプリケーションまたはアプリケーションのカテゴリに基づいてネットワーク全体にセキュリティポリシーを適用し、特にCASBを使用してきめ細かなアプリケーション制御を行うには、包括的なアプリケーションカタログを維持する必要があります。
これを維持するためにCatoは、高度に自動化されていると同時に重要なデータ駆動型のプロセスを構築する必要がありました。これにより、お客様が最も使用しているアプリケーションに焦点を当て、詳細な分類ができるようになります。この投稿では、手間のかかる手作業だったアプリケーション・カタログの更新を、データ駆動型パイプラインの形で完全に自動化されたAI/MLベースのプロセスへと強化し、新たなアプリケーションの追加率を、毎週数十から数百のアプリケーションへと、文字通り桁違いに向上させた方法について詳しく説明します。
カタログに掲載されているアプリケーションとは一体何ですか?
アプリケーション・カタログに掲載されているアプリケーションには、次のようないくつかの特徴があります:
一般 - 会社の事業内容、従業員、本社所在地など。
コンプライアンス - アプリケーションが保持し、準拠している証明書。
セキュリティ - TLSや2要素認証、SSOなどをサポートしているかなど、アプリケーションがサポートする機能。
リスクスコア - ネットワークに対する実際に起こりうる脅威にIT管理者やCISOが集中できるよう、複数のヒューリスティック(詳細は後述)に基づき当社のアルゴリズムによって算出される重要なフィールド。
本題に入ります。実際にどのように行われるのでしょうか。
アプリケーションを追加するプロセスを「署名」と呼びます。つまり、自動化されたプロセスから始まり、人間のアナリストが毎週のリリース・サイクルでリリースされるアプリのリストを調べ、最終的に人間による検証を行うまでです(余談ですが、新しいコンテンツを運用環境に公開する際には最高の制御と品質を必要としているため、これは現在プロセスのボトルネックでもありますが、プロセスのこの部分も改善する方法に取り組んでいます)。
前述のように、まず最初に追加したいアプリケーションを選ぶことで、そのためにネットワークを流れるすべてのトラフィックからすべてのメタデータを収集する巨大なデータレイクを利用します。当社の複数の顧客アカウントにまたがって繰り返される、当社ネットワーク全体で最も使用されているドメイン(FQDN)を見て、まだ署名されておらず、当社カタログに掲載されていないものを特定します。
[boxlink link="https://catonetworks.easywebinar.live/registration-everything-you-wanted-to-know-about-ai-security"] Everything You Wanted To Know About AI Security But Were Afraid To Ask | Watch the Webinar [/boxlink]
当社のセキュリティ・リサーチ・チームが開発・保守する社内ツール「Shinnok」を使用して、自動化はエンド・ツー・エンドで行われます。Shinnokは、特定された未署名アプリの一覧をもとに、すべてのアプリについて4つのフィールド(説明、コンプライアンス、セキュリティ、リスク・スコア)の集計を開始します。
説明 – これは最も簡単な部分で、CrunchbaseからAPI経由で取得した情報に基づいています。
コンプライアンス – 対象とするコンプライアンス認証ごとに、オンライン検索と追加のヒューリスティックを組み合わせて、アプリがサポートする認証のリストを作成します。例えば、GoogleのクエリAPIを使用して、指定されたアプリケーション+ "SOC2 "を検索し、信頼性の低いソースからの偽陽性の結果をさらにフィルタリングすることで、SOC2準拠のサポートを特定することができます。
セキュリティ – コンプライアンスに似ていますが、データレイクを使用して、ネットワーク上で観察したアプリが使用している特定のセキュリティ機能を特定します。
リスクスコア – 最も重要な項目であり、複数のデータを組み合わせてリスクスコアを算出します:
ポピュラリティ:これは、当社ネットワークのリアルタイムのトラフィックデータを含む複数のデータポイントに基づいており、当社ネットワーク全体でアプリケーションの発生を測定し、さらにオンラインソースとの相関をとっています。通常、人気のあるアプリや知名度の高いアプリは、無名の新しいアプリよりも低リスクです。
CVE分析:アプリケーションの既知のCVEをすべて収集し、集計します。明らかに、アプリケーションに深刻度の高い CVEが多ければ多いほど攻撃される隙が多くなり、組織のリスクが高まります。
センチメントスコア:当社は、ニュース、メンション、企業またはアプリケーションに関連するあらゆる記事を収集し、アプリケーションに関するすべてのメンションにおいてデータセットを構築します。そして、このデータセットを当社の高度なAIディープラーニングモデルに通し、すべてのメンションについて、それが肯定的な記事またはメンションか、否定的な記事またはメンションかを出力し、最終的なセンチメントスコアを生成し、全体的なアルゴリズムのデータポイントとして追加します。
当社アルゴリズムを使ってすべての異なるデータポイントを抽出し、アプリの最終的なリスクスコアを計算することができます。
どんなメリットがあるの?
アプリケーション分類に対するこのアプローチの主なメリットは、プロアクティブであることです。つまり、Cato を使用するネットワーク管理者は、すべての最新アプリケーションの最新アップデートを自動的に受信します。収集したデータに基づいて、ネットワーク内のすべての HTTPトラフィックの80~90%が既知のアプリケーションの分類によってカバーされていると評価しています。管理者は、すでに要約されているデータを参照して、組織内で注意が必要なトップリスクを把握することで、時間をより効率的に活用できます。
使用例その1 – MetaのThreads
積極的なアプローチを実証するために、MetaによるThreadsプラットフォームが一般公開された際の爆発的な立ち上げにおける、最近の使用例を見てみましょう。このプラットフォームは話によると、現在の成功とは別に、ChatGPTを追い越し史上最大の製品発表として記録されました。5日間でのユーザー登録数は、1億人を超えました。以下の図では、アプリカタログに追加する資格を持つ、新しいアプリケーションのすべてのボックスをオンにして、独自のネットワークの観点からこれを確認できます。一意の接続とユーザーの数から、Threadsを使用していたさまざまな顧客アカウントの合計数まで。
自動化されたプロセスのおかげで、Threadsは今後署名するアプリケーションのバッチに自動的に組み込まれました。リリースから2週間後には、エンドユーザーはアクションを実行する必要が全くなく、すでにCatoアプリカタログの一部になっていました。
使用例その2 – 地理的地域によるカバレッジ
当社のセキュリティ調査チームが行った分析の一環として、日本市場向けのアプリケーションのカバレッジにかなりのギャップがあることが判明しました。これは、カバレッジが不足しているという日本の営業チームから受け取ったフィードバックと一致していました。同じ自動プロセスを使用して、今回はデータレイクから Shinnokに入力されるデータの範囲を日本のユーザーのみに制限し、日本市場に特化したアプリケーションでアプリケーション・カタログを強化する集中プロジェクトを開始し、さらに多くのアプリケーションを追加することができました。4か月間で600 件を超える新規申請がありました。
これに続き、日本の宛先への検査対象 HTTP トラフィック全体の50% 未満から90% 以上まで、アプリのカバレッジが大幅に増加したことを測定しました。
まとめ
当社は、巨大なネットワークとデータレイクを活用することで、リアルタイムのオンライン・データ・ソースとAI/ MLモデルを組み合わせることで高度に自動化されたプロセスを構築し、人的作業をほとんど行わずにアプリケーションを分類できる方法をレビューしてきました。もちろんCatoの顧客にとって主なメリット、ユーザーが使用している最新のアプリケーションを常に最新の状態に保つための心配する必要がなく、インターネット上のトップトレンドや、使用状況に基づいて自動的にアップデートを受け取ることができることです。
民間部門の企業は、サイバーセキュリティのベストプラ... 詳しくはこちら ›
各国政府は、いつセキュリティ機器の使用を禁止するのか? 民間部門の企業は、サイバーセキュリティのベストプラクティスを米国連邦政府に求めています。米国のCISA(サイバーセキュリティ&インフラセキュリティ庁)は、既存の製品にパッチを当てることや、他の製品の使用を避けるよう命令や指示を出しています。米国国立標準技術研究所(NIST)は、サイバーセキュリティ・フレームワーク(CSF)など、さまざまなセキュリティトピックに関する詳細なガイダンスを提供する重要な文書を発行しています。
CISAとNISTは、世界の同等の政府機関と同じく、時代遅れのセキュリティ・ソリューションや、発見された脆弱性のリスクを定量化し、それらを悪用から保護する緊急性を担当する専門家チームを擁しています。しかし、このような機関は民間には存在しません。確立されたサイバー専門家チームを持った資金力のある組織でない場合は、政府の指導に従うことが論理的かつ効果的です。
すべきこと vs できること
政府機関によるサイバーセキュリティに関するガイダンスを知っておくことは非常に重要です。しかし、自覚することは課題の一部にすぎません。もっと大きな次の段階は、その指導に従うことです。「命令」あるいは「指令」とも呼ばれる、オペレーティング・システムのアップデートや、ハードウェア製品へのパッチ適用に関する指示は毎週のように出され、官民を問わずほとんどの企業が対応に苦慮しています。
WindowsやmacOSのようなオペレーティング・システムは、ソフトウェア・アップデートを自動化し、容易に展開できるようにし、長い道のりを歩んできました。多くの企業はコンピュータを集中管理しており、重要なソフトウェア・アップデートを数時間から数日で展開することができます。
一方、ハードウェア・アプライアンスは、パッチを当てるのが困難です。これらは重要なインフラであることが多いため、IT部門は運用のダウンタイムに注意しなければならず、週末や休日に行われることも多いです。ルーター、ファイアウォール、セキュア・ウェブ・ゲートウェイ(SWG)、侵入防御システム(IPS)などのアプライアンスは、アップデートに対して非常に「敏感」であると考えられています。歴史的に、パッチや修正プログラムを適用しても同じように動作することはなく、トラブルシューティングに時間がかかり、生産性が低下し、攻撃のリスクが高まってしまいます。アプライアンスへの迅速なパッチ適用という課題は、サイバー攻撃者と同様に政府に認識されています。これらのアプライアンスは、しばしば企業の境界セキュリティとして(誤った)信頼を置かれていますが、現実には企業に侵入するための、攻撃者にとって簡単で好みの方法です。
[boxlink link="https://www.catonetworks.com/resources/cato-networks-sase-threat-research-report/"] Cato Networks SASE Threat Research Report H2/2022 | Get the Report [/boxlink]
CISA KEVカタログ - 重要事項に焦点を当てる
ほとんどの企業は、継続的なパッチ適用サイクルにリソースを費やすことができないため、優先順位付けが必要となっています。米国CISAのKEV(Known Exploited Vulnerability:既知の悪用された脆弱性)カタログは、政府機関に最も重要なパッチを義務付けており、民間企業はどこに重点を置くべきかを知るのに役立ちます。
KEVのカタログは、注目に値するいくつかの重要な洞察にも言及しています。Imperva Incapsula、Okta、Cloudflare、Cato Networks、Zscalerなど、クラウドネイティブなセキュリティ・ベンダーは、データベースに1件たりともも記録されていません。これは、これら企業のソリューション・アーキテクチャが、継続的なサービスにおいて脆弱性にパッチを適用・修正することを可能にしているためで、企業は常に安全な状態にあります。
一方、ハードウェア・ベンダーを見てみましょう。2023年9月現在、シスコが65件、VMwareが22件、フォーティネットが11件、パロアルトネットワークスが4件となっています。
サイバーリスク分析と必然的結論
CISAのKEVは氷山の一角にすぎません。CVE(Common Vulnerabilities and Exposures:共通脆弱性・暴露)データベースの全容を調べると、さらに懸念事項があることがわかります。
FortiOSは、フォーティネットのすべてのNGFWで使用されているオペレーティングシステムで、関連する脆弱性は130件超、そのうち31件は 2022 年に公開され、14件は 2023 年の最初の9か月間で公開されました。パロアルトネットワークスの NGFW のオペレーティング システムである PAN-OS には、150 を超える脆弱性がリストされています。ちなみに、Cisco ASAのそれは400件近くあります。これに比べ、Okta、Zscaler、Netskope はすべて1桁以内であり、クラウドサービスとして、エンドユーザーに依存することなく、ほぼ即時にあらゆるCVEに対処できます。
ほとんどの企業は、非常に多くの脆弱性のリスクを評価するためのチームと専門知識、およびそれらに継続的にパッチを適用するためのリソースが不足しているため、現実には企業はサイバー攻撃にさらされたままにされているのです。
アプライアンスベースのセキュリティを信頼するリスクに対し、クラウドベースのセキュリティを信頼するリスクが低いことは明白です。これはCISAのKEVを見れば明らかですが、CVEデータベースの全体を見るとさらに明確になります。
こうしたことから、おそらく近い将来、米国のNISTやCISAといった政府機関が、ある時点でアプライアンス・ベースのセキュリティ・ソリューション使用に反対を勧告したり、禁止したりするのは必然的な結論といえます。
実践的アドバイス
この事態に関する私の分析が大げさであると思う方は、フォーティネットが最近の脆弱性について独自分析をし、政府や重要インフラがターゲットにされていると明言しているレポートをご覧ください:https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
セキュリティ・アプライアンスは数十年前から存在していますが、製品にシームレスで抵抗がなく、自動的でリスクのないパッチを当てるという夢は実現しませんでした。それは、クラウドネイティブのセキュリティ・ソリューションでしか実現できないのです。
現在契約済みのセキュリティ・インフラがアプライアンス・ベースである場合、来る更新サイクルで、クラウド・ネイティブ・セキュリティに移行する方法を計画し始めるべきでしょう。
今、あるいは近いうちに更新する場合は、家電製品のリスクがますます高まっていることを十分に考慮するべきです。
SD-WANが抱える5つの問題点 問題その1:SD... 詳しくはこちら ›
ウェビナー “SD-WANではなく、SASEでしか実現できない5つのこと” SD-WANが抱える5つの問題点
問題その1:SD-WANにはセキュリティがない
まず、SD-WANの抱える明白な問題として「SD-WANにはセキュリティが付随しない」という事実があります。
図1は、企業ネットワーク上の 1. インターネット、2. クラウドDC、3. オンプレDC、4. ブランチ、5. リモートの5つのエッジを示しており、今日の企業はこれらすべてのエッジの安全な接続とセキュリティを担保する必要があります。
SD-WANを使用する企業がしばしば直面する問題として、リモートユーザーと拠点オフィスからDC間のバックホールトラフィックのセキュリティに依然としてNGFWが必要であることや、そしてセキュリティ対策が断片化してしまうことが挙げられます。
SASEは、図2のようにすべてのエッジがクラウドに接続されるため、セキュリティ対策が統合され、すべての場所で利用可能となり、バックホールが不要、かつセキュリティ対策の断片化を解消できます。
問題その2:SD-WANはMPLSの代わりにならない
残念なことに、SD-WANではインターネットアクセスのルーティングと帯域幅が保証されるのは、ISPネットワーク内のみとなります。
図3のように、ユーザーが国外のリソース(リモートDCや、クラウド等)にアクセスすると、トラフィックはボトルネックとなるISPの中継リンクを通り、ルーティングとパフォーマンスが予測不能な世界へと突入します。
グローバルバックボーンを備えたSASE(図4)では、国内ISPを離れてもルーティングが制御され、パフォーマンスが保証されます。
問題その3:SD-WANではクラウドに接続できない
SD-WAN環境では、拠点からクラウド、ユーザーからクラウドへの接続は簡単ではありません。クラウドDCにアクセスするための次善策としての3つのオプションとして、高価なプライベートリンク、予測不能なインターネット、クラウド上のvSD-WAN専用機器が挙げられますが、いずれも完璧なソリューションではありません。
またSaaSに関しては、インターネットを使ったり、データセンターをハブ拠点のようにしてSD-WANで接続するという方法も考えられますが、どちらもセキュリティやパフォーマンスの問題で最適とは言えないソリューションです。
この問題も、SASEを使ってクラウドに接続することで解決できます。最適化とセキュリティ機能はビルトインされており、どこでも利用可能で、バックホールなし、拠点内のユーザにもリモートユーザーにも対応可能です。
問題その4: SD-WANはリモートユーザーの役に立たない
厄介なことに、リモートアクセスとSD-WANは別のプロジェクトであるため、SD-WANは基本的にリモートユーザーをサポートしません。リモートユーザーによるクラウドやインターネットへの直接アクセスは安全ではなく、最適化もされません。また、バックホールを通じたセキュリティ確保は、ユーザーエクスペリエンスの低下に繋がります。
その点、SASEはリモートユーザーも、オフィスユーザーも全く同様に扱います。WANやクラウドへのアクセスは最適化され、バックホールに頭を悩ます必要もありません。クライアント型、もしくはクライアントレス型アクセスではVPNも不要で、全トラフィックに対し完全なセキュリティ検査を実施します。
問題その5:SD-WANではコストを削減できない
クラウド化によりますますトラフィック量が増えていく傾向にあるため、コストをどう抑えるかも重要になってきていますが、SD-WANはコスト削減という点ではかなり限定的です。
なぜなら、図6のように、ITインフラ全体の中で、SD-WANというのはごく一部だけを指しているからです。そして、それぞれの部分が個別の管理と運用、メンテナンスが必要とされるため、SD-WANのコストを削減してもまだまだたくさんの課題に対応しなければいけません。
SASEは、これらのポイントソリューションを一つのプラットフォームに集約することができ、それによりコストの劇的な削減が可能となるのです。単純に回線費用の削減というだけでなく、SASEによるコンバージェンスによって、多くの管理・運用・保守にかかるコストを削減し、最適化することができます。
クイックアンケートの回答の紹介
ここで、イベント中に共有されたクイックアンケートの結果をご紹介します。
貴社のWAN環境を刷新するのはいつですか?
昨年実施したばかり:5.6%
ただ今実施中:11.1%
2023年後半:5.6%
2024年以降:72.2%
MPLSをまだ利用していますか?
重宝して利用している:9.5%
嫌いだが利用している:23.8%
利用していない:52.4%
MPLSって何?:14.3%
現在、クラウドとWANをどのようにつないでいますか?
インターネット(IPsec):42.9%
インターネット(仮想SD-WAN):4.8%
プライベートクラウドコネクター:38.1%
クラウドDCは未使用:14.3%
リモートユーザーをどのようにつないでいますか?
従来型のVPNサーバー/コンセントレーターを使用:68.2%
オンプレミスのFWを使用:9.1%
クラウドベースのZTNA:9.1%
クラウドネイティブなSASE:13.6%
このアンケート結果により、ウェビナーに参加いただいた企業の多くが、レガシーWAN環境に依存し、予測不可能なインターネットを使用してクラウド接続を行っていることが判明しました。また7割近くの企業が、リモートユーザーの接続に従来型のVPNサーバーやコンセントレーターを使用しており、クラウドネイティブなSASEを導入している企業は全体の13.6%に留まっています。
本日(2023年9月19日)、当社は過去最大の資金... 詳しくはこちら ›
Cato:次世代ネットワーキング・セキュリティ・プラットフォームの台頭 本日(2023年9月19日)、当社は過去最大の資金調達ラウンド(2億3800万米ドル)を発表し、新たな企業評価額は30億米ドルを超えました。これは Catoの成功のみならず、企業インフラにおける広範な変化を示す、注目に値する成果です。
私たちはデジタル・トランスフォーメーションの時代を生きています。競争力を身につけ、コストと複雑さを軽減し、顧客満足度を向上させるために、あらゆる企業がAWS(アマゾン・ウェブ・サービス)と同等の敏捷性、拡張性、回復力を備えたいと考えています。しかし、その目標達成のためには、ネットワークとセキュリティの両方を含む企業インフラ自体がデジタル変革を達成しなければなりません。デジタル・ビジネスを妨げるのではなく、成功に導くものでなければなりません。セキュリティー・プラットフォームはその第一歩です。
プラットフォームは厄介なものです。その定義上、プラットフォームとは単一のベンダーから提供され、その企業のほとんどの要件をカバーする必要があります。しかも、それだけでは十分と言えません。あるベンダーは、買収によって手に入れて組織的に構築した製品を「ツギハギする」ことで、プラットフォームを構築したように見せかけています。こうした場合、プラットフォームはすべての機能をカバーするかもしれませんが、そこにまとまりのある統一感はなく、統合されていないコンポーネントの集合体のように感じられます。これはすべての買収型ベンダーに共通する課題です。彼らは健全な財務状況という利点を提供しますが、期待されたプラットフォームのメリットを提供するには至っていません。実際、彼らは製品のポートフォリオを持っているにすぎず、プラットフォームには程遠いものです。
[boxlink link="https://www.catonetworks.com/resources/cato-named-a-challenger-in-the-gartner-magic-quadrant-for-single-vendor-sase/"] Cato named a Challenger in Gartner’s Magic Quadrant for Single Vendor-SASE | Get the Report [/boxlink]
Catoは2015年、クラウド時代に向けたネットワーキングとセキュリティのプラットフォームをゼロから構築する旅をはじめました。当社の目標は、単に多くの機能要件をなるべく早くカバーすることだけに留まっていませんでした。むしろ、IT部門における非生産的な単純作業を軽減しながら、最大限のセキュリティ体制と最適なパフォーマンスを維持する、統合されたグローバル・クラウドネイティブ・サービスを活用した、シームレスでエレガントなエクスペリエンスを提供したいと考えていました。あらゆる場所からの利用が可能で、一貫性のあるサービス・アーキテクチャにより、最大規模のデータセンターから個人ユーザーに至るまで、スケーラブルで柔軟性のあるセキュアなアクセスの確保が実現しました。
当社は過去8年にわたり、ガートナーが2019年にSASEと名付けたこの革命的なアーキテクチャを成熟させ、2,000社以上の顧客に提供する機能を迅速に拡大するために取り組んできました。また顧客ベースだけでなく、Catoを利用する企業の規模や複雑さも拡大してきました。当社顧客は、インフラストラクチャの変革と最新化の過程で、既存ベンダーが提供する多くのアプライアンス型やクラウド型サービスを持続的に利用するスキルやリソースを見つけることができず、Catoに乗り換えています。
新しいプラットフォームを構築するというのは、野心的な試みです。潜在顧客は、長い間使い慣れた "既知の悪" であるレガシー・アプローチか、より高性能かつ効果的なネットワーキングとセキュリティプラットフォームである当社ソリューションか、どちらかを選ばなければならない状況に置かれています。
本日の資金調達ラウンドが、当社の進む道が正しいことを証明しているといえるでしょう。当社は何万もの拠点、何百万人ものユーザーを抱える当社顧客に、唯一の真のSASEプラットフォームを提供し、業務遂行に必要不可欠なビジネスオペレーションを実現することで信頼されています。また、当社のビジョン、ロードマップ、そしてネットワーキングとセキュリティを変革し続けるという当社の使命に共感する、既存および新規の投資家からも信頼を得ています。
SASEは、未来そのものです。当社はそう想像し、投資し、構築し、信じています。
Cato。それは、SASEの代名詞。
Atlassianは、2023年10月4日に発表し... 詳しくはこちら ›
CatoがAtlassian Confluence Serverのエクスプロイトからの保護を実現 (CVE-2023-22515) Atlassianは、2023年10月4日に発表したセキュリティアドバイザリにおいて、オンプレミスのConfluence Data Centerおよび Server製品の新たな重大な脆弱性を公表しました。攻撃者が、インターネットからアクセス可能な Confluenceインスタンスの脆弱なエンドポイントを悪用し、未承認の Confluence 管理者アカウントを作成し、Confluence インスタンスにアクセスできるという権限昇格に関する脆弱性です。
本稿執筆時点では、この脆弱性にCVSSスコアは割り当てられていません。しかし、リモートから悪用が可能であり、悪用されるとサーバーへのフルアクセスが可能になることから、非常に高い(9~10)ことが予想されます。
[boxlink link="https://www.catonetworks.com/rapid-cve-mitigation/"] Rapid CVE Mitigation by Cato Security Research [/boxlink]
Catoの対応
公開されているエクスプロイトの概念実証(POC)はありませんが、Atlassianは「外部攻撃者が未知の脆弱性を悪用した可能性があるという少数の顧客からの報告により、このエクスプロイトを認識していたこと」を確認したと述べており、高い確率ですでに悪用されていると推測されます。
このセキュリティアドバイザリがリリースされた直後、Cato リサーチラボは一部の顧客における脆弱なエンドポイント(“/setup/”) の悪用の可能性を特定しましたが、ユーザーの介入を必要とせずにブロックすることに成功しました。このCVEの固有シグネチャが利用可能になる前から、URLスキャナの識別とブロックを目的とした当社のIPSシグネチャによって、この試みはブロックされていました。
オンライン・スキャナーが、アドバイザリーから得られるわずかな情報の迅速な利用を実装していたことから、Confluenceサーバーがどれほど価値の高いターゲットであるかは明らかであり、公開されている Confluenceサーバーが多数存在することを考えると懸念すべきことです。
公開後、Catoは脆弱性のある “/setup/” エンドポイントとのやり取りをブロックするシグネチャを展開し、世界中のCatoに接続しているすべてのユーザーとサイトに対して、検出から保護までの時間を1日と23時間、オプトイン・プロテクションを24時間以内に利用できるようにしました。
さらにCatoは、Confluenceサーバーの管理エンドポイントへのアクセスを許可された IP からのみに制限することを推奨しており、できればネットワーク内から、不可能な場合は Cato ソケット配下や、Catoクライアントを実行しているリモートユーザー、Cato によって保護されたホストからのみアクセスできるようにする必要があります。
Catoリサーチラボは、引き続き追加情報の入手のためにCVEの監視を続けており、より多くの情報が入手可能になった場合、またはPOCが公開され、追加情報が明らかになった場合には、シグネチャを更新します。今後の情報については、CVE軽減のページとリリースノートをご覧ください。
ガートナーは2019年に、新しい市場カテゴリとして... 詳しくはこちら ›
SASEを推奨するアナリストによる説得力ある7つの理由 ガートナーは2019年に、新しい市場カテゴリとしてSASEを提唱し、SASEをネットワークとセキュリティがシームレスに統合されたクラウドネイティブ ソリューションに統合するものであると定義しました。これには、SD-WAN、FWaaS、CASB、SWG、ZTNAなどが含まれます。
ガートナーによるSASEの定義から数年が経過しました。いまこそ、市場がSASEについて知り、経験する時がきました。そこで、主要な業界アナリストによるSASEについての考察を理解しなければなりません。このブログ投稿では、SASEを推奨し、その根本的な影響を分析するアナリストからの7つの分析結果を紹介します。このブログ投稿の基となるレポートで、彼らの完全な洞察と予測を読みたい方はこちらから。
1.新しい機能追加よりも統合が重要
Futuriom Cloud Secure Edgeおよび、SASEトレンドレポートによると、「要約すると、SASE はテクノロジーツールを統合し、それらをクラウドアーキテクチャと統合するという大きな傾向を強調しているということがいえます。」
ポイントソリューションは、ITチームの頭痛の種を増やします。また、攻撃対象領域が拡大するため、ネットワークのパフォーマンスが低下します。総合的なクラウドネイティブ・プラットフォームに、SASEはネットワーク機能とセキュリティ機能を統合し、この問題を解決します。
コンバージェンスにより、SASEはポイントソリューションよりも効率的かつ効果的になります。シングルパス処理によりパフォーマンスが向上し、総合的なインテリジェンスによりセキュリティ体制が向上し、ネットワーク計画が簡素化され、可視性が向上して問題解決にかかる時間が短縮されます。
2.SASEとは究極の「コンバージェンスの具現」
SASEはコンバージェンスを具現しています。2022年のガートナーの予測によると、統合セキュリティが複数の統合ポイントソリューションよりも完全なカバー範囲を提供する方法であることを強調しました。統合型セキュリティプラットフォームは、個々の部分の総計よりも高い効率を生み出します。
このコンバージェンスは、コア機能がシングルパスエンジンを利用して脅威からの防御、データ保護、ネットワークの高速化などに対処する場合にのみ実現できます。
3.SASEは段階的な移行をサポートこれは革命ではなく、進化なのです
Forresterのシニアアナリストである David Holnes氏は、次のように述べています。「SASEは段階的な移行をサポートするように設計されるべきです。一度にすべてを揃えるのではなく、小規模から始めて、ニーズとペースに基づいて徐々に拡大する方法は間違いなくあります。」
SASEは、影響力の大きな市場カテゴリーです。ただしこれは、企業のITチームが適切な計画なしに突然、ネットワークとセキュリティインフラストラクチャ全体を再設計する必要があるということではありません。SASEの変革には、組織の要件に応じて数か月から、場合によっては数年かかる場合もあります。
[boxlink link="https://www.catonetworks.com/resources/7-compelling-reasons-why-analysts-recommend-sase/"] 7 Compelling Reasons Why Analysts Recommend SASE | Download the eBook [/boxlink]
4.統合および簡素化がSASEの目的
NemertesのCTO兼主席アナリストである John Burke氏は、次のように述べています。「SASEを使用すると、ポリシー環境が統合されます。8つの異なるツールでポリシーを定義し、コンテキスト全体で一貫したセキュリティを実装しようとしているわけではありません。」
SASE では、ネットワークとセキュリティは切り離すことができません。すべてのユーザーは、SASEの総合的なセキュリティとネットワークの最適化の恩恵を受けます。
5.SASEの導入により、スピードと俊敏性を持ったビジネス運営が実現
Forresterリサーチの主席アナリストである、Andre Kindnes氏は、「ネットワークは最終的にビジネスに結びつき、ビジネスの重要な差別化要因になります。」と述べています。
SASEはコスト構造を最適化しながら、ビジネスの俊敏性をサポートし、ビジネスに付加価値を与えます。IT部門は、セルフサービスおよび集中管理を通じてすべてのサポート操作を簡単に実行できます。さらに、新機能、アップデート、バグ修正、パッチも、ITチームに大きな負荷を与えることなく配信されます。
6.SASEは未来への保険
NemertesのCTO兼主席アナリストである John Burke氏は、「これは次のパンデミックに備えた、パンデミック保険です」と述べています。
SASEは、継続的な成長とイノベーションのためのビジネスとネットワークを将来的に証明します。それはパンデミックのような劇的な出来事である可能性もあれば、デジタルトランスフォーメーションやM&Aなどの重大な変化、あるいは単なるネットワークパターンの変化である可能性もあります。SASE により、組織はスピードと俊敏性を保ちながら行動できるようになります。
7.IT業務の性質を戦術的なものから戦略的なものへと変えるSASE
ForresterのコンサルタントであるMary Barton氏は、「システムを稼働させるためにリモート拠点へ展開する必要がなくなったため、ITスタッフの満足度は最終的に向上しました。」と述べています。
彼女は、次のように続けます。「日々解決される問題はまったく異なるものになるため、IT部門の士気が高まります。IT部門は、複雑なトラフィック問題、アプリケーションのトラブルシューティング、パフォーマンスについて考えています。」
ネットワークの健全性はビジネスの健全性に直結しています。ネットワークが停止したり、パフォーマンスが低下した場合、ビジネスの収益と従業員の生産性の両方が打撃を受けます。最適化されたネットワークにより、IT部門は常時目を光らせている必要がなくなり、ビジネスクリティカルなタスクに集中できるようになります。
Cato Networksは、SASEの代名詞
Futuriomの創設者兼主任アナリストである Scott Raynovich氏が、次のように述べました。「CatoはSASEのパイオニアであり、SASEが生まれる前にカテゴリーを創生しました。」 同氏は続けます。「彼らは、企業がグローバルなクラウド配信型ネットワーキングとセキュリティを提供する必要性を早くから認識していました。そのビジョンは現在、驚異的な成長を遂げてその成果を示しています。」
レポート完全版を読むにはこちらをご覧ください。
組織の分散拠点、データセンター、クラウドベースのイ... 詳しくはこちら ›
レガシーWAN vs.SD-WAN:考慮すべきすべての事案 組織の分散拠点、データセンター、クラウドベースのインフラストラクチャ、およびリモートワーカーを接続する企業WAN。WANは、高性能で信頼性の高いネットワーク接続を提供することにより、あらゆるユーザーとアプリケーションが効果的に通信できるようにする必要があります。
WANが SaaSアプリケーションやクラウドデータセンターを包括しながら拡大するにつれて、この環境の管理はさらに困難になっていきます。レガシーWANアーキテクチャに依存する企業は、SD-WANなどの代替接続手段を探す必要が出てきます。
レガシーWANとSD-WANを比較し、どちらが現代の組織に適しているかを以下に検討します。
レガシーWANの概要
従来のWANは、分散した企業拠点を各拠点に WANルーターで接続するように設計されていました。こうしたWANルーターはネットワーク境界を定義し、トラフィックを適切な宛先にルーティングします。
主な特長
レガシーWANを定義する主な機能には次のようなものが挙げられます。
ハードウェアへのフォーカス:レガシーWANは、分散する拠点を接続するルーターなどのハードウェア製品を使用して構築されます。
ポリシーの構成:レガシーWANの特徴として、多大な手動設定が挙げられます。これにより、ポリシー構成の高度な制御が実現した一方、大幅な複雑さやオーバーヘッド、潜在的な構成ミスも生じてしまいます。
レガシーWANのメリット
レガシーWANは長い歴史を有しています。これには、次のような有益な理由がいくつか挙げられます。
セキュリティ:2つの企業が同じネットワーク接続を共有しないため、専用の専用線により強力なセキュリティとプライバシーが保証されます。
信頼性:こうした専用接続は、パブリックインターネット上のネットワークルーティングよりもはるかに高い信頼性を提供します。
制御:レガシーWANを使うことにより、組織はネットワークを完全に制御でき、トラフィックの種類とフローに優先順位を付けるルーティングポリシーを定義することが可能でした。
レガシーWANの制限
レガシーWAN は分散した企業拠点を効果的に接続できますが、特に現代の企業にとっては完璧とは程遠いものです。主な制限には次のようなものがあります。
コスト:MPLS 接続は高価であり、利用可能な帯域幅に厳しい制限があります。
敏捷性:変更やアップグレードには大規模な手動での介入が必要となり、変化するビジネス要件に適応する能力が制限されます。
スケーラビリティ:ハードウェアへの依存も拡張を困難にします。組織が必要とする帯域幅が現在のハードウェア容量を
超える場合、新しいハードウェアまたは追加のハ
ードウェアが必要となります。これには時間がか
かるうえ、高価なプロセスになる可能性があります。
複雑さ:レガシーWAN は、複雑なアーキテクチャによって定義されています。それらの管理は難しく、専門的なスキルが必要になる場合がありますが、社内に担当者を置くには費用がかかるため難しいです。
クラウドサポート:多くの場合、クラウドトラフィックは企業のデータ センターを介してバックホールされるため、遅延が増大し、パフォーマンスが低下します。クラウドに移行する組織が増えるにつれ、この問題は深刻化します。
[boxlink link="https://www.catonetworks.com/resources/sase-vs-sd-wan-whats-beyond-security/"] SASE vs SD-WAN - What’s Beyond Security | Download the eBook [/boxlink]
SD-WANの概要
SD-WANは次のように定義できるでしょう:1・ソフトウェア レベルでのトラフィックのルーティング、2・複数のネットワーク接続を集約してパフォーマンスと復元力を向上させるSD-WAN アプライアンスの機能。
主な特長
SD-WAN の主要な機能には次のようなものがあります。
ソフトウェアオーバーレイ:SD-WAN はソフトウェアオーバーレイを作成し、すべてのルーティングの決定はソフトウェアレベルで行われます。これにより、転送のために公共のインターネットを使用できるようになり、ネットワークコストが削減されます。
管理の簡素化:ほとんどのSD-WANソリューションは、ネットワーキング、トラフィック管理、セキュリティコンポーネントとポリシーを含むすべての機能の展開と監視のための集中管理を提供します。
帯域幅の拡大:組織は、広く利用可能なブロードバンド製品を利用して利用可能な帯域幅を拡大することで、最適なネットワークとアプリケーションのパフォーマンスを確保できます。
SD-WANのメリット
多くの組織が、レガシーWANからSD-WANへと切り替えています。SD-WANには次のようなメリットがあります。
コストの削減:SD-WANの主な特徴とメリットの1つは、専用接続を必要とせず、利用可能な広帯域幅のデータ伝送を使用することです。これにより、レガシーWANと比べて大幅なコスト削減が実現します。
柔軟性:SD-WANを使用すると、ネットワーク・トポロジーとアーキテクチャがソフトウェアで定義されるため、構成、変更、全体的な管理の柔軟性が向上します。
スケーラビリティ: 仮想オーバーレイであるSD-WANは、ビジネスの変化に応じて必要な帯域幅を迅速かつ簡単に拡張できます。
ソフトウェアベースの管理:ソフトウェア レベルで動作するため、多くの管理タスクを自動化して簡素化します。これにより、ネットワーク管理のコストと複雑さが軽減されます。
クラウドサポート:SD-WANは、クラウドデータ センターへの直接接続を提供し、バックホールを排除することで遅延を減らします。これは、クラウドに移行された企業アプリや、SaaSアプリケーションのパフォーマンスのために不可欠です。
SD-WANの制限事項
人気のWANソリューションとなったSD-WANですが、依然として次のような制限があります。
信頼性とパフォーマンス:SD-WANのパフォーマンスは、信頼性の低い公共インターネットのパフォーマンスに依存するため、トラフィックの伝送を公共インターネットに依存すると、信頼性とパフォーマンスに関する予測ができなくなる可能性があります。
セキュリティ:SD-WANには通常、基本的なセキュリティが備わっているため、高度な脅威に対する防御は存在しません。このため、組織は次世代ファイアウォール・アプライアンスの購入と設置をする必要があり、環境内のハードウェアが複雑になります。
レガシーWAN vs.SD-WAN:軍配はどちらに上がるのか
どちらも同様の目的を果たしてくれます。分散した場所を接続し、複数の種類のトラフィックを伝送します。さらに、どちらのソリューションもQoSおよびトラフィック優先順位付けポリシーを実装しており、ネットワークのパフォーマンスとセキュリティを最適化します。
とはいえ、レガシーWANには SD-WANと同じ利点はありません。適切に設計・実装されたSD-WANは、レガシーWANと同様の信頼性とパフォーマンスの保証を提供しながら、それらの管理に関連するコストとオーバーヘッドを削減することができます。またSD-WANは、レガシーWANより優れた柔軟性と拡張性を備えており、進化する組織のニーズにより迅速かつコスト効率よく適応できます。
レガシーWANはその目的を十分に果たしましたが、クラウドやリモートワークの導入が進んだ、今日のより動的なネットワーキング環境では、もはや適切な選択肢ではなくなりました。今日、よりダイナミックで進化し続けるビジネス ニーズを満たすために、現代企業はSD-WANを導入しています。
Cato NetworksによるSD-WANへの移行
ほとんどのSD-WANソリューションの主な課題は、その信頼性とパフォーマンスが公共インターネット上の利用可能なルートによって定義されることです。Cato Networks は、グローバル・プライベート・バックボーン上に構築された、SD-WAN as a Serviceとして提供します。これにより、最適化されたSD-WANルーティングがパフォーマンスを向上させながら、専用MPLSに匹敵する信頼性が実現します。Cato SASE クラウドはさらに、SD-WANとCato SSE 360 を統合し、総合的なセキュリティと高いパフォーマンスを提供します。
SD-WAN が、どのようにSASEへと進化を遂げるのか、またCatoによるネットワークとセキュリティの統合から、組織がどんなメリットを得ることができるかについて詳しくご覧ください。
この記事では、Catoの管理アプリケーション内に存... 詳しくはこちら ›
Cato SASEクラウド:簡素化された構成と一元的なグローバルポリシー配信を実現 この記事では、Catoの管理アプリケーション内に存在するさまざまなポリシーオブジェクトのいくつかと、それらの使用方法について説明します。従来の SD-WAN アーキテクチャ内に存在するローカライズされたポリシーと集中化されたポリシーの概念はよくご存じかもしれませんが、Cato のクラウドネイティブ SASE アーキテクチャでは、真の単一の管理アプリケーションからすべての機能にわたる構成とポリシーの配信が簡素化されます。
Catoの管理アプリケーションをアーキテクチャから理解する
Catoの管理アプリケーション内のポリシー設計を理解する一助となる、Catoのアーキテクチャの一部を解説します。Catoクラウドは、統合されたネットワーキングとセキュリティをグローバルに提供するために一から構築されました。このコンバージェンスにより、自動化されたセキュリティエンジンとカスタマイズされたポリシーは、共有されたコンテキストと可視性という恩恵を受け、真のシングルパス処理とより正確なセキュリティ判定が可能になります。
通常、各コンテキストは、CatoのSASEクラウド内のネットワーキングとセキュリティ機能の両方にわたるポリシーの照合に使用できます。これには、IPアドレス、サブネット、ユーザー名、グループメンバーシップ、ホスト名、リモートユーザー、サイトなどの要素が含まれます。さらにポリシールールは、カスタムアプリケーションを含むアプリケーション、アプリケーションカテゴリ、サービス、ポートの範囲、ドメイン名などを含むアプリケーションコンテキストに基づいてより細かく調整できます。作成されたすべてのルールは、ルールリストの最初の一致に基づき、上から下へと適用されます。
[boxlink link="https://www.catonetworks.com/resources/cato-sse-360-finally-sse-with-total-visibility-and-control/?utm_source=blog&utm_medium=top_cta&utm_campaign=cato_sse_360"] Cato SSE 360: Finally, SSE with Total Visibility and Control | Whitepaper [/boxlink]
Catoのネットワーキングポリシーに迫る
CatoのSASEクラウドは、75カ所以上のトップクラスのデータセンターで構成されており、各データセンターは、Catoのグローバルプライベートバックボーンを形成する複数のティア1 ISP接続で接続されています。Catoは、トラフィックに最適なルートを自動的かつ動的に選択することで、パブリックインターネットと比較して、リソースへの予測可能で信頼性の高い接続を実現します。QoS、TCP アクセラレーション、パケットロス軽減などの機能が同梱されているため、お客様はニーズに合わせてパフォーマンスを微調整することが可能です。
1.Catoネットワークのルールは、一般的な使用例に合わせて事前に定義されています。ルールは簡単にカスタマイズしたり、コンテキストタイプに基づいて独自のルールを作成したりすることができます。
デフォルトでは、Cato管理アプリケーションには、最も一般的な使用例での要件を満たすために、いくつかの事前定義されたネットワークルールと帯域幅の優先順位レベルがありますが、お客様はこれらのポリシーをすぐにカスタマイズしたり、上記のコンテキストタイプに基づいて独自のルールを作成したりできます。お客様は、TCPアクセラレーションとパケットロス軽減の使用を制御し、トラフィックに帯域幅優先レベルを割り当てることができます。さらに、Catoのバックボーンを経由するトラフィックのルーティングは、完全にお客様の制御下にあるため、当社のどのPoPからでも、可能な限り目的地に近い場所でイグジットすることができます。また、サポートチケットを開かずとも、組織専用のIPアドレスからトラフィックを逃がすこともできます。
2.帯域幅の優先順位:Catoでは、トラフィックに帯域幅の優先レベルを割り当てるのが簡単です。
Catoセキュリティー政策は、トップダウンのロジックに似ています
Catoのセキュリティ・ポリシーは、同様のトップダウンのロジックに従い、ネットワーク・ポリシーと同じ共有コンテキストの恩恵を受けています。
3.インターネットファイアウォールルールは、アプリケーション名、カテゴリ、ポート、プロトコル、サービスに基づいて、インターネットのウェブサイトやアプリケーションに対する企業主導のアクセスポリシーを実施します。
ブロックリスト方式を採用するインターネットファイアウォールは、アプリケーション名、アプリケーションカテゴリ、ポート、プロトコル、サービスに基づいて、インターネットウェブサイトやアプリケーションへの企業主導のアクセスポリシーを実施することを目的としています。これは従来のセキュリティ製品とは異なり、ルールに複数のセキュリティ・プロファイルを管理・添付する必要がありません。すべてのセキュリティ・エンジン(IPS、アンチマルウェア、次世代アンチマルウェア)はグローバルに有効化され、必要な場合にのみ例外を設けてすべてのポートとプロトコルをスキャンします。これにより、複数のセキュリティ・プロファイルの見落としや設定ミスの発生を防ぎながら、あらゆるユーザー、場所、デバイスに対して一貫性のあるセキュリティ態勢が提供されます。
4.CatoのWANファイアウォールは、接続されたすべてのエッジ間のトラフィックをきめ細かく制御します。
CatoのWANファイアウォールは、接続されたすべてのエッジ(サイト、データセンター、クラウドデータセンター、SDPユーザー)間のトラフィックをきめ細かく制御します。フルメッシュ接続も可能ですが、WANファイアウォールはゼロトラスト・アクセス・アプローチを推奨するため、許可リスト型アプローチを採用しています。送信元、送信先、デバイス、アプリケーション、サービス、その他のコンテキストの組み合わせは非常に柔軟で、管理者はユーザーとロケーション間で必要とされるアクセスを簡単に設定できます。たとえば、通常は ITスタッフと管理サーバーだけがモバイルSDPユーザーに直接接続する必要がありますが、これを数回クリックするだけで許可が完了します。また、ユーザーがいるサイトとファイルサーバーがあるサイト間のすべてのSMBトラフィックを許可したい場合も、同様に簡単に実行できます。
Catoの追加セキュリティ機能の詳細
今回取り上げた以外にも、Catoには独自のポリシーセットを持つDLPやCASBなどのセキュリティ機能があり、今後も新しい機能を開発・展開していく中で、さらに追加される可能性があります。しかし、前述したようにネットワーキング・エンジンとセキュリティ・エンジン両方の共有コンテキストに基づく強力なきめ細かな制御を備えた、シンプルで構築しやすいポリシーが期待できます。もちろん、すべてのポリシーとサービス・コントロールは、真に単一の管理ポイントであるCato管理アプリケーションにより提供されます。
Cato SSE 360 = SSE + 完全な可視性とコントロール
Catoの統合型ネットワーク・セキュリティ・スイートの詳細については、SSE 360のホワイトペーパーをご覧ください。ガートナーが定義した範囲を超え、WAN、インターネット、クラウドのすべてを可視化し、制御するSSEサービスを提供します。あらゆる企業のISチームのニーズを満たす設定が可能なセキュリティ・ポリシーを完備する、Cato SSE 360が他のSSEベンダーとは全く違う理由はこちらからご覧ください。
SASEは、クラウドサービスとしてのネットワーキン... 詳しくはこちら ›
シングルベンダーSASEとそれ以外のもの:貴社に最適なのは? SASEは、クラウドサービスとしてのネットワーキングとセキュリティの融合のための設計ガイドラインを設定します。SASEを導入することで、企業は運用の簡素化、信頼性、適応性を実現することができます。2019年のガートナーによるSASEの定義以来、ベンダーが自社の提供する製品をSASEであるとして位置付け直しているのは予想できたことでした。では、推奨されるシングルベンダーSASEのアプローチと、その他のSASE「のようなもの」との違いは何でしょうか?確かめてみましょう。
このブログ記事は、電子書籍「シングルベンダーSASE vs.その他のSASEに似て非なるもの」に基づいています。詳しくはこちら。
SASEとは?
従来のネットワーク境界が無意味となり、ユーザー、アプリケーション、データがさまざまな環境に分散する分散型ネットワーク・アーキテクチャが主流になったことで、複雑性が増し、リスクも増大しています。その結果、企業は運用コストの増加、セキュリティ脅威の拡大、可視性の制限といった問題を抱えることになりました。
SASEは高性能な接続性と、あらゆるユーザーによる、あらゆる場所からの、あらゆるアプリケーションへの安全なアクセスという、これからの企業ニーズに対応する新しいアーキテクチャ・アプローチです。
ガートナー社による、SASEの基本的なアーキテクチャ要件は以下の通りです:
統合化 - ネットワーキングとセキュリティは、コンテキストを共有しながら、ルーティング、検査、ルールの実効性の確保などのコアタスクを同時に処理する1つのソフトウェアに統合される。
IDベース管理 - ユーザーIDと、リソースへのきめ細かなアクセス制御に基づく ZTNAの実施。
クラウドネイティブ - クラウドで提供され、マルチテナントで、柔軟に拡張できる。通常、これはマイクロサービス・アーキテクチャを意味する。
世界的な規模 - ユーザーやアプリケーションに近いPoP(Point of Presence)を通じて世界中で利用可能。
すべてのエッジをサポート - 最適なアプリケーション・パフォーマンスを確保しながら、統一されたセキュリティ・ポリシーにより、すべての支店、データセンター、クラウド、リモート・ユーザーに均一のサービスを提供します。
さらに、よく設計されたSASEソリューションは、単一の管理アプリケーションで制御可能であるべきとされています。これにより、管理、監視、トラブルシューティングのプロセスが合理化されるからです。
一般的なSASEアーキテクチャ
今日、多くの業者が「SASE」を提供しています。しかし、すべてのSASEが同じわけではなく、同一のユースケースに、同一の方法で同じソリューションを提供しているわけではありません。それぞれのSASEアーキテクチャを簡単に比較し、その違いを見ていきましょう。
[boxlink link="https://www.catonetworks.com/resources/cato-sase-vs-the-sase-alternatives/"] Cato SASE vs. The SASE Alternatives | Download the eBook [/boxlink]
1.シングルベンダーSASE
シングルベンダーSASEプロバイダは、ネットワークとセキュリティ機能を単一のクラウド・サービスに統合します。こうすることにより、企業は異なるポイント製品を統合し、アプライアンスを排除し、一貫したポリシーの実施を保証することができます。
さらに、イベントデータは単一のデータレイクに保存されます。こうしてコンテキストを共有することで、可視性が向上し、セキュリティ・ポリシーが効果的に実施されるのです。さらに、集中管理により、ネットワークとセキュリティの問題の監視とトラブルシューティングが容易になります。こうして、SASEは簡単に使用でき、効率を高め、規制遵守を確実なものとします。
2.マルチベンダーSASE
マルチベンダーSASEは、SASEの全機能を提供する2つのベンダーを含み、通常、ネットワークに特化したベンダーとセキュリティに特化したベンダーを組み合わせたものを意味します。このセットアップには、ソリューションが確実に連携し、可視化と管理のためのログ収集と相関を可能にする統合が必要です。 また、複数のアプリケーションが必要とされます。シングルベンダー・システムと同様の機能を実現することはできるが、複雑さが増すと可視性が低下し、俊敏性や柔軟性に欠けることが多くなります。
3.ポートフォリオ・ベンダーSASE(マネージドSASE)
ポートフォリオ・ベンダー型SASEとは、サービス・プロバイダが、設定と管理にAPIを使用する中央管理ダッシュボードを含む、様々なポイント・ソリューションを統合することによってSASEを提供することを指します。このモデルでは、顧客は複数の製品を扱う必要はありませんが、多様なSASEのインフラストラクチャを管理する複雑さという課題が残ってしまいます。さらに、このアプローチを選択したMSPは、変更やサポートの際のリードタイムが長くなり、組織の俊敏性や柔軟性に悪影響を及ぼす可能性もあります。
4.アプライアンス型SASE
アプライアンス・ベースのSASEは、レガシーと化したオンプレミス・ソリューションに縛られているベンダーによって提案されることが多く、通常、リモート・ユーザーや支店のトラフィックは、宛先に到達する前に、オンサイトまたはクラウドの中央データセンター・アプライアンスを経由します。このアプローチはネットワークとセキュリティの機能を兼ね備えているかもしれませんが、その物理的な性質とネットワーク・トラフィックのバックホールは、柔軟性、パフォーマンス、効率性、生産性に悪影響を及ぼす可能性があります。一見魅力的に見えますが、根本的な限界があるのです。
どのSASEオプションが最適か?
様々なSASEのアーキテクチャを操り、それらの違いを理解することは難しいかもしれません。e-bookでは、ガートナーのSASE要件に従ってSASEアーキテクチャをマッピングした簡潔な比較表をご覧いただけます。
結論:シングルベンダーのSASEは、企業にとって最も優先すべき課題への対応に最適です。
ネットワークセキュリティ
敏捷性と柔軟性
効率性と生産性
これらを可能にするのは、
一元化 - 複雑な統合やトラブルシューティングの必要性を排除。
アイデンティティ主導のアプローチ - セキュリティとコンプライアンスを強化。
クラウドネイティブアーキテクチャ - 将来の成長を確実にサポート。
グローバルな可用性 - 生産性を高め、グローバルな活動や事業拡大をサポート。
あらゆるエッジをサポート - 企業全体で1つのプラットフォームと1つのポリシーエンジンを使用し、セキュリティと効率を強化。
ガートナー社によると、シングルベンダーSASEは、2025年までに新規のSASE導入の3分の1を占めるようになると予想されています。2022年の割合はわずか10%で、大幅に増加しています。貴社はこのトレンドにどのように対応していますか?あなたはこの成長著しいムーブメントの一翼を担う立場にあるでしょうか?
具体的なユースケースを探りつつ、様々なアーキテクチャを図解と詳細な比較で深掘りすることに興味がある方は、電子書籍全体をお読みください。こちらでご覧いただけます。
世界のニュースで報じられているとおり、2023年1... 詳しくはこちら ›
困難な戦時下にあるイスラエル国内の事業継続性について 世界のニュースで報じられているとおり、2023年10月7日、テロ組織ハマスがイスラエルの都市や村々に対して残忍な攻撃を仕掛け、数千人の市民が犠牲となっており、イスラエルはハマスが実効支配するガザ地区との間で戦争状態に入ることを余儀なくされました。
Cato Networksは、世界30か国以上に850人超の従業員を擁するグローバル企業ですが、その事業および技術的なオペレーションのかなりの部分は、イスラエルのテルアビブを拠点としています。
このブログでは、お客様およびパートナー各社の重要なネットワーク&セキュリティインフラを支えるサービスを引き続き確実に提供できるよう、当社が最新のシナリオに合わせて調整した事業継続計画(BCP)に沿って講じている措置を詳しくご説明します。
事業継続性を設計に反映
当社のSASEサービスは、完全分散型のクラウドネイティブなソリューションとして一から構築されたものです。単一障害点を持たないことが、当社ソリューションアーキテクチャの重要な利点の1つとなっています。当社オペレーションチームが構築・訓練したAIエンジンが、サービスにおけるパフォーマンスや可用性の低下の兆候を確実に捉え、自律的にこれに対応します。
この機能は当社の日々のクラウドオペレーションの一部であり、その結果、1つまたは複数のPoPでダウンタイムが発生しても、お客様の業務が中断されることはありません。当社SASEクラウドの高可用性と自己修復機能は、以前にもその真価を問われたことがあり、その実力が証明されています。
ソケットの在庫は常に世界中に分散されており、.北米、ヨーロッパ、アジア太平洋日本地域の倉庫に保管されています。すべての倉庫に十分な在庫があり、在庫不足や納期の長期化は見込まれていません。実際、当社は以前にも、グローバルサプライチェーンで生じた問題を克服できた実績があります。
24時間365日のサポート体制
当社のサポート体制は、2000社を超える法人のお客様から求められる場所とタイミングで、常に対応できるようにデザインされています。軍事衝突やパンデミックといった悪条件下においても、お客様に通常どおりサポートをご利用いただけるよう万全を期しています。
サポート拠点は米国、カナダ、コロンビア、英国、北アイルランド、オランダ、イスラエル、ポーランド、ウクライナ、マケドニア、シンガポール、フィリピン、そして日本に置かれ、グローバルな体制で運用されています。時差を超えて24時間365日サービスを提供できるよう、すべてのチームが連携して動いており、サポートチケットへの対応漏れが絶対に起きないようにしています。
サポートが必要なお客様は、引き続き標準のサポートチャネルを通じてお問い合わせいだければ、ご期待とご希望に沿った水準のサポートが受けられます。
イスラエルにおけるBCPの発動
CatoのSASEサービスは、ISO 27001およびSOC2の認証を受けているほか、その他の国際規格にも準拠しています。
そうした認証の一環として、事業継続計画(BCP)を策定して定期的に訓練を行い、必要に応じて計画の改善や微調整を行うことが義務付けられています。
当社のBCPは総合的なテストが実施されているのみならず、新型コロナウイルス感染症が世界的に流行した際も、問題なく発動されています。2020年3月には、すべてのスタッフがリモート勤務に移行しました。この移行は、Cato SASEクラウドのZTNA機能を利用することでスムーズに行われ、サービスの可用性、パフォーマンス、サポートに関してお客様に影響が及ぶことは一切ありませんでした。
今回は、イスラエル国内のスタッフを対象に、同じBCPを再度発動しました。技術系の部署は、エンジニアリングサポートおよびDevOpsシステムにセキュアにリモート接続でき、自宅から引き続き安全に仕事をすることができます。
BCPを超える対応
当社は、現在の情勢を受け、レジリエンシーを強化するために追加の措置を講じています。
2023年10月8日
欧州・中東・アフリカ地域の各チームを補強する意味で、アジア太平洋日本地域のサポートチームのシフトを延長しました。
また、サポートの応答性を確保し、お客様の期待に応え、その期待を上回れるように、Tier3のサポートエンジニアをTier1およびTier2のチームに配属しました。
2023年10月10日
一部の経営幹部およびエンジニアを一時的にギリシアのアテネに配置転換しました。電力供給やインターネットが長期間停止することは現時点では予想されていませんが、そうした極端なケースにおいても世界中のスタッフやクラウドオペレーションをサポートできるように、本社およびエンジニアリングのリソースを利用できる状態にしています。
今後について
イスラエルは過去にも困難な時期や武力衝突に直面し、常にこれに打ち勝ってきました。私たちは、今回の紛争においても、イスラエル国内のCato社員およびその家族を守り、支えていきます。当社の成功は、ビジネスのあらゆる面で卓越した成果を求めるスタッフたちの取り組みの上に築かれています。当社が引き続き、お客様の最も重要な業務インフラのために、堅牢かつセキュアな基盤を提供するというミッションを追求する中で、こうしたスタッフたちの取り組みも堅持されることになります。
カスタマー・エクスペリエンスはSASE市場の重要な... 詳しくはこちら ›
シングルベンダーSASEのマジック・クアドラントとCato SASEエクスペリエンス カスタマー・エクスペリエンスはSASE市場の重要な一面であるだけでなく、その本質でもあります。SASE は画期的な機能を目的としたものではなく、確立されたネットワーキングとセキュリティ機能の提供と利用の新しい形であり、長きにわたってIT部門を悩ませてきた複雑さとリスクを一挙に解決します。
これは顧客にとっても、チャネルにとっても、アナリスト企業にとっても未知の領域です。それらの機能のベンチマークは明白です。過去20年間に作られたCASB、SWG、NGFW、SD-WAN、ZTNAの中で、最も多くの機能を持つものが一番です。 しかしSASEにおいては、例え機能が多くても、シームレスかつグローバルに展開、管理、拡張、最適化、使用できなければ評価されません。むしろ、SASEの本質であるカスタマー・エクスペリエンスの源流となる「アーキテクチャ」こそが重要です。ここでいうアーキテクチャとは、あらゆるロケーション、ユーザー、アプリケーションに対して、完全な柔軟性と最適なセキュリティ態勢で、どこでも、大規模に、「機能」を提供することです。そのため、統合されており、セキュアかつ、自己維持・自己回復・自己最適化するグローバルなクラウド・ネイティブ・サービス・アーキテクチャーが必要となるのです。
SASEのアーキテクチャーは、異なる世代の機能や、買収によって手に入れた製品の組み合わせではなく一から構築されており、優れたSASEエクスペリエンスの基礎となっています。文字通り、単一のコンソールでシームレスに管理されるため、管理と構成を一貫して簡単かつ直感的に行うことができます。ユーザーは完全なアクセスコンテキストを使用して、予防と検出の決定を推進するための豊富な統合ポリシーを作成します。エンドツーエンドの可視化と分析を合理化するため、すべてのドメインにわたってすべてのイベント、意思決定、およびコンテキストが単一のデータレイクに供給されます。
この「機能」と「アーキテクチャ」の二分法を理解することが重要です。どんなに妥当な属性リストだとしても、AndroidとiPhoneを比較したときの順位を想像してみてください。Androidは、何年もの間、より優れたハードウェア、より多くの機能、より高い柔軟性、より低いコスト、そしてより大きな市場シェアを有していました。しかし、彼らはiPhoneの発売以来、"アップル・エクスペリエンス"と呼ばれる幻想的な品質という点において、アップルを止めることができませんでした。
Carlsberg(カールスバーグ)社は、Catoを 「ネットワーキング界のアップル」と称しました。 当社のSD-WANデバイスやコンバージドCASBエンジンに欠けている機能があっても、顧客は「Cato SASEエクスペリエンス」について理解し、高く評価しています。そして、当社のアーキテクチャが推進する迅速な目標達成力を知る顧客は、必要であればそれらを手に入れることができることも知っています。
難しいのは、SASE機能の基礎となるSASEアーキテクチャを構築し、成熟させることです。これを実現するために、当社は80以上のPoPを持つ世界最大のSASEクラウドを構築しました。またサービスを最適化し、完全な暗号化および復号化とセキュリティ検査を行い、1カ所からのSASEスループットにおいて5Gbpsという記録を打ち立てました。そして最も要求の厳しいリアルタイムかつミッションクリティカルなワークロードを持つ大規模なグローバル企業に、最適なパフォーマンスとセキュリティ体制を持続的に提供しました。
「機能」については?当社は、可用性、セキュリティ、カスタマー・エクスペリエンスを損なうことなく、隔週ごと、年間3,000件のペースで機能強化を実施しています。Catoは、SASEプラットフォームをコア・ネットワーク・セキュリティ市場の枠を超え、エンドポイント・プロテクション、拡張検知とレスポンス、IoTなど、同様に合理化アーキテクチャの恩恵を受けられる隣接したカテゴリに拡大しようとしています。
Catoは真のSASE体験を提供します。それは、利用者が待ち望んでいたパワフルなシンプルさ。
当社製品をぜひお試しください。
Cato、それは、SASEの代名詞。
*Gartner, Magic Quadrant for Single-Vendor SASE, Andrew Lerner, Jonathan Forest,16 August 2023
GARTNERはガートナーの登録商標およびサービスマークであり、マジック・クアドラントは米国およびその他の国におけるガートナー社および/またはその関連会社の登録商標です。無断転載を禁じます。ガートナーは、その研究出版物に記載されているいかなるベンダー、製品、サービスも推奨するものではなく、テクノロジーユーザーに最高評価やその他の称号を与えられたベンダーのみを選択するよう助言するものでもありません。Gartnerの研究出版物は、Gartnerのリサーチ組織の意見で構成されており、事実を述べたものと解釈するべきではありません。Gartnerは、本研究に関して、商品性または特定目的適合性の保証を含め、明示または黙示のすべての保証を否認します。
Catoは、リアルタイムでディープラーニング(DL... 詳しくはこちら ›
Cato NetworksのSASE製品におけるAI/MLによるセキュリティと資産管理の強化 Catoは、リアルタイムでディープラーニング(DL)アルゴリズムをネットワーク防御に応用したユニークなアプリケーションを紹介したばかりです。今回の発表は、人工知能(AI)や機械学習(ML)への進出とは言い難いものです。このテクノロジーは、CATOのSASEセキュリティとネットワーク機能を強化し、高度な脅威防止と効率的な資産管理を可能にする上で、重要な役割を果たしてきました。詳しく見ていきましょう。
人工知能(AI)、機械学習(ML)、ディープラーニング(DL)とは何でしょうか?
AI、ML、DLに対するCatoのアプローチの詳細について説明する前に、これらのテクノロジーに関する背景を説明します。AIとは、学習、推論、問題解決、自然言語の理解、知覚など、通常人間の知性を必要とするタスク実行を実現する機械を作るという包括的な概念です。AIの応用例のひとつに医療分野があります。AIを搭載したシステムは、病気の診断や個人に合わせた治療計画の推奨という点で医師をサポートすることができます。
MLはAIのサブセットで、データから学習して予測を行うアルゴリズムの開発に重点を置いています。これらのアルゴリズムは、データセット内のパターンと関係を識別し、明示的なプログラミングなしにシステムがデータドリブン型の意思決定をすることを可能とします。金融分野におけるMLアプリケーションの例として、アルゴリズムが信用スコアリング、不正検知、投資戦略とリスク管理を最適化するためのアルゴリズム取引に使われている。
ディープラーニング(DL)はMLのサブセットで、人工ニューラルネットワークを採用してデータを処理し、人間の脳が通常行うような意思決定能力を模倣します。これらのネットワークは、相互接続された複数のレイヤーで構成されており、膨大な量のデータから大まかな特徴やパターンを抽出することを可能とします。DLは自動運転車両でよく使用されており、複雑な画像認識アルゴリズムによって車両が交通標識、歩行者、その他の障害物を検出して適切に反応し、安全な運転を確保します。
リアルタイムでのネットワークセキュリティモニタリングのためのAI/ML導入における課題の克服
Catoの顧客がDLとMLを導入するにあたって、いくつかの課題があります。Catoは、日々何テラバイトにおよぶ顧客のネットワークトラフィックを処理・モニタリングしています。この量のデータを処理するためには、膨大な計算能力が必要とされます。ネットワークアクティビティに誤って攻撃のフラグを立ててしまうと、顧客の業務に重大な影響を及ぼす可能性があるため、当社のアルゴリズムは極めて正確である必要があります。さらに、リアルタイム推論のための時間はわずか数ミリ秒かつ、ユーザーの体験を妨げることはできません。
Catoは、DLとMLのアルゴリズムをCatoのクラウドインフラ上で実行することで、これらの課題に取り組んでいます。クラウド上で実行することで、クラウドのユビキタスなコンピューティング能力とストレージ容量を利用することができます。加えて、AWS SageMakerなどのクラウドインフラストラクチャの進歩も活用しています。SageMakerは、大規模な機械学習モデルの構築、トレーニング、展開のための包括的なツールとサービスのセットを提供する、クラウドベースのプラットフォームです。最後に、Catoのデータレイクは、ネットワークのメタデータとセキュリティ情報を統合した豊富なデータセットを提供し、アルゴリズムにより優れたトレーニングを与えます。
当社は、これらの技術によりMLアルゴリズムの導入と最適化に成功し、細心の注意を払ってネットワーク活動の誤検知関連のリスクを低減し、リアルタイム推論を実現しています。Catoのアルゴリズムは、低い誤検知率と高い検出率を維持しつつ、リアルタイムでネットワークトラフィックをモニタリングします。
Catoがディープラーニングを利用して脅威の検知と防止を強化する方法とは
Catoは、DL技術を使用して、脅威の検出と予防の効果を増幅するために人工知能の力を活用し、それによってネットワークセキュリティを強化し、多様かつ進化を続けるサイバーリスクからユーザーを保護します。Cato SASEクラウドにおいて、DLは様々な方法で使用されています。
例えば、Cato IPS 内にディープラーニングモデルを統合することでDNS保護にDLを使用し、今日のリリースの本質であるドメイン生成アルゴリズム(DGA)ドメインから発生するコマンド アンド コントロール(C2)通信とDNSトンネリングを検出します。これらのモデルを、膨大な量のネットワーク・トラフィックに対してインラインで実行することで、Cato Networksは悪意のある通信チャネルに関連する脅威を効果的に特定して軽減し、ミリ秒単位でリアルタイムの不正アクセスやデータ漏洩を防ぐことができるのです。
[boxlink link="https://www.catonetworks.com/resources/eliminate-threat-intelligence-false-positives-with-sase/"] Eliminate Threat Intelligence False Positives with SASE | Download the eBook [/boxlink]
テキストと画像を分析することで、 評判の良くない既知のブランドや、フィッシング行為に関連する新たに登録されたWebサイトへのフローを検出し、フィッシング行為を阻止します。膨大なブランド情報やビジュアルコンテンツのデータセットによりモデルをトレーニングすることで、Cato Networksは潜在的なフィッシングサイトを迅速に特定し、信用に足るブランドへの信頼を悪用した詐欺の被害からユーザーを守ることができます。
また、機械学習によりセキュリティ強化のためにインシデントに優先順位をつけます。Catoは、顧客のネットワークアクティビティの集計と、古典的なMLのランダムフォレストアルゴリズムを使用して攻撃パターンを特定し、セキュリティアナリストがモデルのスコアに基づいて優先度の高いインシデントに集中できるようにします。
優先順位付けモデルは、クライアントグループの特性、時間関連のメトリクス、MITRE ATT&CKフレームワークのフラグ、サーバーのIPジオロケーション、およびネットワークの特徴を考慮します。このモデルは、こうしたさまざまな要因を評価することでインシデント対応の効率を高め、プロセスを合理化し、顧客のネットワークのセキュリティと新たな脅威に対する回復力を確保します。
最後に、MLとクラスタリングを活用することで脅威予測を強化します。Catoは集合知の力を使って、新たなインシデントのリスクと脅威の種類を予測します。私たちは、クラスタリングや単純ベイズに類似したアルゴリズムのような高度なML技術を、過去に扱ったセキュリティインシデントに対して適用しています。フォレンジックに基づく事象間の距離メトリクスを用いたこのデータドリブン型アプローチにより、インシデント間の類似性を特定することができます。こうすることで、同様のネットワーク属性を持つ新たなインシデントを特定し、リスクと脅威を正確に予測することができます。
資産の可視化とリスク評価におけるCatoのAIとMLの活用法
脅威の検出と防止のためにMLを使用するだけでなく、Catoに接続する資産のリスクを特定・評価するためにもAIとMLを活用しています。リスク評価においては、OSとデバイスの種類を理解することが非常に重要です。これにより、組織は資産の状況を把握し、各資産の固有の特性と脆弱性に基づいてカスタマイズされたセキュリティポリシーの適用が可能です。
Catoは、クライアントデバイスのアプリケーションやソフトウェアからのトラフィックを検査することで、デバイスのリスクを評価します。ネットワークに接続されているすべてのデバイスで、このアプローチは動作します。対照的に、サポート対象のデバイスが判明していいる場合のみ、クライアント側のアプリケーションに頼ることができます。強力なAI/MLアルゴリズムを活用することで、Catoはデバイスの動作を継続的にモニタリングし、古いバージョンのソフトウェアや危険なアプリケーションに関連した潜在的な脆弱性を特定します。
OSタイプ検出では、CatoのAI/ML機能が、ネットワークに接続されたエージェントレスデバイスのOSタイプを正確に識別します。この情報は、個々のデバイスのセキュリティ体制に関する貴重なインサイトを提供し、組織がさまざまなOSに合わせた適切なセキュリティポリシーを適用して、ネットワーク全体のセキュリティの強化を支援します。
CatoはML/AIの利用を今後も拡大
Catoはセキュリティを簡素化し、その有効性を向上させるためにMLとAIを活用する方法を探し続けます。新しい発見があれば、このブログでお知らせします。
DNSトンネリングを利用してデータを流出させるマル... 詳しくはこちら ›
ネットワーク内のDNSトンネリングを検出する方法とは? DNSトンネリングを利用してデータを流出させるマルウェア検体が、ここ数年間で複数確認されています。2021年6月には「BazarCall(またはBazaLoader)」と呼ばれる、マルウェアを感染させた被害者に偽のコールセンターに電話をかけさせる詐欺について、Microsoft セキュリティ・インテリジェンス(グローバルなセキュリティ専門家のネットワーク)が警告を発しました。BazarCallは、DNSトンネリングを使用してC2サーバと通信するAnchorマルウェアにつながる可能性があります。またAPT攻撃グループは、中東の政府組織を標的としたマルウェア配布キャンペーンでDNSトンネリングを使用しています。ここでは、ネットワーク内のDNSトンネリングを検出するために使用できるいくつかのテクニックをご紹介します。
DNSトンネリングの概要
では、どのようにして攻撃者はDNSトンネリングをマルウェアに利用するのでしょうか。手順は以下のように簡単です。
まず、C2サーバとして使用するドメインを登録します。
次に、マルウェアはDNSクエリをDNSリゾルバに送信します。
すると、DNSサーバはC2サーバにクエリをルーティングします。
こうして、C2サーバと感染したホストの間の接続が確立されます。
DNSによる通信は遮断されないことが多いため、DNSトンネリングは攻撃者にとってデータを盗み出し、ネットワークへアクセスする便利な方法です。同時にDNSトンネリングには、ネットワーク上のDNSトンネリングの検出のために使用できる、非常に明確なネットワーク・マーカーが存在します。
[boxlink link="https://www.catonetworks.com/resources/eliminate-threat-intelligence-false-positives-with-sase?utm_source=blog&utm_medium=top_cta&utm_campaign=eliminate_threat_ebook"] Eliminate Threat Intelligence False Positives with SASE | Download eBook [/boxlink]
任意のデバイスへのDNSトンネリング
ネットワーク・マーカーに関しては、テキスト型のクエリがDNSトンネリングで非常に一般的です。ただし、DNS トンネリングは、タイプ 10 (NULL) などの一般的ではないクエリ タイプでも使用できます。
ネットワーク上のDNSトンネリングを検出するには、長いDNSクエリと一般的でないDNSクエリタイプを調べ、アンチウイルスなど正規のセキュリティ・ソリューションと、悪意のあるトラフィックを区別し、人間が生成したDNSトラフィックとボットが生成したトラフィックを区別する必要があります。
次の例では、当社の顧客ネットワークで確認されたDNSトンネリングトラフィックの背後にあるアルゴリズムを分析します。DNSトンネリングはWindowsで使用されるケースが散見されますが、以下の例ではAndroidで使用されています。
DNSを生成するアルゴリズムの検証
AndroidのDNSトンネリング使用例では、DNSクエリの使用にいくつかの共通した特徴が見つかりました。 スクリーンショット(図1)では、複数のDNSクエリで同じアルゴリズムが使用されていることがわかります。このアルゴリズムは8つのパートに分割されます。
[caption id="attachment_19801" align="alignnone" width="1842"] Figure 1 - DNS tunneling example[/caption]
図1では、複数のDNSクエリで同じアルゴリズムが使用されていることがわかります。このアルゴリズムは5つのパートに分割されます。
最初のパートは4-11文字(赤)
2番目のパートの最初の6文字が異なるクエリ間で繰り返される(青)
次のパートは63文字(黄)
最後のセクションは10文字(黒)
2番目のパートの最初の文字を結合した文字列が繰り返される(緑)
アルゴリズムの検証の結果、これらのDNSクエリはアルゴリズムが同じであることから、同じボットから送信されていることがわかります。また、異なるDNSクエリで繰り返されるアルゴリズムが統一されていることから、ボットトラフィックであると推測することができます。ボットにより生成されたトラフィックは、一貫性を持ち、同型である傾向にあります。
送信先の検証
次に、DNSクエリの送信先を検証します。送信先を検証することで、複数の未知のサーバを特定することができます。これらのサーバが受信した他のDNSクエリを検証したところ、トンネリングクエリ以外のものは見つかりませんでした。 DNSサーバへの正当なトラフィックが見つからない場合、同サーバがマルウェアに利用されている可能性を示すもう一つの指標となります。
ポピュラリティの検証
十分な規模を持つネットワークの場合、ユーザー間でIPまたはドメインのポピュラリティを測定するアルゴリズムを開発することも、マルウェア検知の一助となります。そうしたポピュラリティ測定アルゴリズムを、Catoネットワーク上の数十万人のユーザーを対象に使用することで、DNSクエリにおけるサーバのポピュラリティが低いことが判明します。IPのポピュラリティが低い場合、そのサーバがマルウェアによってのみ使用されている可能性があるため、悪意のあるサーバの指標となることがよくあります。しかし、ポピュラリティの低さだけでは悪意のあるサイトと判断するのには不十分なため、上記のような他の指標と合わせて判断する必要があります。
結論
DNSトンネリングは攻撃者が多くのファイアウォールを介してC2サーバと通信し、データ流出を可能とする古くからある手法ですが、ネットワークの特徴に着目することで脅威を特定することができます。 今回のケースでは、アルゴリズムによって生成された複数のDNSクエリ、不明なサーバを持つ送信先、ポピュラリティの低いサーバが見つかりました。どの指標も単独では悪意のある通信を反映していないかもしれませんが、このセッションが悪意のあるものである可能性が非常に高いという事実が、手動調査により検証されました。ネットワークとセキュリティの情報を組み合わせることにより、脅威の検知の改善につながることを示す好例となりました。
2022年11月、タグ・ホイヤー・ポルシェ・フォー... 詳しくはこちら ›
タグ・ホイヤー・ポルシェ・フォーミュラEチームとCato Networks:パートナーシップの背景 2022年11月、タグ・ホイヤー・ポルシェ・フォーミュラEチームは、Cato Networksとのパートナーシップを発表し、Catoをチームの公式SASEパートナーと宣言しました。Cato Networksは、レース中の優れたオントラックパフォーマンスを提供するため、タグ・ホイヤー・ポルシェ・フォーミュラEチームが必要とする接続性とセキュリティを提供しています。
タグ・ホイヤー・ポルシェ・フォーミュラEチームのリードITプロダクトマネージャーであるThomas Eue氏は、次のように述べています。「私たちにとってCatoは、まさにゲーム・チェンジャーです。本当に設定が簡単で、実際にネットワークが速くなりました。他の企業にも自身を持ってCatoを勧めることができます。」
このブログ投稿では、タグ・ホイヤー・ポルシェ・フォーミュラEチームがSASEを導入する前に抱えていた課題、なぜCatoを選んだのか、そしてCatoのSASEソリューションがタグ・ホイヤー・ポルシェ・フォーミュラEチームの勝利にどのように貢献しているのかを検証します。このブログ記事のベースとなるケーススタディについては、こちらをご覧ください。
挑戦:規模に応じたリアルタイムデータ伝送
ABB FIAフォーミュラE世界選手権のレース中、タグ・ホイヤー ポルシェ フォーミュラEチームにとって、ドイツにあるチーム本部からリアルタイムでドライバーに配信されるインサイトと指示が頼りです。こうした指示は、タイヤの温度、バッテリーの消耗、タイミングデータ、ドライバーの映像など、ライブのレースデータから導き出されます。このプロセスにおける正確さと信頼性は、チームの成功に不可欠です。
しかし、50Mbpsの帯域幅しか提供されなかったため、タグ・ホイヤー・ポルシェ・フォーミュラEチームは、複数の異なるチャンネルにまたがるライブTVフィード、ライブインターコムサービス、ライブコミュニケーションを伝送することが困難でした。
さらにレースの性質上、チームは毎回大会前に新しいレース会場に足を運び、ネットワークをセットアップしなければいけません。ポルシェ・モータースポーツの IT 責任者、Friedemann Kurz氏によれば、「様々な国で私たちを待ち受ける問題について、技術的に100%の確信を持つことができません。特にレイテンシは純粋に物理学的なもので、国によって大きく変わってくる」ため、これは困難なことでした。
[boxlink link="https://catonetworks.easywebinar.live/registration-simplicity-at-speed"] Simplicity at Speed: How Cato’s SASE Drives the TAG Heuer Porsche Formula E Team’s Racing | Watch the Webinar [/boxlink]
タグ・ホイヤー・ポルシェ・フォーミュラEチームの選択:Cato NetworksのSASEクラウド
タグ・ホイヤー・ポルシェ・フォーミュラEチームは、Cato SASEを選択し、それをレース戦略の要としました。グローバルかつ最適化されたCato SASEソリューションは、ドライバーと整備場、そして本社を高性能なインフラでつなぎます。レース中の重要データはCatoのグローバルなプライベートバックボーンを通じて送信され、本部でリアルタイムに分析され、ドライバーや現場チームにフィードバックされ、ドライビングパフォーマンスを向上させます。
ポルシェ・モータースポーツのIT部門責任者であるFriedemann Kurz氏は、次のように語っています。「Cato Networksのおかげで、ITネットワーク・インフラストラクチャのセットアップと管理のための作業が軽減され、サーキットで違いを生み出す重要な決断に集中できるようになるのです。Cato SASEクラウドを使用することで、レーストラックでも、移動中でも、ポルシェ・モータースポーツの本拠地であるヴァイザッハの研究開発センターでも、世界中のどこでも必要とされる信頼性の高いセキュアな接続が可能になりました。」
Cato Networksはまた、接続の安全性も保証しています。ポルシェ・モータースポーツのチームマネージメントおよびビジネスリレーション担当ディレクターであるCarlo Wiggers氏は、次のように語っています。「レーストラック、クラウドアプリケーション、そしてヴァイザッハのポルシェ・モータースポーツ間、どこにいても最もセキュアな接続が実現されました。」
Cato Networksは導入の課題解決のため、たった5時間で拠点の立ち上げるを可能にしました。ポルシェ・モータースポーツのIT部門責任者であるFriedemann Kurz氏は次のようもコメントしています。「エンジニアの到着と同時にサービスの開始が可能です。」
合理的かつ高性能なソリューション
チームのITエンジニアとモータースポーツIT部門は、Cato Networksの技術を活用し、リアルタイムで確実にデータを送信しています。本部チームはデータを分析し、即座にそれらの情報に基づいた決断を下すことが可能です。
最初の1週間で、チームは1.2TB以上のデータを転送しました。
ケープタウンでのレースの例:
1.45TBのデータ送信。
レース場から本部までのラウンドトリップタイムは80~100ミリ秒で安定していました。
イベント全体でのパケットロスはわずか0.23%でした。
ポルシェ・モータースポーツのIT部門責任者であるFriedemann Kurz氏は、次のように語っています。「当社と同じようにグローバルで活動し、世界中にさまざまな拠点を持つ企業であれば、間違いなく、Catoが提供している全てのソリューションの恩恵を受けられます。」
ABB FIAフォーミュラE世界選手権、タグ・ホイヤー・ポルシェ・フォーミュラEチームがCATOのSASEをどのように活用しているか、そして両チームが共有する共同価値について、詳しくはこちらのケーススタディをご覧ください。
数年前と今日のビジネスは、もはや同じものではなくな... 詳しくはこちら ›
今日のビジネスニーズが従来型のNGFWでは満たせなくなった理由とは 数年前と今日のビジネスは、もはや同じものではなくなっています。IT技術は急速に変化し、企業ネットワークは急速に分散化、複雑化しています。これによりビジネスにメリットがもたらされる一方、大きな課題も生まれています。
企業が直面する最大の障壁のひとつは、セキュリティインフラの進化を、ITインフラの進化が追い越さないようにすることでしょう。多くの企業は、従来型の次世代ファイアウォール(NGFW)などのセキュリティソリューションを中心に、セキュリティアーキテクチャの設計と実装に多大な時間とリソースを費やしてきました。これらのソリューションは、急速に過去の遺物となりつつあるネットワーク向けに設計されています。そのため、進化するITインフラストラクチャを、既存のセキュリティと連携させようとするのはおすすめできません。
拡大する現代の企業
パンデミック、ビジネスニーズの変化、新しいIT技術とセキュリティ技術の導入により近年、企業のITインフラストラクチャが進化してきました。企業のITインフラにおける最近の大きな変化には、次のようなことが挙げられます。
クラウドの導入
ほぼすべての企業がクラウドベースのインフラを導入しており、89%がマルチクラウドを導入しています。クラウドへの移行は、重要なデータやアプリケーションを現場から切り離すことで、ますます企業の分散化を推し進めています。企業WANは、組織のさまざまなネットワークセグメント間でトラフィックを効率的かつ安全にルーティングできる必要があります。
リモートワーク
パンデミックにより、リモートワークやハイブリッドワークへの移行が加速しました。どこからでも仕事ができるようになった今、従業員のサポートのために企業のITインフラは適応する必要があります。リモートワークとクラウドの狭間で、本社ネットワークと、その境界型セキュリティソリューションを通過すべきでない企業ネットワークトラフィックの割合が増えています。
支店の所在地
リモートワーカーの増加の他に、企業は新たな支店を設立する可能性もあります。リモートワーカーと同様、こうした拠点の従業員も、オンプレミスのデータセンターとクラウドの両方でホストされている企業リソースへの高パフォーマンスな接続性を必要としています。
モバイルデバイスの使用
リモートワークの普及に伴い、モバイルデバイス(企業所有と個人所有の両方)のビジネス目的での使用も増加しています。企業が所有または管理していないデバイスが、機密性の高い企業データやITリソースにアクセスできる可能性があるため、アクセス管理とトラフィック検査は企業のセキュリティにとって極めて重要です。
モノのインターネット(IoT)機器
IoTデバイスは、組織の業務効率とデータ主導型の意思決定能力を高める可能性を秘めています。しかし、IoTデバイスはセキュリティに難があることでも知られており、デバイスが導入されている企業ネットワークのセキュリティに大きな脅威を与えています。企業のITアーキテクチャは、そうしたデバイスが企業WAN内のどこに配置されていても、それらがもたらすリスクを制限できるものでなければいけません。
企業ネットワークの進化に伴い、もはや従来のLANに特化したセキュリティモデルは有効ではなくなってしまったのです。社内LANの保護は重要ですが、従来のネットワーク境界の外側に位置する組織の従業員やデバイスの割合が増えています。クラウドベースの資産やリモートワーカーを、境界型セキュリティで保護することは非効率的であり、またネットワークのパフォーマンスや企業の生産性の低下をまねきます。企業ネットワークの拡大と分散化が進むにつれ、セキュリティアーキテクチャは、その所在に関わらず企業WANを保護するように設計される必要があります。
アプライアンスベースNGFWにおける重要な制限事項
従来、ほとんどの組織は、アプライアンスベースのセキュリティソリューションによって境界型セキュリティを導入してきました。組織のITインフラと従業員のほとんど、またはすべてがオンサイトに配置されている場合、アプライアンスベースのセキュリティソリューションが企業のニーズを効果的に満たすことができます。
しかし、この説明はもはやほとんどの企業のIT環境にそぐわなくなり、従来の境界線に焦点を当てたアプライアンスベースのセキュリティモデルは、組織のセキュリティニーズには合致しないものとなっています。次世代ファイアウォール(NGFW)のようなアプライアンスベースのセキュリティソリューションにおける主な制限事項には、次のようなものがあります。
補償範囲の制限
NGFWは、ネットワークに出入りするトラフィックを検査し、フィルタリングすることで、保護されたネットワークを守るように設計されています。そのためには、安全が確保されたすべてのトラフィックが流れるように配置する必要があります。このため、保護されたネットワーク(クラウドの展開、リモートワーク、支店の増加に伴い、ますます拡張が困難となっている)に導入するか、すべてのトラフィックを迂回経由させる必要があり、遅延が増大してネットワークパフォーマンスに悪影響を及ぼすため、拠点を複数もつ企業のセキュリティ確保には限界があるのです。
[boxlink link="https://catonetworks.easywebinar.live/registration-the-upside-down-world-of-networking-and-security?utm_medium=blog_top_cta&utm_campaign=upside_down_webinar"] The Upside-Down World of Networking & Security | Webinar [/boxlink]
スケーラビリティの制限
アプライアンスベースのNGFWは、そのハードウェアによって制限され、検査し保護できるトラフィックの最大量と速度があります。クラウドベースのインフラを採用する企業が増えるにつれ、需要の増加に合わせてクラウドリソースが急速に拡張できるため、このような課題が生じています。アプライアンスベースのセキュリティソリューションの拡張には、企業の俊敏性を制限する高価で時間のかかるプロセスである、追加のハードウェアの取得と導入が必要なこともあります。
複雑な管理とメンテナンス
NGFWのようなセキュリティソリューションの効果を保つには、導入環境のセキュリティ上の懸念に対処できるように調整する必要があります。クラウドベースのインフラ、リモートワーク、支店など、企業が拡大するにつれて、さまざまな環境を保護する必要が出てきます。その結果、さまざまなセキュリティソリューションやカスタム設定が、セキュリティ管理を複雑で拡張性のないものにしています。
従来のNGFWは、組織の資産をソフトウェア定義の境界の内側に保護し、組織の管理下でインフラを使用できる企業IT環境向けに設計されていました。企業ネットワークの進化により、こうした前提が無効化されるにつれ、従来のNGFWや同様に境界を重視するアプライアンスベースのセキュリティソリューションは、もはや現代企業のニーズに合致しなくなっています。
現代ビジネスのためのNGFWの再設計
企業のデジタルトランスフォーメーションへの取り組みや、変化する市場において競争力を維持するための努力が、新しいテクノロジーの導入に拍車をかけています。企業資産がクラウド上に保管され、ITアーキテクチャが分散されるケースが増えています。
従来型セキュリティソリューションを使って現代企業の必要とするセキュリティを確保する場合、企業はネットワークパフォーマンスとセキュリティのどちらかを諦めざるを得なくなります。ITアーキテクチャがクラウドに移行し、分散型になるにつれて、NGFWなどの企業サイバーセキュリティソリューションもそれに併せて変化する必要があります。
企業ネットワークが進化することにより、NGFWの従来の限界を克服し、他の主要なネットワークとセキュリティ機能を統合するセキュア・アクセス・サービス・エッジ(SASE)ソリューションの開発が推進されました。こうしたクラウドベースのソリューションは、組織に次のようなさまざまなメリットをもたらします。
グローバルな展開:SASEのクラウドネイティブソフトウェアは、世界中のPoP(Point of Presence)に展開されています。これにより、オンプレミス、クラウドベース、リモートの各デバイスと最寄りのPoPとの距離を最小化し、どこでもNGFW機能を提供することが可能となります。
可視性の向上:SASEでは、企業WAN上を移動するすべてのトラフィックが、少なくとも1つのSASE PoPを通過します。これにより、セキュリティ検査とポリシー適用が可能となり、企業ネットワークトラフィックの総合的な可視化が実現します。
管理の簡素化:SASEのすべての機能は可視化され、管理されます。これにより、セキュリティの監視と管理が簡素化され、統一された一貫性のある管理が可能になります。
セキュリティの統合:SASEのPoPは、多くのセキュリティとネットワーク機能を1つの一貫性のあるサービスとして統合し、スタンドアローンのソリューションに比べ、より優れた最適化を実現します。
拡張性のあるセキュリティ:SASEのPoP上では、クラウドネイティブソフトウェアが実行されています。ダウンタイムや顧客の関与なしで、増え続ける需要に対応するためのスケールアップが柔軟に行われます。企業はもはや、ハードウェアの中期的な故障や修理を心配する必要はなくなったのです。
パフォーマンスの最適化: ユーザーとアプリケーションのトラフィックを中央のセキュリティスタックに転送する代わりに、ユーザーとアプリケーションの元にセキュリティを配信することで、ネットワーク待ち時間が短縮され、ユーザーエクスペリエンスと生産性が向上します。
Cato Networksは、世界初のクラウドネイティブなシングルベンダーSASEを構築しました。Cato SASEクラウドは、SLAがサポートする専用のプライベートグローバルバックボーンで接続された75以上のPoPからなるプライベートクラウドから利用可能です。今すぐ無料デモに申し込み、Cato SASE クラウドの機能をご自身の目でお確かめください。
企業ネットワークは急速に複雑化し、分散化しています... 詳しくはこちら ›
SD-WAN導入のための安全で効果的なベストプラクティス5選 企業ネットワークは急速に複雑化し、分散化しています。クラウド・コンピューティング、リモートワーク、モバイル、モノのインターネット(IoT)の普及に伴い、企業ユーザーやIT資産はあらゆる場所に配置され、それぞれが接続性を必要としています。
ソフトウェア定義WAN(SD-WAN)は、セキュアで高性能な企業WANを、既存のネットワーク上に実装する機能を提供します。しかし、組織にその完全な価値を提供するためには、SD-WANインフラストラクチャは慎重に設計・実装されなければなりません。
SD-WAN ベストプラクティス
SD-WANの導入が不完全だった場合、組織に重大なリスクがもたらされます。SD-WANの設計および導入には、以下のベストプラクティスを考慮しなければなりません。
ユーザーをサポートするSD-WANデバイスの位置
SD-WANは、さまざまな拠点間で安全かつ最適化されたネットワークルーティングを提供します。多くの場合、企業は支店やクラウドエッジの近くにSD-WANルーターを導入します。
リモートワーカーにとっても、SD-WANは有益です。最適なネットワーク接続を実現するためには、SD-WANソリューションの導入により、リモートワーカーのパフォーマンスを最大化する必要があります。つまり、SD-WANエッジまでのリモートトラフィックの距離を最短にすることを意味しています。
高品質ネットワーク接続の使用
SD-WANは、ブロードバンドインターネット、マルチプロトコルラベルスイッチング(MPLS)、モバイルネットワークなどの異なるネットワーク接続上でトラフィックをスマートにルーティングすることにより、ネットワークのパフォーマンスと信頼性を向上させるように設計されています。SD-WANデバイスにトラフィックが送信されると、ネットワーク状況に基づいて最適なパスが選択されます。
しかし、ネットワーク接続が自由に使える代わりに、ネットワークのパフォーマンスと信頼性を高めるSD-WANの能力が制限されてしまいます。ブロードバンドインターネット同様、利用可能な接続が本質的に信頼できない場合、SD-WANはこの問題を解決することはできません。SD-WANへの投資価値を最大化するには、期待されるレベルのパフォーマンス、待ち時間、信頼性を提供するネットワーク接続の使用が不可欠です。
拡張性を考慮した設計
継続的に増加している企業の帯域幅に対応するため、SD-WANは現在および将来のネットワーク要件をサポートのために拡張可能である必要があります。専用ハードウェアを使用してSD-WANを導入した場合、ソリューションの拡張性が制限され、将来的にアップグレードまたはハードウェアの追加が必要になります。企業は、その代わりにクラウドのスケーラビリティを活用し、組織のニーズに応じて成長するSD-WANソリューションを使用すべきでしょう。
セキュリティとネットワークの統合
SD-WANはネットワークソリューションであり、セキュリティソリューションではありません。目的地までトラフィックを安全かつスマートにルーティングできても、組織とその従業員を高度なサイバーセキュリティの脅威から保護するために必要とされる高度なセキュリティ検査やポリシー施行が実装されていません。
そのため、SD-WANはネットワークセキュリティとともに導入する必要があります。企業はリモートワークとクラウドの増加に伴い、ネットワーク境界の防御を通過するトラフィックを信頼できなくなり、またトラフィックのバックホールを行うことはSD-WAN導入の目的を失うことになってしまいます。セキュアなSD-WANの導入とは、ネットワークに強力なセキュリティを実装することに他なりません。
[boxlink link="https://www.catonetworks.com/resources/sase-vs-sd-wan-whats-beyond-security/"] SASE vs SD-WAN: What’s Beyond Security | Download the eBook [/boxlink]
統合ソリューションの検討
企業はしばしば、重要なネットワーキングとセキュリティソリューションの導入の際に、必要な機能を提供するポイントソリューションを導入するアプローチをとります。しかし、その結果、監視、運用、管理が難しく、高コストのITアーキテクチャが肥大化してしまうのです。
セキュアSD-WANの導入時にこのアプローチを取ってしまうと、問題を悪化させる可能性があります。各SD-WANデバイスは完全なセキュリティ・スタックでサポートされる必要があるため、最終的には各拠点に複数のソリューションを導入して運用することになってしまいます。
この問題に、SASE(セキュアアクセスサービスエッジ)が解決策を提供します。SASEは、クラウドベースのセキュリティサービスとして提供される完全なネットワークセキュリティ一式と、SD-WAN機能を統合しています。組織はSD-WANを使用することで、最小限のコストと運用オーバーヘッドでWANインフラを実装し、保護することができます。
Cato SASEクラウドによる安全で使いやすいSD-WANの実装
SD-WANの正しい設計と展開こそが、組織がSD-WANの利点を最大限に活用する唯一の道です。そうすることで、ネットワーク パフォーマンスの低下、セキュリティの低下、ユーザー エクスペリエンスの低下を回避できます。
Cato SASEクラウドは、SD-WANのベストプラクティスに従い設計されたSD-WAN機能を提供し、組織に次のメリットをもたらします。
グローバルな展開:Cato SASEクラウドは、80箇所以上のPoPを持つ、グローバルに分散されたネットワークです。これにより、リモートワーカーは最小限の遅延で企業 WANへとアクセス可能となります。
最適化されたネットワーク:Cato SASEクラウドは、専用のティア1キャリアにリンクされたネットワークを通じて接続されています。この接続は、公衆インターネット上で実行されるSD-WANソリューションよりも優れたネットワークパフォーマンスと回復力を提供します。
統合されたセキュリティ:SASEソリューションとして、Cato SASEクラウドはSD-WANと完全なネットワークセキュリティスタックを統合します。この統合は、ネットワーク・パフォーマンスやユーザー・エクスペリエンスを損なうことなく、高度な脅威防御の提供を実現します。
クラウドベースでの展開:グローバルなプライベートバックボーンにより接続された、PoPのグローバルネットワークとして、Cato SASEクラウドは展開されています。その結果、現場のアプライアンスベースのソリューションよりも高い拡張性、可用性、回復力の提供を可能とします。
マネージドSD-WAN:Cato SASE CloudはマネージドSD-WANサービスとしての利用が可能です。これにより、SD-WAN導入の設定、管理、更新の手間から開放されます。
SD-WANはネットワークパフォーマンスの向上に貢献しますが、潜在的なセキュリティ・リスクももたらします。Cato SASEクラウドは、PoPネットワーク上に構築され、グローバルなプライベートバックボーンで接続された単一のソフトウェアスタックに、SD-WANとネットワークセキュリティを統合することによってこれを解決します。Cato SASEクラウドを使用し、SD-WANとSASEを実装することで、組織のネットワークパフォーマンスとセキュリティがどのように最適化されるのかについて詳細をご覧ください。
サイバーセキュリティとは終わりのない戦いの世界であ... 詳しくはこちら ›
Qakbotの進化:最新の脅威に対応するCato Networksの取り組み サイバーセキュリティとは終わりのない戦いの世界であり、脆弱性を悪用してネットワークに侵入する新しい方法が常に悪意ある行為者により考案されています。もう10年以上にわたり、セキュリティチームの頭痛の種であり続けているこうした脅威の1つが、Qbotとして知られるトロイの木馬 Qakbotです。2007年以来、Qakbotは悪意のあるキャンペーンに使用されており、根絶への多くの努力にもかかわらず、検出を回避するために進化・適応し続けています。
Cato Networksの脅威研究チームは、高度な機能と検出回避手段を持つ、いくつかの新しいQakbotの亜種を分析し、それらの脅威に対する保護をCato Networks IPSに迅速に構築・展開しました。
Cato Networksの研究チームは、当分析において最新のQakbot亜種の戦略、手段、手順(TTP)を暴き、これに対処しない場合に起こりうる、企業や組織への潜在的な影響について検証します。
なぜ今?
COVID-19のパンデミック中は、ランサムウェアを使った攻撃が大幅に増加するなど、サイバー攻撃が多発しました。Qakbotを利用する脅威アクターはこうした攻撃の急増に伴い、他の敵対勢力に順応し、それらとペアになって、重大な結果へ繋がる凶悪な多段攻撃を実行しました。
残念ながら、リーク版のペネトレーションテストフレームワークの多くが市場に出回り、脅威アクターによって悪用されています。ここ数年はさらに大きな利益追求のため、Qakbotのターゲットは小売業のユーザーから企業や団体へとシフトしています。
Qakbotの最新バージョンは、検出を回避し、感染したシステム上で持続性を維持するための新しい感染技術を持っています。Qakbotは、最新のデザインアップデートと、さらに複雑な多段階の感染プロセスにより、従来のほとんどのセキュリティソフトウェアの検出技術を回避することが可能で、これは対策を取らない企業や組織にとって重大で継続的な脅威となっています。
最新版Qakbotはどのように感染を広げるのか?
悪意のある電子メールの添付ファイル内のリンクをユーザーがクリックすることで、Qakbotの感染プロセスの初期段階が始まります。最新版Qakbotでは通常、悪意のあるファイルは、ZIP、OneNoteまたはWSFファイル(Microsoft Windows Script Host.で使用されるファイル形式)形式で添付されます。Zip、OneNote、WSFファイル形式はMOTW(Mark of the Web)の回避が容易であるため、悪意のある行為者によりしばしば使われます。MOTWは、インターネットからダウンロードされたマクロを含むファイル(Excelファイルなど)の危険性を検知し、ブロックするためにMicrosoftが実装したセキュリティ警告機能です。MOTWを受信しないファイルタイプを使用することで、Qakbotの添付ファイルは検出やブロックを回避しやすくなっています。
ユーザーがWSFまたはOneNoteファイルを開き、埋め込まれたリンクをクリックすると、Qakbotは密かに一連のコマンドを起動し、マルウェアがシステムに感染し、検出回避のための追加措置の実行を可能とします。
[boxlink link="https://www.catonetworks.com/resources/cato-networks-sase-threat-research-report/"] Cato Networks SASE Threat Research Report H2/2022 | Download the Report [/boxlink]
悪意のあるファイルは、Living Off the Land Binaries(LOLBins)を悪用したり、Adobe Cloudファイルなどよく使われるファイルタイプを模すことで、無害なファイルとして隠蔽されます。Windows OSに存在する正規のバイナリや実行ファイル、LOLBinは、攻撃者による悪意ある活動に使用されることがあります。これらのバイナリは、一般的にほとんどのWindowsマシンに存在し、正規にシステムの保守や管理作業に使用される一方、悪意のあるコードを実行したり、侵害されたシステムの永続性実現のために簡単に悪用することができます。LOLBinはほとんどのWindowsシステムに存在し、一般的なセキュリティソフトウェアの許可リストに含まれており、検出やブロックが困難であるため、攻撃者は一般的にLOLBINを利用します。一般的なLOLBinの例としては、cmd.exe、powershell.exe、rundll32.exe、regsvr32.exeがあります。
初期の感染プロセスが完了した後、Qakbotは感染したシステム上で足跡を拡大し、最終的にはQakbotのコマンド&コントロール(C2)サーバーとの暗号化通信を使用することで、自らの活動をさらに隠蔽し検出を回避します。
バンドルされた.wsfファイルの実行を指示する、悪意のあるPDF添付ファイルの共有例
最近の4つの異なるQakbotの感染シナリオを調査し、どう動作するのかを正しく知りましょう。
シナリオ1: OneNoteファイルの添付ファイルとして隠された .hta 形式のファイルが埋め込まれた悪意のある電子メールにより、多段階の感染プロセスを展開
悪意のあるメールは、ユーザー(被害者)を、正規のOneNoteファイルの添付ファイルの中に隠された悪意のあるリンクをクリックするように誘導します。リンクをクリックすると、感染の連鎖が始まります。 実際には、悪意のあるリンクには .hta ファイルが埋め込まれており、リンクをクリックするとそれが実行されます。この .hta ファイルには、Qakbotペイロードを配信し、デバイスを感染させるために使用されるVBscriptコードが含まれています。 Windowsでは、 .hta ファイルの実行に MSHTA.exe が使用されます。通常、 MSHTA.exe は正規にHTMLアプリケーションの実行に使用されるため、このプロセスは通常、悪意のあるものとして検出されることはありません。
埋め込まれた悪意のある .hta ファイルは、OS上でコマンドを実行するために VBScript を使用する
.hta ファイルの起動後、 curl.exe を実行し、感染したdllファイルをリモートC2 Qakbotサーバーから強制ダウンロードします。Qakbotペイロードは画像ファイルとして偽装され、ダウンロードプロセス中の検出を回避します。通常はCurlも正規のツールであり、インターネット上でデータを転送するために使用されます。
curl.exe と、Qakbotペイロードの実行を示す .hta ファイルの解除されたコード
次に .hta ファイルは、r undll32.exe を使用してQakbot dllファイルを実行します。Rundll32.exe は、通常はDLLファイルを実行するために使用される正規のWindowsアプリケーションです。このシナリオでは、 rundll32.exe を実行することで、画像に偽装された悪意のあるDLLファイルが検出されることなくシステムに正常にロードされます。
Qakbotの感染連鎖の例
システムに正常にロードされたQakbotはその後、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。Wermgr.exe は、正規のWindowsイベントログアプリケーションです。正規のプロセスを装うことで、マルウェアはバックグラウンドで実行され、一般的なアンチウイルスソフトウェアによる検出を回避することができます。
シナリオ2: シナリオ1と同様にこのバリエーションも、 .cmd ファイルを埋め込んだ悪意のあるメールがOneNoteファイルの添付ファイルに隠され、多段階の感染プロセスに繋がる
悪意のあるメールは、ユーザー(被害者)を、正規のOneNoteファイルの添付ファイルの中に隠された悪意のあるリンクをクリックするように誘導します。リンクをクリックすると、感染の連鎖が始まります。実際には、悪意のあるリンクには .cmd ファイルが埋め込まれており、リンクをクリックするとそれが実行されます。Windowsでは、 .cmd ファイルの実行に CMD.exe が使用されます。CMD.exe は、Windows OSでコマンドを実行するために使用される、正規のコマンドラインインタプリタです。ひとつのLOLBinであり、通常このプロセスは検出回避のために悪用されます。
cmd ファイルコンテンツ
.cmd ファイルはPowerShellを起動し、リモートQakbot C2サーバーから暗号化されたペイロードを強制ダウンロードします。PowerShellは、Windows OSに組み込まれた強力なスクリプト言語で、通常はタスクの自動化に使用されます。
.cmd スクリプトからデコードされた base64 文字列
ダウンロードされたペイロードのdllファイルは、 Rundll32.exe を使用して、シナリオ1と同じ目的で実行されます。
システムに正常にロードされたQakbotはその後、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。
シナリオ3:.WSF(Windowsスクリプトファイル) ファイルがバンドルされた、悪意のある Zip添付 メール
このバリエーションでは、感染したWSFファイルを含む悪意のある電子メールが、Adobe Cloud証明書を模倣し設計されたZip添付ファイルの中に隠されています。Zipファイルは、しばしば正規のものと勘違いさせるような名前を持ち、ユーザー(被害者)を騙して、添付ファイルが安全で無害であると思わせるよう特別に設計されています。
悪意のあるメールは、添付ファイルを開き、バンドルされているファイルを展開するようにユーザー(被害者)を誘導します。Zipの中には、 .WSF 、 PDF そして TXT の3つのファイルが含まれます。PDF と TXT ファイルはおとりであり、 .WSF ファイルをクリックして開くようユーザーを誘導し、感染の連鎖を開始させます。通常、 .WSF ファイルには、Windows Script Hostによって実行される正規のコマンドシーケンスが含まれています。この場合、Qakbotの感染プロセスを次の段階へと移すスクリプトがWSFファイルに含まれています。
証明書に見せかけた .WSF ファイルに隠され、難読化された悪意のある JavaScript
悪意のある .WSF ファイル内の難読化されたスクリプト(JavaScriptで記述)が、Qakbot C2サーバーからペイロードの強制ダウンロードします。
難読化されたスクリプトは、 Rundll32.exe. を使ってQakbot dllを実行します。
システムに正常にロードされたQakbotはその後、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。
シナリオ 4: HTMLスマグリング の手法を使った、 .html 添付の悪意のあるメールHTMLスマグリング 悪意のあるバイナリを無害に見える .html 添付ファイルに隠すことで、脅威アクターが悪意のあるバイナリコードをシステム内に秘密裏に仕込むことを可能にするテクニックです。
悪意のあるメールは、バイナリを隠して無害に見える .html 添付ファイルを展開するようにユーザー(被害者)を誘導します。また、 .html ファイルがZIPアーカイブファイルの中に含まれている場合もあり、さらに攻撃の複雑さが増しています。
.html ファイルを開くと、添付ファイルのコード内に格納され、パスワードで保護された悪意のある .ZIP アーカイブファイルが配信されます。ファイルのパスワードは、 .html ファイル内に記載されています。
悪意のある .html ファイル - パスワードで保護された.ZIPファイルを開くように被害者を誘導する
.ZIPアーカイブファイルの中に、悪意のある .img ファイルがバンドルされています。IMGは、フロッピーディスクやハードディスク、光ディスクの仮想ディスクイメージを格納するバイナリファイルです。IMGファイルやISOファイルは、正規に大きなソフトウェアをインストールする目的で使用されるのが一般的です。Qakbotの場合、IMGファイルを読み込むと、自身をドライブとしてマウントし、その中身を公開します。
悪意のある .img ファイルは、実際には .LNK (Windowsショートカットファイル)ファイルを含む他の複数のファイルをバンドルしています。.LNK ファイルを実行すると、マウントされた .img ファイル内の他のファイルを使って、複雑な感染チェーンが開始されます。
感染経路の途中で悪意のある .WSF ファイルが実行され、PowerShellを起動してリモートQakbot C2サーバーから暗号化されたペイロード(Qakbot dll)を強制ダウンロードします。PowerShellは、Windows OSに組み込まれた強力なスクリプト言語で、通常はタスクの自動化に使用されます。
PowerShellを使って、C2サーバーからのQakbotのdllダウンロードを依頼する
.WSFスクリプトは次に、 Rundll32.exe. を使ってQakbot dllを実行します。
システムに正常にロードされたQakbotは、 wermgr.exe の新しいプロセスを生成し、その中にコードを注入することで自身を隠します。
潜在的な被害
Qakbotがシステムに感染した後、マルウェアは感染した環境の評価と偵察を行います。Qakbotはその環境に価値があれば、Cobalt StrikeやBrute Ratelフレームワークなどの追加ツールをダウンロードします。これらのフレームワークは、侵入テストの目的でレッドチームが商業的に使用しています。
残念ながら、リーク版のペネトレーションテストフレームワークの多くが公開市場に出回り、脅威アクターによって悪用されています。これらのツールを使って、脅威アクターは特権アカウントへの昇格や横方向移動など、収奪後の高度なアクションを実行します。
結局の所、Qakbotや類似のマルウェアなどによりもたらされる最大の脅威はランサムウェアです。最近のいくつかの攻撃では、QakbotによるBlackBastaランサムウェアの配信が確認されています。BlackBastaは、米国と欧州を拠点とする多くの企業への攻撃に使用された、悪名高い効果的なランサムウェアの亜種です。BlackBastaは、攻撃者が暗号化されたファイルやデータへのアクセスを回復するために身代金の支払いを要求し、身代金が支払われない場合はユーザーや組織のデータをダークネットで販売すると脅迫する、 二重の恐喝技術 を使用します。
Cato Networksの内部セキュリティチームのダッシュボードに、データ流出の疑いがあるものが表示されます。
CatoがQakbotからお客様を守る仕組み
他のマルウェアと同様、Qakbotは常に進化しており、新たな手法や感染・侵入試行により更新されています。継続的な組織のセキュリティのためには、お使いの脅威検知ソリューションがマルウェアの脅威に対するこの種の変化を可能な限り早く検知し、ブロックできることを確認することが重要です。Cato NetworksのIPS(侵入防御システム)は、マルウェアによるC2サーバーへの通信をブロックするため、Qakbotの最新の更新に合わせて直ちにアップデートされました。Catoのセキュリティリサーチチームは、高度なツールと戦略を用いて、最新の脅威を検出、分析し、それに対する強固な保護を構築しています。以下のダッシュボード表示は、Catoのリサーチチームが使用するツールの一部で、Qakbot攻撃の疑いがあるものを自動検出し、Cato IPSによってマルウェアとそのC2サーバー間の追加通信を遮断していることを示しています。
Qakbotのアウトバウンド通信の検知と遮断が表示されているCato Networks社内セキュリティチームのダッシュボード
どの企業にとっても、専門家の支援なしに絶え間なく進化するマルウェアや悪意のある攻撃と戦うことは期待できないことが、かつてないほど明確になっています。Catoのセキュリティリサーチチームは、最新の脅威からお客様の組織を保護するために、継続的にソリューションを監視し、更新することを約束します。Cato Networksのソリューションは、組織を全体的なセキュリティ態勢を強化し、進化し続けるマルウェアの脅威から保護し、自身を持って本当に重要なビジネスの優先順位を決定することを可能とします。
CatoがQakbotや類似の脅威や侵入からどのように保護し、組織のセキュリティリスクをどのように軽減できるかの詳細については、 侵入防御 、 セキュリティサービス 、および 脅威検知と対応のマネージドサービス に関する記事をご覧ください。
妥協の指標(IOCs)
シナリオ #1
352a220498b886fae5cd1fe1d034fe1cebca7c6d75c00015aca1541d19edbfdf - .zip
5c7e841005731a225bfb4fa118492afed843ba9b26b4f3d5e1f81b410fa17c6d - .zip
002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c - .one
d1361ebb34e9a0be33666f04f62aa11574c9c551479a831688bcfb3baaadc71c - .one
9e8187a1117845ee4806c390bfa15d6f4aaca6462c809842e86bc79341aec6a7 - .one
145e9558ad6396b5eed9b9630213a64cc809318025627a27b14f01cfcf644170 - .hta
baf1aef91fe1be5d34e1fc17ed54ea4f7516300c7b82ebf55e33b794c5dc697f - .hta
シナリオ #2
1b553c8b161fd589ead6deb81fdbd98a71f6137b6e260c1faa4e1280b8bd5c40 - .one
e1f606cc13e9d4bc4b6a2526eaa74314f5f4f67cea8c63263bc6864303537e5f - .one
06a3089354da2b407776ad956ff505770c94581811d4c00bc6735665136663a7 - .cmd
5d03803300c3221b1233cdc01cbd45cfcc53dc8a87fba37e705d7fac2c615f21 - .cmd
シナリオ #3
1b3b1a86a4344b79d495b80a18399bb0d9f877095029bb9ead2fcc7664e9e89c - .zip
523ea1b66f8d3732494257c17519197e4ed7cf71a2598a88b4f6d78911ad4a84 - .zip
fe7c6af8a14af582c3f81749652b9c1ea6c0c002bb181c9ffb154eae609e6458 - .wsf
6d544064dbf1c5bb9385f51b15e72d3221eded81ac63f87a968062277aeee548 - .wsf
シナリオ #4
3c8591624333b401712943bc811c481b0eaa5a4209b2ec99b36c981da7c25b89 - .html
8c36814c55fa69115f693543f6b84a33161825d68d98e824a40b70940c3d1366 - .html
2af19508eebe28b9253fd3fafefbbd9176f6065b2b9c6e6b140b3ea8c605ebe8 - .html
040953397363bad87357a024eab5ba416c94b1532b32e9b7839df83601a636f4 - .html
42bd614f7452b3b40ffcad859eae95079f1548070980cab4890440d08390bd29 - .zip
08a1f7177852dd863397e3b3cfc0d79e2f576293fbb9414f23f1660345f71ccc – .zip
0d2ad33586c6434bd30f09252f311b638bab903db008d237e9995bfda9309d3a - .zip
878f3ccb51f103e00a283a1b44bb83c715b8f47a7bab55532a00df5c685a0b1d - .zip
B087012cc7a352a538312351d3c22bb1098c5b64107c8dca18645320e58fd92f - .img
Qakbot ペイロード
d6e499b57fdf28047d778c1c76a5eb41a03a67e45dd6d8e85e45bac785f64d42
6decda40aeeccbcb423bcf2b34cf19840e127ebfeb9d79022a891b1f2e1518c3
e99726f967f112c939e4584350a707f1a3885c1218aafa0f234c4c30da8ba2af
5d299faf12920231edc38deb26531725c6b942830fbcf9d43a73e5921e81ae5c
acf5b8a5042df551a5fe973710b111d3ef167af759b28c6f06a8aad1c9717f3d
442420af4fc55164f5390ec68847bba4ae81d74534727975f47b7dd9d6dbdbe7
ff0730a8693c2dea990402e8f5ba3f9a9c61df76602bc6d076ddbc3034d473c0
bcfd65e3f0bf614bb5397bf8d4ae578650bba6af6530ca3b7bba2080f327fdb0
製造業のサプライチェーン、物流、生産ラインの強化を... 詳しくはこちら ›
製造業におけるSASE:セキュリティとコネクティビティの課題解決へ 製造業のサプライチェーン、物流、生産ラインの強化を支援するAIやIoT、ロボティック・プロセス・オートメーション(RPA)など、多くの革新的なテクノロジーによるインダストリー4.0は製造業に革命をもたらしています。業務自体はスマートファクトリーへと進化している一方、依然として製造業界は、インダストリー4.0の可能性の最大化へ悪影響を与える可能性のある課題に直面しています。
製造業のデジタル変革における課題
デジタルトランスフォーメーションにより、製造業界にもたらされた多くの課題には、次のようなものが挙げられます。
サイバーセキュリティの脆弱性 - 製造業は特にサイバー攻撃に対して脆弱です。従来の製造システムは、現代のサイバー攻撃を防御するために設計されていませんでした。従来のアーキテクチャでは、ソフトウェアのパッチや修正を最新の状態に保つことが困難であり、セキュリティ侵害のリスクが増大します。 さらに、トラフィックフローのすべてを適切に可視化・制御することができないため、環境に対する脅威に対して迅速な対応と修復を行うことは事実上不可能となっています。
柔軟性、拡張性、信頼性の高いアーキテクチャの欠如 - 製造業者は、ビジネスの成長に合わせて簡単かつコスト効率よく拡張できる、柔軟性、拡張性、信頼性の高いアーキテクチャを必要としています。これは、製造業が経験しているクラウドの進化に対応できないMPLSには提供できません。また、特に通信事業者がMPLSを提供・サポートするのが難しい地域では、新しい拠点立ち上げのためのコストと複雑さが、グローバル展開を阻む大きな障壁となっています。これに対する対処としてSD-WANを導入したとしても、業界が求めるグローバルなユースケースには適していません。
クラウドパフォーマンス - MPLSは次の2つの重要な理由により、サードパーティのSaaSアプリケーションへの直接接続が不可能です:ポイントツーポイントの技術であるMPLSに対し、SaaSのトラフィックはクラウドプロバイダー間を流れるため、クラウド利用には向いておりません。また、Microsoft 365、FactoryTalk、SAPなどのSaaSアプリは高性能なインターネットアクセスが必要ですが、これはMPLSでは提供できません。
複雑なツール管理 - 複数のMPLS接続、通信ベンダー、レガシーツールの維持と監視は非常に複雑で、ストレスが貯まるばかりかエラーも起こりやすくなります。例えば買収した企業の技術を統合しなければならない場合、さらに困難となります。
グローバルの断絶 - ほとんどの製造業者は、本社、生産、エンジニアリング、サプライヤー、セールスそれぞれの部門が世界中に散らばっており、グローバルな事業展開をしています。ユーザーは安全で高性能なローカル、リモート、グローバルアクセスをビジネスのために必要としますが、MPLSではそれらを実現するのは困難です。
[boxlink link="https://www.catonetworks.com/resources/firsthand-perspectives-from-5-manufacturing-it-leaders-about-their-sase-experience/"] Firsthand Perspectives from 5 Manufacturing IT Leaders about their SASE Experience | Download the eBook [/boxlink]
製造業の課題に対するソリューション:SASE
SASE(Secure Access Service Edge)は、ネットワークとセキュリティに対する革新的なアプローチです。こうした技術を単一のグローバルなクラウドネイティブサービスに集約し、セキュリティ強化、一貫性のあるポリシー実施、脅威への対応時間の短縮を実現します。製造業界は前述のような工場を悩ませるデジタル・トランスフォーメーションに伴う多くの課題克服が、SASEを利用することで実現できます。
デジタル・トランスフォーメーションをサポートするため、製造業者はSASEという新たなソリューションを必要としています。SASEは、企業のネットワークとセキュリティ技術を単一のクラウドネイティブソフトウェアスタックに統合し、すべての機能が一体となって動作するグローバルバックボーン上で提供されます。製造業者は、SASEを使うことでサイバーセキュリティ侵害のリスクを低減しながら、アプリケーションやシステムへの信頼性の高い低遅延のグローバルアクセスの提供が可能となります。それらの実現のため、SASEは次のような能力を備えています:
シングルネットワークアーキテクチャ
独自のグローバルバックボーンを持つSASEは、許可されたユーザー、拠点、クラウド、アプリケーションを、いつでも、どこからでも、確実かつ安定的に接続します。
高パフォーマンス
SASEクラウドは、ITチームがビジネス要件に応じたネットワークの拡張、最適化、強化を直ちに行うことを可能とします。これによりアプリケーションの信頼性と予測可能なパフォーマンス、すべてのユーザーの豊かなエクスペリエンスが確保されます。
クラウドデータアーキテクチャ
SASEは、WAN最適化とダイナミックルーティングポリシーに基づいてトラフィックを最適化し、目的地までの最良の経路でルーティングします。これにより、すべてのユーザーが低遅延でクラウドにアクセスできるようになります。
カスタマイズされたセキュリティ
SASEは、Zero Trust Network Access(ZTNA)、Firewall-as-a-Service(FWaaS)、Cloud-Access Security Broker (CASB)、DLP、secure web gateway (SWG)などの必要なすべてのセキュリティ機能を提供し、セキュリティ態勢を強化します。
全体的な保護
SASEに組み込まれたZTNAは、認証・許可されたユーザーとデバイスのみを、重要なエンタープライズ・ビジネス・アプリケーションにアクセスできるようにします。また、セキュリティ保護とカバー範囲をさらに拡大するため、MDR(Managed Detection and Response)の利用も可能です。
一貫性のあるモバイルユーザーとサプライヤーのためのアクセス
あらゆる正規ユーザーは、どこにいても一貫性のあるアクセス、パフォーマンス、セキュリティが保証されます。
製造業者の次なる課題とは?
製造業者はSASEを使うことで、ITやセキュリティを心配する必要がなくなり、グローバル展開や工場運営の強化など、ビジネスの重要な優先事項に時間とリソースを集中させることが可能となります。これにより、ネットワークとセキュリティのニーズが満たされている安心感を得ることができ、自分たちの仕事に特化することができます。
SASEと製造業についてもっと知りたい方は、次のポッドキャストのエピソードをお聞きください「製造業においてSASEを導入する方法:PlayPower社との対談」
リモートワークやクラウドコンピューティングの普及に... 詳しくはこちら ›
なぜ、いまクラウドセキュリティの必要性が問われているのか リモートワークやクラウドコンピューティングの普及に伴い、企業や個人データやアプリケーションをクラウド上で管理・利用することが一般的となりました。組織はクラウド環境でのデータの保存、処理、共有を活用することで生産性と柔軟性を向上させています。この新たな環境において、セキュリティの考え方やアプローチも変化を遂げています。
クラウドセキュリティとは
現代のデジタル環境における、クラウドコンピューティング環境のデータやリソース保護のためのセキュリティ対策を総称してクラウドセキュリティと呼んでいます。クラウドセキュリティの主な目的は、クラウド上のリソースや情報を機密性、完全性、可用性の三つの要素で保護することです。機密性は、機密データが不正アクセスから守られることを意味します。完全性は、データが改ざんや破損から守られ、信頼性が確保されることを指します。可用性は、サービスやデータが適切な時に必要な人々に利用可能であることを保証します。
クラウドセキュリティの適切な実施には、組織のセキュリティポリシーの策定や教育・訓練、セキュリティイベントの監視などが必要です。そして何よりも、クラウドセキュリティは持続的な取り組みであることを忘れてはいけません。テクノロジーの進化と新たな脅威の出現に対応するために、常に最新のセキュリティ手法を導入し、監視と更新を行う必要があります。また、単なる技術的な手段だけでなく、組織全体の意識や文化を含む継続的な取り組みも求められます。
なぜいまクラウドセキュリティが必要とされるのか
端的に言えば、クラウドの普及はセキュリティ脅威の増加と表裏一体であるからです。クラウド環境は攻撃の標的となりやすく、サイバー攻撃のリスクが高まっています。また、クラウドサービスの利用が広まるにつれて、データの共有や連携が増え、セキュリティの複雑さも増しています。このことから、クラウドセキュリティの強化が喫緊の課題となっているのです。
他のセキュリティとの違い
クラウドセキュリティは、従来のオンプレミス環境と比較していくつかの異なる要素を持っています。
従来のセキュリティでは、企業は自社のデータセンターやネットワークを管理してセキュリティを確保する責任がありました。一方クラウドセキュリティでは、データやアプリケーションがクラウドプロバイダによって管理されるため、セキュリティの責任範囲が変わり、顧客はクラウドプロバイダとの共同責任を持つことになります。
またクラウド環境下では、データやアプリケーションの規模が急速に成長することがあるため、スケーラビリティが求められます。セキュリティソリューションは、柔軟に拡張できる必要があり、大量のデータやユーザーを適切に管理することが求められます。加えて、クラウド環境は多くのユーザーと共有される共有リソースであり、データやアプリケーションが複数のユーザーと共有されることから、テナント(※1)間のセキュリティの隔離やマルチテナント(※2)の管理が必要となります。
クラウドセキュリティはどのように機能するのか?
ユーザーがさまざまなデバイスや場所からアクセスするクラウド環境では、ネットワークの特性やトラフィックの増加に対応するために、クラウドセキュリティは以下の点で従来のセキュリティと異なるアプローチを取ります。
サービスモデルの違い
クラウドセキュリティは、クラウドコンピューティングのさまざまなサービスモデルに適応する必要があります。IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)など、異なるサービスモデルに対して、適切なセキュリティメカニズムを提供する必要があります。それぞれのサービスモデルに合わせて、セキュリティの要件や責任範囲が異なるため、柔軟性と多様性が求められます。
多要素認証とアクセス制御
クラウドセキュリティでは、従来のユーザー名とパスワードだけでなく、多要素認証が重要な役割を果たします。ユーザーは、追加の認証要素(例:SMSコード、生体認証)を提供することで、セキュリティを強化します。また、アクセス制御も重要な要素であり、ユーザーの役割や特権に基づいて、適切なデータやアプリケーションへのアクセスを制限します。
監視と脅威検知
クラウドセキュリティでは、リアルタイムでの監視と脅威検知が重要です。大量のデータやユーザートラフィックを監視し、異常なアクティビティやセキュリティ侵害の兆候を検出する必要があります。さらに、機械学習や人工知能を活用して、新たな脅威に対応し、迅速な対応を実現します。
クラウドセキュリティのメリットとデメリット
クラウドセキュリティは、ネットワークセキュリティに求められる現代のニーズに応える以下のようなメリットを持ちます。
強化されたデータ保護
クラウドセキュリティの導入により、データの保護が強化されます。データの暗号化やアクセス制御などのセキュリティ対策により、機密情報や個人情報の漏洩を防ぎます。また、クラウドプロバイダはバックアップと復元の機能を提供するため、データの喪失や破損からの回復も容易になります。
高い可用性と信頼性
クラウドプロバイダは物理的なセキュリティや冗長性の確保、定期的なバックアップなどの対策を行っています。これにより、クラウド環境は高い可用性と信頼性を提供します。障害時の影響範囲が限定されるため、サービスの中断やデータの喪失を最小限に抑えることができます。
モニタリングとインシデント対応
クラウドセキュリティでは、リアルタイムでのモニタリングとインシデント対応が重要な役割を果たします。セキュリティイベントや異常なアクティビティの検知により、早期警告や迅速な対応が可能となります。また、クラウドプロバイダが適切な対策を講じることで、セキュリティインシデントに対する迅速な対応が行われます。
一方で、クラウドセキュリティには次のようなデメリットも存在します。
依存度の増加
クラウドセキュリティの導入により、組織はクラウドプロバイダに依存することになります。クラウドプロバイダの信頼性やセキュリティ対策の十分性に依存するため、適切なプロバイダの選択と契約条件の慎重な検討が必要です。また、プロバイダとの連携やコミュニケーションの確立も重要です。
データ漏洩のリスク
クラウド環境では、データが外部のインフラストラクチャやネットワークを通過するため、データ漏洩のリスクが存在します。セキュリティ対策の不備や未探知の脆弱性がある場合、攻撃者によるデータへの不正アクセスが可能となります。組織は、適切な暗号化やアクセス制御の実施、データの監視と検知などの対策を講じる必要があります。
サービス停止の影響
クラウドプロバイダのサービス停止や障害が発生した場合、利用者の業務に深刻な影響を及ぼす可能性があります。組織は、サービス提供者のSLA(サービスレベルアグリーメント)やバックアップポリシーを確認し、災害復旧計画や代替プランの策定などを行う必要があります。
プライバシーとコンプライアンスの課題
クラウドセキュリティは、個人情報やコンプライアンスに関する課題も引き起こす場合があります。クラウドプロバイダがデータの所在地やデータ移転の制限などを明確にしていない場合、特定の法規制や企業のポリシーに適合することが難しくなる可能性があります。データの場所や保管期間、サードパーティへのデータの提供などについて、契約や法的な規制を遵守する必要があります。
総論
このように、クラウドセキュリティの導入は利便性や柔軟性を提供する一方で、いくつかのデメリットも伴います。組織はこれらのデメリットに対処するために、適切なリスク評価と対策計画を策定し、クラウドセキュリティのベストプラクティスを実施することが重要です。多層的なセキュリティアプローチや統合されたセキュリティソリューションを採用することで、クラウド環境におけるデータの保護や脅威からの防御を強化することができます。
適切なクラウドセキュリティ対策を講じることで、企業は信頼性と安全性を確保し、競争力を維持していくことができるでしょう。
※1:ユーザーグループの単位
※2:SaaSやASPサービスなどのように、同一のシステムやサービスを、無関係な複数のユーザー(企業や個人)で共有するモデル
組織間で受け継がれてきた信頼関係を悪用するサプライ... 詳しくはこちら ›
3CX社のサプライチェーン攻撃 – 古典的な脆弱性の利用 組織間で受け継がれてきた信頼関係を悪用するサプライチェーンへの攻撃は、あらゆる組織にとって最大の懸念事項の一つです。SolarWinds社 や Kaseya社 も最近、最近、同様の攻撃を受けました。3月29日、VoIP IPXSを開発する3CX社を標的とした新たなサプライチェーン攻撃が確認され、北朝鮮の国家的な行為である可能性が高いとされています。
3CX社への攻撃 は、10年前のマイクロソフトの脆弱性(CVE-2013-3900)を悪用することで、実行ファイルがマイクロソフトによって正規に署名されているように見せかけながら、実際にはマルウェアを配布するために使い、破壊的な効果を生み出しました。この脆弱性が悪用されたのは今回が初めてではなく、今年初めにはマルウェアZloaderの感染キャンペーンにおいて同じ手口が使われています。3CX社のケースでは、2つの悪意ある「署名付き」DLLを使用してC&C(コマンド&コントロール)サーバに接続し、最終的にGitHubリポジトリに接続し、ユーザーがブラウザに入力する機密データを狙う情報窃取型マルウェアをダウンロードしました。
[boxlink link="https://www.catonetworks.com/resources/cato-networks-sase-threat-research-report/"] Cato Networks SASE Threat Research Report H2/2022 | Download the Report [/boxlink]
Cato Networksのセキュリティグループは、この脅威に対して即座に対応しました。2ステージのペイロードサーバと通信しているシステムを所有する顧客に連絡を取り、どの機器が侵害されたかをお知らせしました。このキャンペーンに関連するすべてのドメインとIPをブロックし、この脅威にさらされることを制限しました。
このような脅威に対してCatoは、複数の監視ポイントを持つアプローチにより、脅威が攻撃経路全体で検出、緩和、防止されることを保証します。これは、各PoPがセキュリティスタック全体を共有し、各ネットワークフローのデータをコンテキスト化するプライベートクラウドバックボーンを活用することによってのみ実現が可能となります。Catoの3CX社の脅威に対する低減策は以下の通りです。
悪意のあるドメインをタグ付けし、ブロック。悪意のあるドメインをブロックするためのファイアウォールルールは、デフォルトで有効になっています。
IPS(不正侵入防止システム) – ペイロードサーバをドメインブロックリストに追加。これはファイアウォールルールを補完するものであり、ファイアウォール ルールが有効になっているかどうかには依存しません。
マルウェア対策 - 3CX社に関連するトロイの木馬をすべてブロック。
MDR(Managed Detection and Response):MDRチームが、顧客のシステムに不審な動きがないかを監視し続けます。
Cato Networksのセキュリティグループは、この脅威の動向を引き続き監視しています。 攻撃に関する詳細なテクニカル分析については、Cybleのブログをご覧ください。
ERP(統合基幹業務システム、※1)の最大手である... 詳しくはこちら ›
「SAP」の脆弱性に起因するリスクを回避するには ERP(統合基幹業務システム、※1)の最大手であるドイツのSAP SE社が開発したソフトウェア「SAP」について知っている、または実際に業務に使用しているという方も多いでしょう。日本でも多くの企業がビジネスプロセス管理や財務会計、人事管理などの業務に利用しており、日本国内における2020年度のERP市場において、SAPのシェアは約22.5%で、Oracleに次ぐ2位でした(※2)。
しかし、SAPには意図せず外部よりアクセス可能となっているセキュリティ上の脆弱性が存在しており、これらが悪用されると企業にとって深刻な問題を引き起こす可能性があることが報告されています。
最近の代表的なSAPの脆弱性
企業に大きな影響を与えた、最近の代表的なSAPの脆弱性の例には以下のようなものがあります。
10KBLAZE(2019年):設定不備のまま、意図せずインターネット上に公開されている多数のSAPシステムを狙うエクスプロイト(※3)。
RECON(2020年):脆弱性を悪用して特権アクセスを獲得することで、企業が使用するすべてのSAP製品が制御可能となる。CVSSv3ハザードレーティングスケールで、脆弱性が10/10点と評価された非常にまれなケース。
SAP Commerce Cloudの脆弱性(2021年):企業がウェブサイトや電子商取引サイトを構築するために使用するソリューションである「SAP Commerce Cloud」のセッション期限に関する脆弱性を利用し、企業の顧客データが侵害を受ける可能性があることが判明。
SAP NetWeaverの脆弱性(2021年):企業がビジネスプロセスを管理するために使用するソリューションである「SAP NetWeaver」のクロスサイトスクリプティングに関する脆弱性により、攻撃者が特権アクセスを獲得し、企業データにアクセスすることができる可能性があることが判明。
これらの脆弱性により、企業は様々な問題に直面することになります。例えば、ひとたび個人情報や財務情報が漏えいしてしまえば、法的な問題に巻き込まれる可能性があります。また、システムがダウンすることで業務の遂行が不可能となり、顧客へのサービス提供に支障が出ることも考えられます。
脆弱性による問題に巻き込まれないために
こうした問題を回避するためにはまず、SAPのシステムを最新のバージョンにアップデートすることが重要です。また、必要に応じて専門家による脆弱性診断を行い、早期に問題を発見し、解決することが求められます。さらに、従業員に対しては、強力なパスワードの設定や、不審なメールの添付ファイルやリンクを開かないようなセキュリティ意識の向上を促す必要があります。
SAPの脆弱性は企業にとって深刻な問題となる可能性がありますが、適切な対策を講じることで安全なシステム運用の実現が可能です。企業は、事業継続性を確保し、顧客の信頼を守るために不可欠なセキュリティ対策への投資を惜しまず、SAPのシステムを常に最新の状態に保つことが大切です。また、従業員には、セキュリティ意識を高める教育やトレーニングを提供し、脆弱性を発見した場合には、迅速かつ適切な対応を行うことができるようにする必要があります。
安全で信頼性の高いシステム構築が重要
SAPの脆弱性に対する対策は、単一の技術や手法に依存するものではありません。企業は、セキュリティ対策に対する意識を高め、脆弱性を回避するための適切な対策を講じることで、安全で信頼性の高いシステムを構築し、顧客の信頼を維持していくことが必要です。
クラウドやリモートワークへの移行に伴い、企業はネットワーク戦略を再考し、よりコスト効率が高く効率的なソリューションを導入する必要があります。Catoの提供するシングルベンダーSASEプラットフォームは、クラウドネイティブかつSD-WANとセキュリティサービスエッジのSSE360をシンプルに統合。あらゆるロケーションのユーザーに、アプリケーションアクセスを最適化しつつセキュリティを確保します。
SASEについてより詳しく知りたい方は、当社までお問い合わせください。
※1:企業内の業務プロセスを統合的に管理し、ビジネスプロセスの最適化を図るための統合業務ソフトウェアのこと。
※2:出典 - 矢野経済研究所「ERP市場におけるトッププレイヤー分析 2020年版」
※3:ソフトウェアの脆弱性やセキュリティ上の欠陥を利用した不正プログラムのこと。
ランサムウェアは、あらゆる規模の組織にとっての主た... 詳しくはこちら ›
企業向けランサムウェア対策のためのSASEアプローチ ランサムウェアは、あらゆる規模の組織にとっての主たるサイバー脅威であり続けています。その理由の一つとして、これらの攻撃がサイバー犯罪者にとって非常に高い収益率を実現する一方で、以前よりも簡単かつ安価になったことが挙げられます。ランサムウェア業界は、2017年のWannaCryの流行以来、次のような幾つかの段階を経て進化してきました。
大規模攻撃キャンペーンの実施:WannaCryのようなランサムウェア攻撃は、できる限り多くのシステムを感染させるよう設計されています。感染させることに成功した場合、それぞれの被感染システムに対して比較的小さな身代金を要求し、質より量で利益を上げようとします。
標的型攻撃:ランサムウェアの攻撃キャンペーンは、時間が経過するにつれ、特定の組織を標的とする極めて標的性の高い攻撃へと進化しています。サイバー犯罪者は、綿密な調査を行うことで、感染させたシステムから奪う利益を最大化する手段を突き止めるためです。
ランサムウェア・アズ・ア・サービス(RaaS):
ランサムウェアをサービスとして提供する「RaaSギャング」は、マルウェアのコピーをアフィリエイトに配布し、感染に成功した場合はその利益の一部を手に入れます。このモデルにより、攻撃力の高いランサムウェアに感染する企業が増加しました。
二重脅迫:二重脅迫型ランサムウェアは、被感染システム上の機密または重要データを盗み出し、暗号化します。そうしてデータ漏洩の脅威を利用し、身代金の支払い確率を高めます。
三重脅迫:三重脅迫とは、ランサムウェア攻撃による影響を、感染した組織からその顧客へと拡大させるものです。ランサムウェアを操る犯罪者は、データが攻撃による影響を受けた複数の組織に対して支払いを要求します。
ランサムウェアは、非常に効果的で収益性の高いサイバー脅威であることが判明しています。サイバー犯罪者は、攻撃の収益性と身代金の支払い確率の向上のため、今後も技術革新と成功体験を続けていくでしょう。
ランサムウェア攻撃に共通する攻撃手法
サイバー犯罪者は、さまざまなランサムウェアの展開・実行方法を持っていますが、代表的なもののごく一部を以下に紹介します。
脆弱性の悪用:非常に一般的な方法でとして、パッチが適用されていない脆弱性を狙ったランサムウェアの配布があります。サイバー犯罪者はこういった脆弱性を悪用することで、脆弱なシステム上にマルウェアを仕込み、実行することを可能とします。
フィッシング攻撃:ソーシャルエンジニアリングを用いて、ユーザーを騙して端末にマルウェアをダウンロードさせ、実行させるものをフィッシング攻撃といいます。ランサムウェアは、メッセージに添付されていたり、悪意のあるリンク先であるフィッシングサイトに配置されていたりすることがあります。
認証情報の漏洩:推測や、フィッシングによる漏洩などの手段により、ユーザー認証情報が侵害されるおそれがあります。サイバー犯罪者は、これらの認証情報をリモートデスクトッププロトコル(RDP)や仮想プライベートネットワーク(VPN)を使って、システムにアクセスしたりマルウェアを展開したりすることができます。
悪意のあるダウンロード:フィッシングサイトでは、ランサムウェアのファイルをダウンロードする場合があります。そうしたファイルは、正規のソフトウェアに見せかけたり、ユーザーのブラウザの脆弱性を悪用してダウンロードさせ、実行することができます。
ランサムウェア攻撃の段階
ランサムウェアは、他の種類のマルウェアと同じ多くの攻撃手順を踏んでいます。攻撃の主な段階は次の通りです。
感染初期:ランサムウェアの攻撃は、標的となるシステムにマルウェアがアクセスするところから始まります。これは、フィッシングや漏洩した認証情報の使用など、さまざまな手段で行われる可能性を持っています。
コマンド&コントロール:ランサムウェアが実行されると、それを操作する者とコマンド&コントロール(C2)間にチャネルを確立します。これにより、ランサムウェアは操作者にデータを送信したり、操作者からの指示を受けたりすることが可能となります。
横方向への動き:ランサムウェアは、暗号化される予定のある貴重なデータを持つデバイスをすぐさま襲うことはほとんどありません。マルウェアは企業ネットワークに足場を築いた後に探索をし、貴重な機密データを暗号化するために必要なアクセス権や特権を獲得するために横方向に移動します。
データ盗用と暗号化:マルウェアは必要なアクセス権を獲得すると、データの暗号化とバックアップの削除を開始します。また、C2チャネルを通じて、データのコピーをマルウェア操作者に流出させたりもします。
身代金ノート:マルウェアはデータの暗号化が完了すると、身代金ノートを公開し、システム上に存在することを示します。その後、身代金が支払われ、復号化キーが提供された場合、ランサムウェアは暗号化されたすべてのファイルを復号化します。
ランサムウェア対策
一度データの盗用や暗号化をされてしまうと、組織ができるランサムウェア対策は限られたものになってしまいます。しかし、ランサムウェアへの感染率を下げるため、企業は以下のような対策をとることができます。
脆弱性管理:定期的に脆弱性をスキャンし、パッチを適用することにより、ランサムウェア配信のため悪用されるセキュリティホールを解消することができます。さらに、Web Application and API Protection (WebアプリケーションとAPIの保護、WAAP)ソリューションは、パッチ未適用の脆弱性の悪用を試みる動きを遮断することができます。
メールセキュリティ:ランサムウェアやその他のマルウェアを配信するもう一つの一般的な手段として、フィッシングが挙げられます。メールセキュリティソリューションは、悪意のある添付ファイルやフィッシングページへのリンクを含むメッセージを識別して遮断します。
多要素認証(MFA):認証情報が漏洩した場合、リモートアクセスソリューションを通じて企業システムへのアクセスやマルウェアの配信に利用される可能性があります。強度の高いMFAを導入することで、漏洩した認証情報の悪用が困難になります。
ウェブセキュリティ:悪意のあるサイトから意図的に、もしくは意図せずにランサムウェアがダウンロードされることがあります。セキュアWebゲートウェイ(SWG)は、危険なサイトの閲覧や悪意のあるダウンロードを遮断することができます。
エンドポイントセキュリティ:ランサムウェアは、被感染エンドポイント上で実行され、ファイルを暗号化するマルウェアです。エンドポイントセキュリティソリューションは、ランサムウェアの感染の特定、および修復を可能にします。
Catoによる企業向けランサムウェア対策アプローチ
機械学習アルゴリズムと、Cato SASEクラウドの詳細なネットワークインサイトを使うことで、エンドポイントエージェントを配置せずともネットワーク上におけるランサムウェアの拡散を検出し、防止することができます。被感染マシンを特定し、即座に隔離して修復を行います。
Catoは、豊富な多層マルウェア軽減戦略により、MITRE ATT&CKフレームワーク全体において攻撃を妨害します。.Catoのマルウェア対策エンジンは、全般的にマルウェアの配布を防止します。Cato IPSは、サイバーキルチェーン全体で使用される異常な動作を検出します。また、CatoはIPSと次世代型アンチマルウェアを使用して、一般的なランサムウェアグループが使用するMITRE ATT&CKテクニックを検出・防止し、発生段階の前に攻撃を発見しています。また、Catoのセキュリティ研究者はこの戦略の一環として、ランサムウェアグループが使用するテクニックを追跡してCatoの防御を更新し、企業を既知の脆弱性の悪用から記録的な速さで保護しています。
当社は、ランサムウェアの検出と遮断に特化した、発見的アルゴリズムを使用しています。機械学習による発見的アルゴリズムは、SMBのライブトラフィックフローを、次のようなネットワーク属性の組み合わせにより検査します。
既知のマルウェアファイルの配信を遮断する。
C2トラフィック、および横方向の移動試行を検出する。
リモートドライブやフォルダのアクセス試行を識別する。
ドライブの暗号化を秒単位で行うなど、間隔時間をモニタリングする。
Cato Networksは、ランサムウェア攻撃の検知と低減を、エンドポイントにエージェントを展開せずに実現します。Catoのネットワークベースのランサムウェア対策について、詳しく知りたい方はこちらから。.
企業におけるデジタル攻撃対象は、クラウドの普及に伴... 詳しくはこちら ›
ネットワークセキュリティの未来: 2023年以降のサイバーセキュリティに関する予測 企業におけるデジタル攻撃対象は、クラウドの普及に伴い拡大しています。サイバー犯罪者は、常に進化したツールとテクニックを駆使して新たな脅威を生み出し、組織を窮地に陥れようとします。
毎年、サイバー攻撃と防御の両面で新たなトレンドが生まれる中、2023年以降のネットワークセキュリティのトップトレンドを予測しました。トップトレンド一覧は以下の通りです。
#1. セキュリティの出発点となるゼロトラスト
ゼロトラストは、データ漏洩などのセキュリティ事故の主な原因である「暗黙の信頼と過剰な権限」の排除を目的としています。「暗黙の信頼と過剰な権限」は、サイバー犯罪者による組織ネットワークやシステムへのアクセスと、アクセス範囲の拡大、およびリソース搾取のために悪用され、多くのサイバー攻撃における原因となっています。性善説に基づく信頼を排除し、生産性を維持するために必要な最小限の権限に基づきアクセス制限することにより、攻撃者による悪用を防ぎます。
ゼロトラストは、現状の課題に対応するセキュリティ手法として近年さらに注目の的となっています。効果的なゼロトラスト戦略は、きめ細かいポリシーを定義し、適切なアクセス許可を付与し、ネットワーク上のユーザーをよりきめ細かく制御することが可能です。
効果的なゼロトラスト戦略は、多くのサイバー脅威から組織を保護しますが、総合的な解決策にはほど遠いものです。ゼロトラストを出発点とし、徐々に制御範囲を拡大することで、完全に成熟したセキュリティプログラムを構築することが理想的なアプローチといえるでしょう。ゼロ・トラストはセキュリティ問題解決への出発点であり、プロセスを円滑かつ迅速に進める正しい戦略を持つことで、その先にあるセキュリティの現実的な課題への対応が可能となります。
#2. セキュリティの簡略化が加速
ITインフラやサイバーセキュリティが脅威にさらされている状況は組織ごとに異なりますが、実際ほとんどの企業が同様の課題に直面します。サイバー犯罪者は、ネットワークやアプリケーションの脆弱性を狙い、利用することに長けています。SOCアナリストは、大量の疑わしいアクティビティによる、対応しきれないほどのアラートに悩まされています。また、複雑なマルチクラウド環境の拡大により、新たなセキュリティ課題が発生し、攻撃の手法も増加しています。
スタンドアロン製品の寄せ集めでこれらの脅威に対処することは、ネットワーク・セキュリティに対する非生産的かつ拡張性に欠けた、非効率的なアプローチといえます。そのため今後は、セキュリティチームが複雑なインフラをより効果的に保護・セキュア化することが出来るようになるために、単一アーキテクチャに集約されたセキュリティ機能を提供するセキュリティプラットフォームを採用する企業は増えて行くでしょう。
#3. SASEの迅速な導入
デジタルトランスフォーメーションの波が押し寄せ、企業ネットワークは、過去の複雑で柔軟性に欠けるアーキテクチャから早急に脱却する必要があります。クラウドの導入、WFA(Work from anywhere)、BYODポリシー、モバイルデバイスなどの影響により、企業のネットワーク環境はより複雑になり、管理や最適化、セキュリティ、および拡張が難しくなっています。さらに、従来の城と堀型のキュリティ・アーキテクチャは時代遅れとなり、企業は信頼性の高いネットワーク接続と完全なセキュリティの二択を迫られています。
その結果、企業による最新のネットワーク特化型ソリューションの導入が加速しました。この最新のネットワークには、信頼性と耐障害性に優れ、ビジネスの成長に合わせて拡張できる、統合されたクラウド提供型のアーキテクチャが求められます。これを実現できるのは、セキュアアクセスサービスエッジ(SASE)だけです。
その結果、企業はこのような最新のネットワークに特化して設計されたソリューションをより迅速に採用することになります。このような最新のネットワークには、信頼性と耐障害性に優れ、ビジネスの成長に合わせて拡張できる、統合されたクラウド提供型のアーキテクチャが必要です。これを実現できるのは、セキュアアクセスサービスエッジ(SASE)だけです。
#4. 標的型ランサムウェア攻撃の拡大
ランサムウェアは、サイバー犯罪者にとってのドル箱であることがわかっています。ランサムウェアによる犯罪を成功させるには、攻撃対象の徹底的なリサーチ、つまり最適な攻撃ベクトル、攻撃対象とする最も価値のあるリソース、そして被害者が支払い可能な最大金額を特定することが重要です。不況に陥る国もあり、多くの組織が利益維持のためのコスト最適化を余儀なくされていることから、サイバー犯罪者はより弱く、脆弱な標的を特定し、追い込んでいくでしょう。
近年では、ヘルスケアや金融サービス業、そして最近では製造業がランサムウェア攻撃の主な標的となっています。2023年以降も、攻撃対象は指数関数的に拡大し、今まで以上の攻撃が出現することが予想されます。
#5. 高まるAPIセキュリティの重要性
現代のアプリケーションは、API を中心に設計されているため、アプリケーションのセキュリティ対策は、APIのセキュリティ対策に大きく依存しています。APIは、他のプログラムが自動的にデータを要求したり、送信したり、他のアクションを実行できるように設計されています。
APIの設計は、クレデンシャル・スタッフィング攻撃、脆弱性スキャン、DDoS攻撃など、ある種の自動化攻撃の理想的なターゲットとなります。これらのAPIがサイバー犯罪者の標的となることが増えるにつれ、ビジネスを成功させるためにAPI固有の攻撃ベクトルに対する防御策を導入することが重要となっています。
#6. IoTに起因するサイバー攻撃の増加
IoTデバイスは、驚異的な成長を遂げています。5Gネットワークの拡張により、高速かつ高性能なネットワーク接続がもたらされ、これらのデバイスをあらゆる場所に配備することが可能となりました。これらのデバイスが成熟するにつれて、機密性の高いビジネスデータの収集、処理、保存に使用されることが多くなるでしょう。
これらのデバイスは、多くの組織にとってますます重要なものとなる一方、攻撃や侵害のリスクを増加させます。IoTデバイスは常時利用可能であるため、継続的な攻撃の理想的なターゲットとなることが大きな脅威となります。これらのデバイスには、脆弱なパスワードやパッチの未適用による脆弱性など、しばしばセキュリティ上の問題が見られます。機密性の高い貴重なデータを扱うIoT機器が企業ネットワークに導入されるようになった現在、これらの機器に対するサイバー攻撃は増加の一途を辿っています。
#7. 保険適用外となるサイバー攻撃の増加
サイバーセキュリティ保険は、組織によるサイバーセキュリティへのリスク管理において重要な対応策の一つです。サイバーセキュリティ保険をデフォルトのサイバーセキュリティ戦略とする企業も一部見受けられます。これらの企業は、ランサムウェア攻撃を受けた場合、身代金や復旧・通知費用を含むすべての費用を保険会社が負担してくれることを期待しています。
しかし、高額なランサムウェア攻撃の急増により、一部の保険プロバイダーは補償スキームにおける選択肢の設定を進めています。これには、保険契約の締結と維持の条件として、顧客に求められるサイバーセキュリティの改善とセキュリティ基準への準拠の証明要件の強化が含まれます。最終的には、補償の範囲は限定され、攻撃被害がより普及し高額になり続ければ(将来的にはおそらくそうなると思われる)、補償自体が提供されなくなるかもしれません。
#8. サイバーレジリエンスが経営者の優先事項となる
サイバー犯罪者は、ビジネスの中断に焦点を当てた攻撃への移行を強めています。ランサムウェア攻撃を受けると、企業の重要なリソースへのアクセスが拒否され、正規ユーザーが企業システムにアクセスできなくなります。こうして、サイバー犯罪者により企業の運営能力や収益性が脅かされ、企業は危険にさらされるのです。
ビジネスに対するサイバー攻撃の脅威が高まり、サイバーレジリエンスは経営上層部にとって優先事項となっています。サイバー攻撃がビジネスを崩壊させる可能性があるのであれば、こうしたリスクを管理または軽減できる予防的なソリューションに投資することは、戦略的にも財務的にも理にかなっているのです。
これらの予測は企業にとって何を意味するのか
サイバーセキュリティの進化は、2023年も企業のセキュリティプラットフォームの進化を促進することになります。レガシーセキュリティアーキテクチャは、最新のよりダイナミックなITアーキテクチャと急速に進化するサイバー脅威のために設計されたソリューションに置き換える必要があります。
Cato SASE CloudとSSE 360ソリューションは、最新のサイバー脅威に対する、企業の全体的な保護を提供するセキュリティアーキテクチャの実装を支援します。貴社のネットワークパフォーマンスと、セキュリティの向上にCatoがどのように貢献できるかについてお確かめいただくためには、デモをお申し込みください。
重要なアプリケーションがMicrosoft Azu... 詳しくはこちら ›
Azure SD-WAN:Cato Networksによるクラウドデータセンターの統合 重要なアプリケーションがMicrosoft Azureへと移行する今、企業はコスト増加と複雑さを抑えながら、必要なクラウド提供が可能なWANの構築を行うという課題に直面しています。これまでに、Azure SD-WANの構築を実現する優れたアプローチは存在しませんでした。CatoのAzure SD-WANへのアプローチは、パフォーマンスを向上し、セキュリティを簡素化し、さらに適正な価格で提供されます。どう実現されるのかを紹介します。
Azure SD-WANが抱えるMPLSとSD-WANの問題点
組織がAzureに依存し始めるにつれ、次第に次の2つの問題が明らかになってきます。1つ目の問題は、Azureインスタンスのセキュリティの確保をどう実現するかです。Azureで仮想ファイアウォールを実行すると、クラウドのコンピュートリソースとサードパーティのライセンスを追加購入する必要があるため、複雑化し、多大な費用がかかります。さらに、仮想ファイアウォールの容量には限りがあり、トラフィックが増加するとアップグレードが必要になります。ファイアウォールがネットワークを圧迫するため、クラウドのパフォーマンスが突然低下する可能性もあります。また別のクラウドインスタンスを追加するには別のツールが必要となり、運用が複雑になってしまいます。
引き続き集中セキュリティゲートウェイに頼ることで、各拠点のゲートウェイ検査からトラフィックを返送し、インターネットを越えてAzureにトラフィックを送信することができます。Azure ExpressRoute(閉域網)などのプレミアム接続サービスを利用することで、ゲートウェイとAzure間の接続を改善することもできますが、ここで「接続性」にどう対処するのかという2つ目の問題が出てきます。
Azureへの入口から少し離れた場所にある拠点は、Azureに到達する前にトラフィックを集中ゲートウェイに戻して検査する必要があります。このアプローチは、MPLSネットワークから離れた場所にいるモバイル・ユーザーには役に立ちません。
また、クラウド戦略が進化し、Amazon AWSやGoogle Cloudなど、他のクラウドデータセンターサービスを追加したらどうなるでしょうか。今度は、全く新しいセキュリティと接続性のソリューションが必要となり、さらにコストと複雑さが増すのです。
また、エッジSD-WANにはセキュリティが組み込まれていないため、これも同様にこの問題には対処できません。プライベートなグローバルネットワークもないため、予測可能な接続性を確保するためにMPLSに依存することになります。エッジSD-WANソリューションでは、Azureクラウドに接続するために追加のエッジSD-WANアプライアンスを導入するコストと複雑さも追加されます。そしてまた、エッジSD-WANの対象外であるモバイルユーザーには何の役にも立たないのです。
CatoとAzureをつなぐAzure SD-WANのしくみ
Catoは、Azure SD-WANの接続性とセキュリティの課題をすべて解決します。Catoは、世界中に75以上のPoP(Point of Presence)を持つグローバルプライベートバックボーンを有しており、適正な価格でプレミアム接続を提供しています。CatoのPoPの多くは、Azureへの入り口と同じ物理データセンター内に設置されています。AzureからCatoへの接続は、高速なLAN接続を横断するだけで、Catoのお客様はExpressRouteと同等のパフォーマンスを追加料金なしで手に入れることができます。
Catoの顧客が、このCatoのユニークなアプローチを利用のためにすべきことは2つです。まず、エージェントレス構成を利用してCatoとAzureを接続するために、2つのサービス間でIPsecトンネルを確立し、Azureトラフィックの出口ポイントとしてPoPを確立します。エージェントや仮想アプライアンスの追加導入の必要はありません。Catoは、Cato PoPからのAzureトラフィックを最適化し、Cato Cloudを経由して目的のPoPまで最短かつ最速の経路でルーティングします。
次に、サイトとモバイルユーザーは、インターネット接続を介して最寄りのCato PoPに暗号化されたトンネルを確立することによって、AzureトラフィックをCatoに送信します。サイトは、CatoのSD-WANアプライアンス「Cato Socket」を実行するか、既存のサードパーティ製セキュリティデバイスからIPsecトンネルを確立します。モバイルユーザーは、デバイス上でCatoモバイルクライアントを実行します。
また、すべてのCato SD-WAN機能をAzureで活用したい場合は、IPsecトンネルの代わりに簡単にCatoの仮想ソケットを導入可能で、自動PoP選択、高可用性、自動フェイルオーバーなどの機能を備えます。Catoの仮想ソケットは、数分で簡単に導入できるのが魅力です。Catoの仮想ソケットを導入するには、AzureマーケットプレイスでCato Networksを検索し、「Get It Now」をクリックして概略の構成ガイドラインに従ってください。
Azure SD-WANによるAzureリソースの保護方法
接続性に加えて、CatoのAzure SD-WANソリューションは、ネットワークベースの脅威からクラウドリソースを保護します。すべてのCatoのPoPは、Catoのあらゆるセキュリティサービスを提供し、バックホールの必要性を排除します。
Cato Security as a Serviceは、エンタープライズグレードの高速ネットワークセキュリティ機能を提供するフルマネージドパッケージです。現在は、アプリケーション対応の次世代ファイアウォール・アズ・ア・サービス(FWaaS)、セキュアWebゲートウェイ(SWG)、標準および次世代型アンチマルウェア(NGAM)、マネージドIPS(IPS)、クラウド・アクセス・セキュリティ・ブローカー(CASB)などを有します。Catoは、侵害されたエンドポイントを検出する総合的な検知と対応のマネージドサービス(MDR)サービスにより、さらにお客様のネットワークの安全性を高めます。
Azureインスタンスやサイト、モバイルユーザー、その他のクラウドリソースを含むCatoに接続されたすべてのリソースは、共通のセキュリティポリシーセットで保護されるため、Azureやその他のクラウド環境に固有のセキュリティツール導入時の混乱を回避できます。
Azure SD-WANのメリット
Azure SD-WANは、最小限の複雑さとコストで接続性とセキュリティを実現することができます。
Microsoft Azureの優れたパフォーマンス
Microsoft Azureアプリケーションのパフォーマンスは、グローバルなCatoのPoPとプライベートバックボーン、そしてMicrosoft Azureコロケーションの組み合わせにより、一般的な企業のインターネットベースの接続に比べて最大20倍の速度を実現します。遅延が最小限に抑えられるだけでなく、Catoに組み込まれたネットワークの最適化により、データ転送のスループットはさらに改善されます。これらすべてが、支社やモバイルユーザーのために提供される結果、クラウドプロバイダーによる特別なトランスポートサービスを利用せずとも優れたユーザーエクスペリエンスの実現が可能となります。
セキュリティと導入の簡素化
Catoを利用することで、低遅延のクラウド接続実現のために不可欠なインターネットへの直接アクセスのための、多数の拠点向けセキュリティソリューションの規模や調達、管理を忘れることができます。クラウドリソースも、企業バックボーン上の他のリソースやユーザーと同じセキュリティポリシーセットで保護されます。Catoのエージェントレス構成は、顧客がAzureクラウドにSD-WANアプライアンスを追加インストールする必要はありません。マルチクラウドに対応する企業にとって、この点は特に大きなメリットとなります。通常は、プライベートデータセンターサービスごとに個別の接続ソリューションが必要となります(Azureの追加機能をご利用になりたい場合は、Catoの仮想ソケットを使って数分で統合することができます)。
Networking and security agility
シンプルなCatoのSD-WANや、Azureとの統合、ビルトインされたセキュリティスタックにより、拠点やモバイルユーザーは最大数時間でMicrosoft Azureに接続することができます。これに対し、アプライアンスベースのSD-WANは数週間から数ヶ月の時間を要します。
適正な価格と迅速なROI向上
企業は、拠点のSD-WANハードウェア、キャリアのSD-WANサービス、Microsoft Azure ExpressRouteトランスポートなどの高額なコストを排除し、優れたクラウドパフォーマンスをの恩恵を手に入れることができます。また、Catoでクラウドリソースを保護するのには、追加のセキュリティサービスに投資する必要がありません。
Catoとクラウドの統合方法の詳細については、Cato Networksにお問い合わせいただくか、データセンター用ファイアウォールのクラウド移行に関するeBookをご覧ください。
ChatGPTに代表される生成系AIは、自然言語処... 詳しくはこちら ›
急速に進化するChatGPTなどの生成系AIがサイバーセキュリティに及ぼす影響とは ChatGPTに代表される生成系AIは、自然言語処理や画像処理の分野での進歩により、より人間に近い自然な表現力を持つようになりました。その精度は非常に高く、言うなれば、もはやこの記事を書いているのが人間なのかAIなのか誰にもわからないという状況にあるのです。
生成系AIがサイバーセキュリティにもたらすメリット
数百もの新たな生成系AIが毎週リリースされ、各分野に及ぼす影響がますます拡大する中、サイバーセキュリティ分野においては次のようなメリットが期待されています。
セキュリティ攻撃の予測と検知:AIは過去の攻撃パターンに基づいて、未来の攻撃を予測し、適切な対策を取ることができます。また、不正アクセスやマルウェアなどの攻撃を検知することもできます。
マルウェアの生成と分析:AIによりマルウェアを生成することで、セキュリティ対策の改善や、マルウェア攻撃の対策を取るための情報を得ることができます。
セキュリティの自動化:セキュリティ関連のタスクの自動化が可能です。例えば、異常なネットワークトラフィックを検知し、自動的にブロックすることなどができます。
セキュリティの改善:AIはセキュリティ関連のデータを収集し、分析することにより、セキュリティの脆弱性や問題を特定し、改善することができます。
セキュリティの教育:生成系AIは、セキュリティ関連のトレーニングや教育に利用することができます。例えば、従業員がフィッシング詐欺に引っかかるリスクを減らすために、シミュレーションを行うことができます。
デメリットと懸念事項
しかしこれらは、生成系AIを良い目的で使う場合の話であり、悪用を試みる人がいた場合、これらはすべてそのまま懸念材料にもなり得ます。以下は、主な予想されるデメリットです。
マルウェアの生成:攻撃者が生成系AIを使用して、標的に対してカスタマイズされたマルウェアを作成することができるため、マルウェアの攻撃パターンを追跡することがより困難になる可能性があります。
自動化された攻撃の増加:攻撃者による攻撃を自動化することができ、より効率的な攻撃が可能になります。
サイバーセキュリティ研究論文の悪用:サイバーセキュリティに関連する研究が悪用され、攻撃者がより洗練された攻撃手法を開発するために使用される可能性があります。
フィッシング攻撃の増加:AI生成された偽のメールやWebサイトはより各言語において自然な文脈となるため、攻撃が洗練されます。
偽造された情報の拡散:偽造されたビデオや音声を作成ができるため、それを利用した詐欺やフィッシング攻撃により、人々の安全が脅かされる可能性があります。
データのプライバシー問題:攻撃者は個人情報を収集し、その情報を悪用することができます。
不正利用のリスク:攻撃者のシステム侵入および不正アクセスのリスクが増加する可能性があります。
セキュリティ上の脆弱性の特定:大量のテキストデータを学習して自然言語を生成することができるという特性を利用して、セキュリティ上の脆弱性を特定することができます。
AIの誤解釈:与えられた情報に基づいて自動的に判断を下す、AIそのものが攻撃対象となる可能性があります。例えばAIが偽情報を学習した場合、不適切な判断を下す可能性がでてきます。
適切な規制やガイドライン導入が必要
このように、生成系AIがサイバーセキュリティ業界にもたらす可能性は表裏一体となっており、慎重な検討が必要です。適切な規制やガイドラインを導入することで、生成系AIの利用を管理する必要があるでしょう。同時に、生成系AIの技術の発展を追跡し、新しい脅威や攻撃のタイプに対する防御策を開発することが急務といえるでしょう。
効率性と高いパフォーマンスを保証する、信頼性の高い... 詳しくはこちら ›
MPLSのメリットとデメリット:ご利用中のネットワークに合致していますか? 効率性と高いパフォーマンスを保証する、信頼性の高いルーティング技術であるMPLS。しかしリモートワークの普及、モバイル接続の増加、クラウドベースのインフラの台頭に代表される世界的な変化により、企業はMPLSネットワーク戦略を考え直す必要に迫られています。当ブログ記事では、MPLSとは何か、どのように機能するのか、MPLSのメリットとデメリット、その次は何を検討するべきかについて説明します。
MPLSとは?
MPLS(Multiprotocol Label Switching)とは、ルーターがリアルタイムでデータの転送先(ネクストホップ)を決定するのではなく、あらかじめ決められた経路を基に決定するネットワークルーティング技術です。複雑なルーティングテーブル上でアドレスの宛先を調べる代わりに、ルーターはパケットのラベルを見るだけでよいので、より迅速で効率的なルーティングが可能となります。またMPLSを利用するには専用の接続を設定しなければならないため、事実上のプライベートネットワークといえます。
MPLSの仕組み
MPLSでは経路上の最初のルータによって、データパケットがネットワークに入るときにラベルが割り当てられます。そしてラベルはパケットが通るべき経路をあらかじめ決定します。ラベルには値の他に、必要なQoS(Quality of Service、サービス品質)、スタック内のラベルの位置、タイム・トゥー・ライブ(Time To Live)を決定するための追加フィールドが含まれています。パケットはこのラベルに基づき、経路上の次のルーターにルーティングされます。
パケットを受信した2番目のルーターはこのラベルを読み取り、ネットワーク内の次の転送先を決定するために使用します。またパケットから既存のラベルを取り外し、新しいラベルを取り付けます。このプロセスは、データパケットが宛先に到達するまで繰り返されます。経路上最後のルーターは、データパケットからラベルを取り外します。
経路があらかじめ決まっているため、ルーターはラベルを読み取るだけで、パケットのIPアドレスを確認する必要がありません。よって、より高速かつ効率的なルーティングが可能になるのです。
MPLSルーティング用語集:
ラベル・エッジ・ルーター(LER)ー 最初または最後のルーター。データに最初のラベルを割り当てて経路を決定するか、パケットからラベルを取り外す。最初のルーターはIngress Label Switching Router(IngressLSR)、最後のルーターはEgress LSRとも呼ばれる。
ラベル・スイッチ・ルーター(LSR)ー 経路上のルーター。ラベルの読み取りと切り替えおよび、パケットの転送先の決定をする。
ラベル・スイッチ・パス(LSP)ー パケットが通過するネットワーク上の経路。
ここでMPLSルーティングのメリットとデメリットを確認しましょう。
リンク:誰も教えてくれないMPLSのこと | 詳しく読む
MPLSのメリット
MPLSにより、ネットワーク管理者やビジネスにもたらされる複数の利点は以下の通りです。
確実性
ラベルに基づいたルーティングをプライベートネットワーク上で行うことにより、パケットを宛先に確実に届けることが可能となります。また、MPLSではパケットの種類に応じて優先順位をつけることができ、例えばリアルタイムのビデオパケットを、より遅延の少ない経路でルーティングすることもできます。この確実性はSLA(Service Level Agreement、サービス水準合意)によって保証され、MPLSプロバイダーがサービス停止を解決したり、ペナルティを支払うかについても保証されています。
高パフォーマンス
高品質、低遅延、低ジッターのパフォーマンスを保証するMPLS専用インフラにより、効率性と優れたユーザーエクスペリエンスが保証されます。また音声やビデオ、ミッションクリティカルな情報などのリアルタイム通信にも不可欠です。
MPLSのデメリット
ただし、MPLSには次のような欠点もあります。
費用が高い
広帯域、高パフォーマンス、競争力のあるSLAを確保するため、MPLSサービスは高価です。また必要とされるプライベート接続の導入やアップグレードは、リソース集約的なプロセスになる可能性があります。
柔軟性の欠如
MPLSはクラウドではなく、ポイント・ツー・ポイント接続用に構築されています。そのため、WANにはロケーションの再構成や新規展開をするための集中型オペレーションセンターがなく、迅速なスケーラビリティを実現できません。
全てのエッジをサポートしない
MPLSは専用インフラを必要とするため、クラウドに拡張することはできません。そのため、リモートユーザーやSaaSアプリケーションへの接続には適していません。
結論
企業のレガシー・アプリケーションのための信頼できるソリューションです。しかしクラウドやリモートワークへの移行に伴い、企業はネットワーク戦略を再考し、よりコスト効率が高く効率的なソリューションを導入する必要があります。SASE(Secure Access Service Edge)は、MPLS、SD-WANなどの利点を全て兼ね備えた代替手段です。
SASEについてより詳しく知りたい方、またMPLS接続の改善方法については、当社までお問い合わせください。
主要なネットワーク・プロバイダやネットワークセキュ... 詳しくはこちら ›
ガートナーのシングルベンダーSASE製品マーケットガイド:SASEマジック・クアドラントレポートに最も近い製品とは 主要なネットワーク・プロバイダやネットワークセキュリティベンダーがSecure Access Service Edge(SASE)の採用をはじめて以来、ITリーダー達はガートナーによるSASEマジック・クアドラントレポートを待ち望んでいます。
これは一体、どのような理由があるのでしょうか。
この業界では、様々なアプローチによる製品がSASEとして販売されています。ある企業は他の企業と提携し、一部だけが統合された製品による共同ソリューションを提供しています。ZscalerとそのほとんどのSD-WANパートナーがそれに当たります。また別の企業は、単に既存のソリューションをSASEとしてリブランディングしました。VMware SD-WAN(以前のVeloCloud)がVMware SASEへと呼称を変更したのがこの例にあたります。
市場が統合されたことにより、何年もかけて統合する必要があるような、本質的に異なるサービスを提供する会社がさらに増えています。例えば、HPE、Aruba、Silver Peakは統合作業を行うことでSASE製品を生み出しています。一方Cato Networksは、完全に統合されたグローバルネットワークとセキュリティのソリューションを一から構築するという、全く異なる道を選びました。ガートナーはこれを「シングルベンダーSASE」と呼んでいます。
SASEマジック・クアドラントレポートが発表されれば、このような業界の混乱は沈静化し、誰がリーダーであるかが明らかとなるでしょう。ガートナーは、まだSASEマジック・クアドラント発表の準備はできていないようですが、次善の策として、SASE市場、特にシングルベンダーSASEを詳細に分析したMarket Guide for Single-Vendor SASE(シングルベンダーSASEのマーケットガイド)を発行しています。
大幅な拡大が予想されるシングルベンダーSASE市場
シングルベンダーSASEとは、クラウド中心のアーキテクチャを使用し、ネットワークとSecurity as a Service(SECaaS)を統合した機能を提供するものであるとガートナーにより定義されています。Catoは、シングルベンダーSASEプロトタイプのリーダーです。シングルベンダーSASEのサービス例としては、SD-WAN、SWG、FWaaS、ZTNA、CASBなどがあります。これらすべてのサービスが、基本的なアーキテクチャ、サービス提供、および管理インターフェイスにおいて完全に統合されている点が重要です。シングルベンダーSASEが他のアプローチと異なるのは、これらが本当に単一クラウドサービスである点です。
こういった統合サービスは、シングルベンダーSASE市場の新たな参入者たちの全機能を網羅しているかもしれませんが、Catoにとってはスタート地点に過ぎません。これらのサービスに加え、Catoはグローバルプライベートバックボーン、データ漏洩防止(DLP)、迅速かつ精度の高い脆弱性軽減(CVEベース)、検知対応のマネージドサービス(MDR)、SaaS最適化、UCとUCaaS最適化などを含む様々な機能を提供しています。
ガートナーは、シングルベンダーSASEの導入が今後数年間で急速に進み、2022年のシングルベンダーSASEソリューションの導入が全体の10%だったのに対し、2025年までに新規SASE導入の3分の1がシングルベンダーになるとしています。また同じ時期までに、SD-WANの新規購入の半分が、シングルベンダーSASEのソリューションに含まれるだろうとも予想しています。
この市場の大きな成長要因となったのは、導入されるソリューションやベンダーの数を減らし、シンプルにすべきであるという要望です。Catoは長年にわたり、エンタープライズクラスの機能を提供しつつ、複雑さの低減も実現してきました。
ガートナー® シングルベンダーSASEのマーケットガイド | レポート
この「未熟な」市場の未来を牽引するCato
レポートの著者は「シングルベンダーSASEは、コアカテゴリーに含まれる各機能を所有、または直接管理している(OEM、パートナーとのサービスチェーンではない)必要がある」と述べています。「適切に設計された」ソリューションは、すべてのサービスが完全に統合されていること、単一の統合制御プレーンと単一のセキュリティポリシー、統一された拡張可能なソフトウェアベースのアーキテクチャ、および柔軟性と使いやすさを備えていることが必要とされます。レポートでは、セキュアWebゲートウェイ、CASB(クラウドアクセスセキュリティブローカー)、ZTNA(ゼロトラストネットワークアクセス)、SD-WANの各分野における中核的な機能要件が挙げられています。
ガートナーは、「未熟な」業界には、分析会社の最低要件を満たすベンダーが複数存在しており、似て非なるも多く存在すると指摘します。
シングルベンダーSASEは、ネットワークとセキュリティを1つのソリューションにまとめ、多くの機能を提供します。そのためガートナーは、ネットワーク専門家とセキュリティ専門家の合同チームを編成し、組織の最も重要なニーズに基づいてソリューションを評価するよう推奨しています。
シングルベンダーSASEによる沢山のメリット
このように、シングルベンダーSASEは多くのメリットを持っています。ガートナーは、シングルベンダーSASEソリューション導入の理由として、以下を挙げています。
組織のセキュリティ体制の向上:様々なセキュリティ機能の複雑さが軽減され、あらゆる場所で単一のポリシーが適用されることで、攻撃対象が縮小することによりもたらされます。
ネットワークとセキュリティスタッフのマンパワーの有効活用:導入時間の短縮、統合されたプラットフォームによる管理スキルやリソースの削減、様々なセキュリティ機能に単一のポリシーが適用されることから、無駄な作業から開放されます。
ユーザーとシステム管理者のエクスペリエンスの向上:レイテンシーやジッタなどのパフォーマンス問題を抑制あるいは排除しやすくなり、問題をエンドツーエンドで診断することが容易になるほか、ログやその他のイベントデータのリポジトリも一元化されます。
もちろん、このようなソリューションの導入にあたっては、組織の縦割り構造や、既存のIT投資についてどうするかなどの課題もあります。また、初期段階のベンダーにとっては、グローバルなカバレッジが問題になることもあります。Catoは現在、世界中に75以上のPoPを持ち、広範囲をカバーしています。ソリューションの成熟度が問題となるのは、主に新規参入ベンダーの問題であるとガートナーは述べています。Catoは、シングルベンダーSASE業界において8年以上の実績があり、市場で最も成熟したベンダーの一社です。
ガートナーの推奨
ガートナーは、戦略・計画、評価、導入に関する推奨事項を発表しています。
ネットワークとセキュリティの両方を担当する部門横断的なチームを立ち上げ、実装成功の可能性を高めること
シングルベンダーSASEと、マルチベンダーまたはマネージドベンダーSASEと比較して評価し、どの方式が最も柔軟性があるか判断すること
シングルパス・スキャン、単一統合コンソール、全機能をカバーするデータレイクを提供するシングルベンダーSASEを選択し、ユーザー体験とスタッフの効率性を改善すること(Catoはこれら全てを提供しています)
概念実証(PoC)プロジェクトを実際のロケーションとユーザーで行い、ニーズをどの程度満たすことができるかを検証すること(Catoは、いますぐPoCのセットアップが可能です)
最も成熟した、機能豊富なシングルベンダーSASEをお探しなら、世界中で最も多くのPoPを持つCato Networksをおいて他にはありません。デモのご依頼はこちらから。https://www.catonetworks.com/ja/contact-us/.
サイバーセキュリティ関連の略語や略称は、AVやVP... 詳しくはこちら ›
覚えておきたいサイバーセキュリティ関連略称・略語26選 サイバーセキュリティ関連の略語や略称は、AVやVPNといった馴染みの深い単語以外にも多く存在します。ここでは、常に進化し続けるサイバーセキュリティにまつわる状況への対応に役立つ、主要な略語をご紹介します。
SASE
SASE(セキュアアクセスサービスエッジ)は、ネットワークとセキュリティの機能を統合したクラウドベースのソリューションです。SASEに実装されたSD-WAN機能がネットワークを最適化し、次世代ファイアウォール(NGFW)、セキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)などを含む統合セキュリティスタックが企業WAN上のトラフィックを安全に保護します。この用語を生み出したガートナーは、SASEを「ネットワーク・セキュリティの未来」であると位置づけています。
CASB
クラウド・アプリケーションとユーザーの間に位置するのがクラウド・アクセス・セキュリティ・ブローカー(CASB)です。クラウドベースのアプリケーションとのすべてのやりとりを監視し、企業のセキュリティ・ポリシーを適用します。クラウドの導入が進むにつれ、CASB(SASEソリューションにネイティブに統合されている)は、企業のセキュリティ・ポリシーに不可欠な要素となっています。
ZTNA
Software-Defined Perimeter(SDP:ソフトウェア定義の境界)とも呼ばれるZero Trust Network Access(ZTNA)は、VPNに代わる安全なリモートアクセスのためのソリューションです。VPNと違って、ZTNAはゼロ・トラスト・セキュリティ・ポリシーに準拠し、臨機応変に企業リソースへのアクセスを提供します。ZTNAを、SASEソリューションの一部として導入することで、分散化した今日のリモートワーカーをサポートすることが可能です。
SDP
Software-Defined Perimeter (SDP:ソフトウェア定義の境界)は、ZTNAの別名です。従来型のリモートアクセスソリューションとは異なり、ゼロトラストの原則を適用したセキュアなリモートアクセスソリューションです。
ZTE
Zero Trust Edge(ZTE)は、Forrester版のSASEといえるでしょう。物理的に離れている拠点およびワーカーに、ZTNAを使用することでより安全なインターネット接続ポイントを提供します。ZTEモデルは、ネットワークエッジにセキュリティ機能を分散させ、企業WAN全体にゼロトラスト原則を適用するSASEとともに導入するのが効果的です。
DPI
ディープパケットインスペクション(DPI)は、ネットワークパケットのヘッダだけでなく内容も検査する機能で、アプリケーション層で発生するサイバー攻撃検知のために不可欠です。SASEソリューションでは、DPIを利用することで統合型セキュリティ機能をサポートしています。
NGFW
ディープパケットインスペクション(DPI)を使用して、レイヤー7のアプリケーション・トラフィック解析と侵入検知を実行するのが次世代ファイアウォール(NGFW)です。また、情報に基づいた脅威の判断を行うために脅威インテリジェンスを使用する機能を備え、従来のファイアウォールのポート/ プロトコルインスペクションを超えるそれ以上の高度な機能を搭載していることもあります。
FWaaS
Firewall as a Service(FWaaS)は、NGFWの機能をクラウドベースのサービスとして提供する、SASEソリューションの基盤となるセキュリティ機能の1つです。
IPS
Intrusion Prevention System(IPS)は、ネットワークやシステムに対する攻撃の試みを検知し、ブロックするために設計されました。侵入検知システム(IDS)のように警告を発するだけでなく、必要に応じてファイアウォールのルールを更新するなどして、悪意のあるトラフィックをブロックすることができます。
SWG
Secure Web Gateway(SWG)は、フィッシングやマルウェアなどのインターネット上の脅威から保護と、インターネット閲覧に関する企業ポリシーの実施のために設計されています。SWGはSASEソリューションの組み込み機能であり、企業の全従業員に安全なブラウジングを提供します。
NG-AM
次世代マルウェア対策(NG-AM)は、機械学習や異常検知といった高度な技術を使って潜在的なマルウェアを特定します。これによって、従来のシグネチャベースの検知スキームを回避するように設計された、最新のマルウェアを検知することができます。
UTM
統合脅威管理(UTM:Unified Threat Management)は、複数の異なるネットワークセキュリティ機能を提供するセキュリティソリューションを表す用語です。SASEは、ネットワークセキュリティに必要なすべての機能をクラウドサービスで提供するため、UTMアプライアンスのライフサイクル管理をシンプルにします。
DLP
情報漏洩防止(DLP:Data Loss Prevention)ソリューションは、故意または偶発的なデータ漏洩試行の特定と対処をします。SASEのもつ詳細なネットワーク可視性は、企業WAN全体にわたるDLP機能の提供を可能とします。
WAF
Webアプリケーションファイアウォール(WAF)は、Webアプリケーションへのトラフィックを監視・フィルタリングし、Webアプリケーションの悪用やデータ窃盗試行をブロックします。SASEは、オンプレミスのデータセンターおよびクラウドの両方で、Webアプリケーションを保護するためのWAF機能を実装しています。
SIEM
Security Information and Event Management(SIEM:セキュリティ情報イベント管理)は、セキュリティアプライアンスからデータを収集、集約、分析し、コンテキストに沿ったデータとアラートをセキュリティチームに提供します。この機能は、SASEなどの統合されたネットワーク・セキュリティ・インフラストラクチャではなく、多くのスタンドアロン・ソリューションに依存するレガシーセキュリティの配置に必要とされるものです。
SOC
サイバー攻撃から企業を保護する役割を担うのが、セキュリティオペレーションセンター(SOC)です。セキュリティアナリストがアラートを調査し、それが実際のインシデントであるかどうかを判断し、インシデントレスポンスと修復を行います。
MDR
Managed Detection and Response(MDR:検知と対応のマネージドサービス)は、AIや機械学習を利用して脅威の調査、警告、封じ込めを行い、継続的に脅威の検知と対応を行うマネージドセキュリティサービスモデルです。SASEソリューションにMDRを組み込むことで、SOCチームはあらゆるトラフィックを瞬時に完全に可視化できるため、ネットワークプローブやソフトウェアエージェントの追加の必要がありません。
TLS
トランスポート・レイヤー・セキュリティ(TLS)は、トラフィックをレイヤーで覆うことで暗号化し、サーバーとクライアントの認証を行うネットワークプロトコルです。WebブラウジングにおけるHTTPとHTTPSの違いが、TLSとなります。
SSL
TLSの前身にあたるのがSecure Sockets Layer (SSL)プロトコルで、しばしばSSLまたはTLSとも呼ばれます。
TI
サイバー攻撃の検知と防止に役立つように設計された情報のことを、脅威インテリジェンス(TI: Threat Intelligence)といいます。TIには、マルウェアのシグネチャ、既知の悪質なIPアドレスやドメイン名、現在のサイバー攻撃キャンペーンに関する情報などが含まれることがあります。
CVE
Common Vulnerabilities and Exposure(CVE:共通脆弱性識別子)は、一般公開されているコンピューターのセキュリティ上の欠陥のリストです。新たに発見された脆弱性には、MITRE社などの機関によりCVEが付与され、脆弱性の名称や説明が異なる複数のソース間での情報の追跡と照合を容易にします。
APT
Advanced Persistent Threat(APT:標的型攻撃)は、国家や組織犯罪から資金提供を受ける、高度なサイバー脅威の実行者を通常指します。企業のサイバーセキュリティに持続的な脅威を与えるために必要なリソースと能力を持つという事実から名付けられました。
DDoS
分散型サービス妨害(DDoS: Distributed Denial of Service)攻撃とは、複数の侵害されたシステムが標的となるサービスに対してスパムリクエストを送信するものです。この攻撃の目的は、ターゲットとなるシステムに極端な量のリクエストを送信し、本来のユーザーによるリクエストに応答できないようにすることです。
XDR
Extended Detection and Response(XDR)は、複数の異なるセキュリティ機能を統合し、サイバー脅威に対してより包括的でまとまりのある保護を提供するクラウドベースのソリューションです。高度でステルス性の高いサイバー攻撃を特定し、ブロックすることで、攻撃に対する主体的防御を実現します。
SSE
セキュリティサービスエッジ(SSE)は、セキュリティ機能をネットワークの境界からネットワークのエッジに移動させるものであり、これはSASEソリューションの基本原理でもあります。
IoC
Indicators of Compromise (IoC) は、マルウェアのシグネチャ、既知のIPアドレスやドメインなど、システムがサイバー攻撃によって侵害されているかどうかを判断するために使用できるデータです。IOCは、一般的に脅威インテリジェンスフィードの一部として配布されます。
CISOへの道は人それぞれ CISOになるための道... 詳しくはこちら ›
CISOになるために:5ステップの行動計画 CISOへの道は人それぞれ
CISOになるための道は決してひとつではありません。
ですから、ご自身のキャリアパスが上記に当てはまらなくても、所謂「典型的」なものでなくても落胆しないでください。最終目標が「CISOになること」であるのなら問題ありません。今章では、IT、IS、またはサイバーセキュリティにおける現在の職務から、世界レベルのCISOになるための総合的な行動計画について解説します。
ステップ1:
CISOになるためには、視点を変える必要がある
IS、IT、サイバーセキュリティとCISOの役割の違い:戦術的な役割から戦略的な役割へ
セキュリティ・エンジニアから未来のCISOへとシフトする
CISOになりたいセキュリティ・エンジニアはしばしば焦点が狂いがちです。セキュリティ・エンジニアとして成功するためには、問題解決にフォーカスすることが重要です。一流のセキュリティ専門家であるためには、他の人が見つけることのできない脆弱性を特定し、修正することにかけてプロフェッショナルである必要があります。
CISOを目指すものとしてどう考え、行動するか
CISOは、セキュリティ・エンジニアが発見した問題の解決策を、経営幹部、CEO、取締役会向けに提案します。CISOとしての役割を果たすには、問題志向から解決志向への変換スキルが必須です。
CISOになる際に犯しがちな間違いとして、自分の技術的能力を売り込むという最も慣れ親しんだ方法でリードしてしまうことがあります。セキュリティ・チームとの対話において技術的な理解は不可欠ですが、経営陣や役員との対話では必要ありません。経営幹部や役員は、問題そのものではなく、解決策に関心を持っています。あなた自身はビジネスを完全に理解し、サイバー・ソリューションを特定し、ビジネス・リスク、利益、損失の観点からそれら自身を持って説明できなければなりません。新しいビジネスタスクを成功させるためには、ビジネス目標への成長予測を達成するためのイネーブラーとして、サイバー活用に重点を置いてください。
CISOになるために必要なスキル一覧
技術的な要件をビジネス要件に変換する
経営幹部、VPS、Cレベル、投資家、取締役会へのブリーフィングの実施
担当するビジネスを高レベルで理解する
(会社、目標、競合他社、年間売上高、売上予測、競合他社の直面する脅威など)
高度なコミュニケーション能力。効果的なメール送信、インパクトあるプレゼンテーション
リスク評価を実施し、機能性とセキュリティのバランシングをする
組織における収益と利益率の向上に注力する
問題志向ではなく、解決志向を重視する
ステップ2:
CISOの役割を明確にする:CISOの実際の役割とは?
CISOの役割と責任(R&R)を知る
CISOは、基本的にセキュリティ技術チームと経営陣の間を取り持つ存在です。
ステップ3:
CISOとして成功するために、何が重要であるかを判断する。
最終的にキャリアの成功を決定づけるのは、自分の役割の中でどう判断するかにかかっています。CISOはしばしば、ゼロサムセキュリティゲームにより自ら失敗の可能性を高めてしまうことがあります。
これは、セキュリティインシデントが発生する=CISOが解雇される=関係者すべての不利益となる、ということを意味します。
一方有能なCISOは、サイバーセキュリティとはセキュリティと機能性の確保という微妙なバランスの上に成り立つ行為であることを知っています。
100%のセキュリティとは0%の機能性を意味します。逆も然りです。
戦略的なCISOは、このことを理解し、CEOや取締役会と協力して露出を最小限に抑えながら、成功への現実的なKPIを確立し、成功への道を切り開きます。
CISOの役割を成功させるための指標を確立する
CISOの役割を成功させるためには?
唯一の成功の指標:99.999%の可用性
これにより、CISOは目標達成に必要とされるR&Rに集中することができます。
CISOのKPIとKPI設定プロセスの提案
組織において攻撃未遂が毎週何件発生しているかを分析し、ベンチマークを設定する。
エグゼクティブレポートに毎週の攻撃試行の指標(例:300 件)を記載する。
成功に向けたベンチマーク案を作成する:例: 98%の攻撃を防御する
提案したKPIについて、経営陣の同意を得る。
攻撃に関する指標(週次攻撃試行回数+防御回数)を定義し、経営陣に週次報告する。(セキュリティインシデントを経営幹部および取締役会に速やかに報告するようにする)
必要に応じてKPIを調整し、経営陣の同意を得る
ステップ4:
ギャップを意識する:現在の技術的なギャップとビジネス上のギャップを埋める
推奨される技術的教育
GIAC / GSEC Security Essentials
CISSP (セキュリティ プロフェッショナル認定資格制度)
またはCISM(公認情報セキュリティマネージャー)認定資格またはCISA(公認情報システム監査人)認定資格
SASE(セキュアアクセスサービスエッジ)認定資格
SSE(セキュリティサービスエッジ)認定資格
推奨される技術経験
IS、サイバーセキュリティ、ネットワーク、ITの分野で3~5年以上の経験を有し、セキュリティに強い関心を持っていること。
推奨されるビジネス教育
MBAまたは同等のビジネス学位、または関連するビジネス経験
CPAまたは会計コース
推奨されるビジネス経験
3〜5年のビジネス経験
ビジネスオペレーション、ビジネスマネジメント、SOCマネージャー、またはビジネス、マネジメント、リーダーシップのスキルを証明する職務経験
推奨される理解度:
業界のセキュリティの標準(NIST、ISO、SANS、COBIT、CERT、HIPAAを含む)
現行のデータプライバシー規制(例:GDPR、CCPA、地域別基準)
ステップ5:
CISOの仕事に未経験で就く方法
共通したジレンマ - 関連する経験を、未経験で積むにはどうしたらよいのでしょうか。
バーチャルCISOの役割を友人や家族の中小企業で引き受ける。
週に3時間、バーチャルCISOとしてサービスを提供する。
その代わり、月に3回推薦してもらい、ポジティブな参考文献としてのサービス提供を依頼する。
既存のCISOから指導を受けることは可能か?
友人、家族、元同僚など、コンタクト可能なCISOから始めてみましょう。
LinkedInでCISOにコンタクトを取り、お茶やディナーに招待する。
月に一度、夕食を共にし、指導を受けることができないか聞いてみましょう(彼らが決めた場所へ出向き、費用はあなた持ち)。
何度か断られたり、反応がなくても、がっかりしないでください。
最初のCISOとしての仕事を得るために:キャリアを成功させるためのアクションプラン
求人に応募する
履歴書を送付し、面接にこぎつけましょう。
1週目:
CISOの求人に既存の履歴書を20通送る。
何人が返信し、面接を申し込んだか(2週間以内)?
成功率が50~70%未満であれば、履歴書を修正する必要があります。
このプロセスを繰り返し、20通の履歴書送付ごとに、最低10通のポジティブな反応を得ることを目標とします(リクルーターが反応するまでは1.5~2週間ほどかかります)。
面接獲得のために履歴書を修正する
面接獲得率が50~70%に達しない場合は、履歴書を修正する必要があります。しかし、一体どこを修正すればいいのでしょうか?
CISOの履歴書における最も一般的な誤り(要注意!)
履歴書においては、技術的能力だけでなく、ビジネスセンスをアピールすべきです。前述の戦略的スキルを見直し、それらをアピールしましょう(関連する学歴、職歴、キャリアなどがあればそれも追加しましょう)。
経営陣や役員への説明経験はあるか?
有効なプレゼンテーションを行ったことがあるか?
リスク管理プログラムを作成し、組織全体の調整の経験があるか?
サイバーセキュリティのベストプラクティスに関するオンラインフォーラムを主宰しているか?
実際の技術的な能力だけでなく、ビジネスやリーダーシップに精通していることをアピールする方法を考えましょう。
面接ラウンド
通常、CISOの面接は5〜7回行われます。
覚えておこう:一次面接のゴールは、二次面接を受けることです。二次面接のゴールは、三次面接を受けることです。法務、財務、CEO、CIO、人事担当などとの面接に備えましょう。
ポジション獲得:CISO就任までの道のり
「未来を予測する最良の方法は、未来を創造することである」とは、アブラハム・リンカーンの言葉です。このガイドが、新しいエキサイティングなCISOとしての未来に向けたスタートとなることを願っています。皆さんと皆さんの将来の成功を信じています。幸運を祈ります。また、このガイドが役に立ったと感じたら、新たにCISOのポジションを探している友人や同僚に、積極的に共有してあげてください。
CISOのポジションを獲得した後にすべきこと
おめでとうございます!あなたはCISOとして採用されました。
ついにここまできましたね。CISOのポジションに初めて就きました。ここまでの努力と献身を、私たちはとても誇りに思います。新しい職務に就く前に、キャリアを成功に導くためのベストプラクティスをいくつかご紹介します。
CISOとして成功するために:念頭に置くべきこと
2016年以降、1000人以上のCISOと対話した結果、次のことを念頭に置くことが重要です。
CISOの焦点と影響を決めるネットワークセキュリティアーキテクチャ
組織や範囲に関わらず、CISOの役割は、約束したKPIを過不足なく満たすことです。そこで、セキュリティ・チームへの対応を事後対応型にするか、事前対応型にするかを決めなくてはなりません。セキュリティ脆弱性の精査やパッチ適用、異なるセキュリティ・ポリシーの緩和に時間を割きたいですか?それとも、収益を生み出す大きなミッションの達成にサイバーセキュリティを通じて専念したいですか?あなたは、ネットワーク・セキュリティ・アーキテクチャによって企業の攻撃対象領域を最小化し、自身と担当するチームが適切に注意を払うことができるようにしなければなりません。
そのために、WAN、クラウド、インターネットのトラフィックを完全に可視化・制御し、サイバーセキュリティを通じてビジネス目標を達成するためのタスクを実行する必要があります。さもなければ、サイバーセキュリティを通じたビジネスの実現は絵空事となり、機能が戦術的なものに戻ってしまいます。
Cato SSE 360 = SSE + 完全な可視化&制御
一貫性のないセキュリティポイントソリューションは、リソースに限りのあるセキュリティチームへの過度の負担となり、セキュリティ体制に影響を与え、設定ミスによる総合的リスクを増大させます。従来のSSE(Security Service Edge)への収束はこれらの課題を軽減しますが、インターネット、パブリッククラウドアプリケーション、一部の内部アプリケーションにしか可視性と制御は提供されません。WANトラフィックは精査されず、最適化もされないまま放置されます。また、シングルベンダーのSASEを基としないSSEプラットフォームでは、SD-WANへの収束を拡張し、SASEへアップグレードすることができません。
Cato NetworksのSSE 360 サービスはこの問題を解決します。SSE 360は、あらゆるWAN、クラウド、インターネットのアプリケーション・リソースに対して、またすべてのポートとプロトコルに渡って、すべてのトラフィックを最適化し、セキュリティを担保します。Catoの統合ネットワークセキュリティの全製品に関しては、SSE 360のホワイトペーパーをご覧ください。Cato SSE 360は、企業のISチームのニーズを満たす設定可能なセキュリティ・ポリシーを完備しています。
企業ネットワークのセキュリティ侵害において、悪意の... 詳しくはこちら ›
ネットワーク上の悪質なボットを識別するための5つのステップ 企業ネットワークのセキュリティ侵害において、悪意のあるボットが深刻な被害をもたらすことは周知の事実です。ボットは、マルウェアを企業ネットワーク全体に伝播するために多く利用されます。しかし、ソフトウェアのアップデータなど、運用環境におけるルーチンプロセスの多くがボットであるため、悪意のあるボットの特定および削除は複雑になっています。
ごく最近まで、「悪い」ボットと「良い」ボットをセキュリティチームが区別するための効果的な方法は存在しませんでした。ボットを識別するとされるオープンソースのフィードやコミュニティルールはほとんど役に立たず、誤検出が多すぎます。結局セキュリティ・アナリストは、優良ボットによる無関係なセキュリティ・アラートをすべて分析・追跡するため、大変な手間となります。
Catoは、お客様のネットワークを保護する上で同様の問題に直面したため、解決のための新しいアプローチを開発しました。これは、当社のSECaaS (セキュリティ・アズ・ア・サービス)に実装された多次元的な手法で、オープンソースのフィードやコミュニティルールだけでは不可能だった72%以上の悪質なインシデントを特定することができます。
あなたのネットワークにも、同様の戦略導入が可能です。ネットワークへのアクセス、タップセンサーのようなトラフィックをキャプチャする方法、1週間分のパケットを保存できる十分なディスク容量など、ネットワーク・エンジニアにとって必要不可欠なツールが用意されています。これらのパケット・キャプチャを解析して、さらに強固なネットワークの保護方法を解説します。
悪質なボットトラフィック特定のための5つのベクトル
お話したとおり、当社は多次元的アプローチを採用しています。悪意のあるボットを正確に特定できる変数は存在しませんが、複数の方向からの評価による総合的インサイトにより、ボットをピンポイントで特定することができます。人が生成したセッションから、ネットワークに対するリスクの可能性のあるセッションまで、徐々にフィールドを絞り込むことで特定します。
当社のプロセスは次のように単純です:
ボットと人を区別する
ブラウザと他のクライアントを区別する
ブラウザ内のボットを区別する
動作内容を分析する
ターゲットのリスクを判断する
次に、それぞれのステップについて解説します。
通信頻度の測定によりボットと人間を区別する
ほとんどのボットは、コマンドの受信、キープアライブ信号の送信、データの流出などを行う必要があるため、ターゲットと継続的に通信する傾向があります。ボットと人間を区別するための最初のステップは、ターゲットに対して繰り返し通信しているマシンを識別することです。
つまり、多くのターゲットと定期的かつ継続的に通信しているホストを見つけることが重要だということです。私たちの経験上、1週間分のトラフィックがあれば、十分にクライアントとターゲットの通信の性質を判断することができます。統計的に、通信が均一な性質をもっていればいるほど、ボットによって生成されている可能性が高くなります(図1参照)。
図1:2021年5月中旬のボット通信を示したこの頻度グラフ。ボットトラフィックの強力な指標である通信が完全に同じパターンで分布していることに注目してください。
サイバーセキュリティ・マスタークラスに参加する:虚偽の情報からディープフェイクまで
ブラウザと他のクライアントを区別する
ボットがマシンに存在するという情報だけでは不十分です。お話したように、ほとんどのマシンは何らかのボット・トラフィックを発生させています。そこで、ネットワーク上で通信しているクライアントの種類を確認する必要がある。一般的に、「良い」ボットはブラウザ内に存在し、「悪い」ボットはブラウザ外で動作します。
OSには、トラフィックを生成するクライアントやライブラリの種類があります。例えば、「Chrome」、「WinInet」、「Java Runtime Environment」はすべて異なるクライアント・タイプです。最初は、クライアントのトラフィックは同じに見えるかもしれませんが、クライアントを区別し、コンテキストを強化する方法がいくつかあります。
まず、アプリケーション層のヘッダを見てみましょう。ほとんどのファイアウォールでは、どのアドレスにもHTTPとTLSを許可しているため、多くのボットがこれらのプロトコルを使ってターゲットと通信しています。ブラウザ以外で動作するボットは、クライアントが設定したHTTPとTLSの機能群を識別することで特定できます。
あらゆるHTTPセッションは、リクエストを定義する一連のリクエストヘッダと、どのようにサーバーがそれを処理すべきかの情報を持っています。それらのヘッダー、順番、値は HTTPリクエストの構成の際に設定されます (図 2 参照)。同様に、暗号スイート、拡張リスト、ALPN (Application-Layer Protocol Negotiation)、楕円曲線などのTLSセッション属性は、暗号化されていない最初のTLSパケット、「client hello」パケットで確立されます。HTTPとTLS属性の異なるシーケンスをクラスタリングすると、異なるボットが示されるでしょう。
例として、これにより異なる暗号スイートを使用したTLSトラフィックを発見することができます。これは、トラフィックがブラウザの外部で生成されていることを示すもので、人間離れしたアプローチであるため、ボットトラフィックの良い指標となります
図2:Windowsの暗号ライブラリで生成されたパケットヘッダのシーケンス(カンマ区切り)の例。ヘッダーの配列、キー、値を変更することで、ボットを分類することが可能
ブラウザ内のボットを区別する
悪意のあるボットを識別するもう一つの方法として、HTTPヘッダーに含まれる特定の情報に注目することが挙げられます。通常インターネットブラウザには、明確かつ標準的なヘッダーイメージがあります。通常のブラウジングセッションでは、ブラウザ内でリンクをクリックすると、そのURLに対する次のリクエストに含まれる「referrer」ヘッダが生成されます。ボットトラフィックは通常、「referrer」ヘッダーを持たないか、最悪の場合、偽造します。すべてのトラフィックフローで似たように見えるボットは、悪意の兆候を示している可能性があります。
図3:ブラウジングセッションのヘッダー内でのRefererヘッダー使用例
「User-agent」は、最もよく知られたリクエストを開始したプログラムを表す文字列です。fingerbank.orgなどのさまざまなソースは、ユーザーエージェントの値を既知のプログラムバージョンと照合します。この情報を利用することで、異常なボットを特定することができます。例えば、最近のブラウザは、ユーザーエージェントの欄に「Mozilla 5.0」という文字列を使用しています。Mozillaのバージョンが低いか、全く存在しない場合は、異常なボットのユーザーエージェント文字列であることを示しています。信頼できるブラウザは、ユーザーエージェントの値なしにトラフィックを生成することはありません。
動作内容を分析する
また、ボットの検索はHTTPとTLSのプロトコル以外を調べることで可能です。例えば、IRCプロトコルは、悪意のあるボットの活動によく使われます。また、既知のポート上で独自の未知のプロトコルを使用する既知のマルウェアサンプルも見つかっており、この場合はアプリケーション識別を使用することでフラグを立てることができます。
さらに、インバウンドまたはアウトバウンドといったトラフィックの方向も重要な意味を持ちます。インターネットに直接接続されているデバイスは、常にスキャン動作にさらされているため、これらのボットはインバウンドスキャナーでしょう。一方、スキャニング活動がアウトバウンドする場合は、スキャニングボットに感染したデバイスであることを示しています。スキャンされるターゲットにとって有害であり、これによって組織のIPアドレスの評価を失墜する可能性があります。以下のグラフは、トラフィックフローが短時間で急増していることを示しており、スキャンボットの活動である可能性があります。これは、フロー/秒の計算式を使用することで分析できます。
図4: 高頻度アウトバウンドスキャン動作の一例
ターゲットの分析:宛先を知る
ここまで、クライアントとサーバーの通信頻度やクライアントの種類からボットの指標を探してきました。ここでは、「宛先」または「ターゲット」についてお話します。悪意のあるターゲットを特定するためには、「ターゲットの評価」と「ターゲットの知名度」の要素を考慮する必要があります。
ターゲットの評価は、多くのフローから収集した履歴に基づき、ドメインが悪意あるものである可能性を計算します。評価は、サードパーティのサービスにより決定されるか、ユーザーがターゲットを悪意あるものとして報告するたびに記録される自己計算によって決定されます。
しかし、ターゲットの評価を決定するためには、URL評価フィードなどの単純なソースだけでは不十分なことが多くあります。毎月、何百万もの新しいドメインが登録されています。そのため、ドメイン評価レピュテーションメカニズムはそれらを適切に分類するための十分なコンテキストを持たず、高い確率で誤検出を引き起こします。
まとめ
以上のことを踏まえると、セッションは次のように大別されます:
人間ではなく、機械によって生成されたもの
ブラウザ以外で生成された、または異常なメタデータを含むブラウザトラフィックでること
知名度のないターゲット、特に分類されていない、または悪意があるとマークされているターゲットと通信すると、疑わしく思われる可能性があります。正規のボットや優良ボットは、知名度の低いターゲットと通信すべきではありません
Andromedaマルウェアのネットワーク下における実践
これらの方法を組み合わせることで、ネットワーク上のさまざまな種類の脅威を発見することができます。Andromedaボットの検出を例として見てみましょう。Andromedaは、他の種類のマルウェアのダウンローダーとして頻繁に利用されています。当社では、これまで説明した5つのアプローチのうち、4つのアプローチを用いてデータを分析し、Andromedaを特定しています。
ターゲットの評価
私たちは「disorderstatus[.]ru」が、複数の評価サービスによって悪意あるドメインと見做されていることに気づきました。様々なソースから見たこのサイトのカテゴリーは「既知の感染源、ボットネットワーク」ですが、特定のホストがAndromedaに感染しているかどうかが示されていないため、ユーザーがそのサイトを閲覧しているだけの可能性も捨てきれません。さらに前述の通り、URLは「不明」または「悪意がない」に分類されます。
ターゲットの知名度
1万人のユーザー中、このターゲットと通信しているユーザーのマシンは1台だけで、これは非常に珍しいことです。そのため、このターゲットの知名度は低くなっています。
通信頻度
クライアントとターゲット間において、1週間にわたって3日間の連続したトラフィックが検出されました。このように繰り返し通信が行われていることも、ボットであることを示す指標となっています。
図5:ユーザーとdisorderstatus[.]ruの間のクライアント・ターゲットの通信。頻度は1時間のバケットで3日間にわたって表示されている
ヘッダーの解析
要求しているユーザーエージェントは「Mozilla/4.0」であり、最新ブラウザではないことから、ユーザーエージェントはボットである可能性が高いことが示されています。
図6:disorderstatus[.]ruで取得したトラフィックからのHTTPヘッダー画像。これらのリクエストのいずれにも「referrer」ヘッダーがないことに注目してください。User-Agentの値もMozilla/4.0に設定されています。どちらもAndromedaセッションの指標です。
結論
IPネットワーク上のボット検出は容易ではありませんが、ネットワークセキュリティの実践やマルウェア検出が基礎となりつつあります。今回紹介した5つのテクニックを組み合わせることで、悪意のあるボットをより効率的に検出することができます。
セキュリティサービスの詳細についてはこちらをご覧ください。Catoのマネージド脅威検出・対応サービスについてはこちらをご参照ください。
世界的なパンデミックが起こるずっと以前から、少なく... 詳しくはこちら ›
企業向けリモートアクセス技術の形態 世界的なパンデミックが起こるずっと以前から、少なくとも企業は一部の従業員にリモートワーク環境を提供していました。出張中の営業担当や、週に数日自宅で仕事をする在宅勤務者など、ごく一部の社員はリモートで会社のリソースにアクセスする必要がありました。
パンデミックにより一瞬にして、世界中に何百万人ものリモートワーカーが誕生したようです。従業員は、できる限り自宅から隔離状態で仕事をするように命ぜられました。企業は突如として、世界中のどこからでも同時にアクセスする、数百、数千のユーザーに対してリモートアクセスを提供することを余儀なくされました。すでに少数のリモートワーカーにVPNサービスを提供していた多くの企業は、自宅に隔離されたより多くの従業員向けに機能拡張を急ぎました。しかし現在、VPNは企業にとって最適なリモートアクセス技術なのか、他の技術の方がより優れた長期的ソリューションを提供できるのか、考え直す時期に来ているのではないでしょうか。
長期的なリモートアクセスが一定期間常態化する可能性
ナレッジワーカーの一部は従来のオフィスに戻りつつありますが、それ以上に多くの従業員がまだ自宅から仕事を続けており、今後もしばらくその状態が続くことになります。Global Workplace Analyticsは、2021年末までに労働人口の25~30%が週に数日、自宅から仕事をするだろうと予測しています。また、従来のオフィスに戻ることなく、この先もずっと在宅勤務(WFH)を続けることを選ぶ人もいるかもしれません。
企業はこれに対応するため、使いやすく高パフォーマンスで、安全性の高いネットワークアクセスといった、在宅勤務者にオフィスと同様のエクスペリエンスを提供するリモートアクセスソリューションを導入する必要があります。さらにそのソリューションは、技術者を増やすことなく、費用対効果が高く、管理が簡単でなければいけません。
VPNは依然、選択肢の1つとしてありますが、その他はどうでしょう。他の選択肢としては、アプライアンスベースのSD-WANやSASEが挙げられます。それぞれのアプローチについて解説します。
VPNはあらゆる従業員をサポートする設計ではない
一部の従業員にとっては便利なリモートアクセスソリューションですが、多人数の従業員にリモートアクセスを提供するには非効率的な技術です。VPNはポイント・ツー・ポイント接続用に設計されているため、リモートワーカーとデータセンター内のネットワークアクセスサーバー(NAS)間の安全な接続には、それぞれ独自のVPNリンクが必要です。各NASの同時接続可能なユーザー数には限りがあるため、大規模なリモートユーザーに対応するには、本格的なデータセンターのインフラが必要となる場合があります。
VPN接続では、ユーザーとVPN間のあらゆる通信が暗号化されます。この暗号化処理には時間がかかるため、使用する暗号の種類によっては、インターネット通信に大幅な遅延が生じる可能性があります。リモートユーザーが、IaaSやSaaSといったアプリケーションやサービスにアクセスの必要がある場合に発生する遅延はより重大です。トラフィックは、エンドユーザーとNASの間を移動してからクラウドに送信され、帰りはその逆経路を取るため、複雑化します。
VPNは、特定のリソースへのきめ細かいアクセス制御のオプションを持たないにも関わらず、ネットワーク全体への過剰なアクセス権を提供してしまうという重大な問題点を持っています。いくつかの有名なデータ流出事件に、VPNを使って盗まれた認証情報が関与しています。攻撃者は正規の認証情報を使用し、VPN経由で接続することで、標的とする企業ネットワークに侵入し、自由に移動することができたのです。さらに、接続するデバイスのセキュリティ状態を確認することができないため、安全でないユーザーデバイスを経由してマルウェアがネットワークに侵入する可能性もあります。
リモートユーザートラフィックのルーティングのためのインテリジェンスを提供するSD-WAN
在宅ワーカーにリモートアクセスを提供するためのもう一つの選択肢として、アプライアンスベースのSD-WANが挙げられます。SD-WANは、VPNでは実現しないインテリジェンスな接続を提供します。Doyle Researchの主席アナリストであるLee Doyle氏は、ホームオフィスのユーザーを企業ネットワークに接続するためにSD-WANを使用するメリットについて、次のように概説しています。
致命的要素となるアプリケーションや、遅延の影響を受けやすいアプリケーションの優先順位付け
クラウドベースサービスへのアクセスの高速化
暗号化、VPN、ファイアウォール、クラウドベースのセキュリティとの統合によるセキュリティ強化
IT管理者向け一元管理ツール
アプライアンスベースのSD-WANの注意点として、主に拠点の接続用に設計されていることです(在宅の個人ユーザーにも対応が可能)。しかし、企業がSD-WANを採用していない場合、何百、何千もの在宅ベースのユーザーに対する実装や設定が簡単にできる技術ではありません。さらに、多種多様な通信機器やセキュリティ機器に巨額の投資が必要となります。
よりシンプルかつ安全で、手軽に拡張可能なソリューションを提供するSASE
CatoのSecure Access Service Edge(SASE)プラットフォームは、多くの従業員が同時にリモートアクセスする場面で、VPNに代わる優れた選択肢となります。このプラットフォームは、スケーラブルなアクセス、最適化された接続性、および統合的な脅威防止といった、大規模リモートアクセスを継続的にサポートするために必要な要件を提供します。
Catoのプラットフォームを使って在宅勤務に対応する場合、企業はリモートユーザーの数に関係なく、簡単に素早く拡張が可能です。地域ごとにハブや、VPNコンセントレータを設置する必要はありません。Catoが所有する、世界規模で分散した数十のPoP(Point of Presence)上にSASEサービスは構築されており、あらゆるロケーションとユーザーに幅広いセキュリティとネットワークサービスを提供します。CatoのPoPに複雑なスケーリングは組み込まれており、組織が購入、設定、導入するインフラストラクチャはありません。エンドユーザーにリモートアクセスを提供する場合、ユーザーのデバイスにクライアントエージェントをインストールするか、セキュアブラウザ経由で特定のアプリケーションにクライアントレスでアクセスできるようにするだけです。
ゼロトラストネットワークアクセスを採用したCato SASEプラットフォームは、ユーザーが必要とする特定のリソースやアプリケーションへのアクセスを許可します。このきめ細やかなセキュリティは、SASEが要求するネットワークアクセスに対するIDベース管理型アプローチが実現します。すべてのトラフィックは、SASEサービスに組み込まれた完全なネットワークセキュリティスタックを通過します。そのため、リモートユーザーからのトラフィックにも、多要素認証と完全なアクセス制御、および脅威防御が適用されます。ユーザーに最も近いPOP内ですべての処理が行われ、企業のネットワークとセキュリティポリシーが完全に適用されます。これにより、ネットワーク上の特定のセキュリティチョークポイントにトラフィックを強制的に送り込むことで起こる「トロンボーン効果」を排除することが可能です。さらにIT管理者は、企業内WANのすべてのトラフィックを一貫して可視化し、制御することができます。
長短期の在宅勤務をサポートするSASE
従業員の一部がオフィスに戻りはじめている一方、多くの従業員は未だ在宅勤務を続けており、さらに継続する可能性すらあります。Cato SASEプラットフォームは、安全性が不十分かつ不便なVPNを経由することなく、通常のネットワーク環境にアクセスすることができる理想的な手段です。
世界中何百万人もの人々が、パンデミックによる不自由... 詳しくはこちら ›
リモートアクセスセキュリティ:VPNの危険性 世界中何百万人もの人々が、パンデミックによる不自由な生活を未だ強いられており、リモートで仕事をしています。リモートワークという働き方が、多くのワーカーにとって今後のスタンダードとなる可能性も出てきました。このような状況を受けて、企業はVPNを利用したリモート・アクセスを提供するようになりましたが、これは長期的な接続方法として正しい選択なのでしょうか。
VPNは手軽な接続性を提供しますが、企業はその安全性と、濫用が組織にもたらすリスクについても考える必要があります。答えは明確であり、リモートアクセスのセキュリティに関するVPNの危険性や不具合を考慮し、長期的な使用を前提とした代替手段の検討の必要があります。代表的な代替手段である、ZTNA(Zero Trust Network Access)を組み込んだSASE(Secure Access Service Edge)プラットフォームは、VPNのセキュリティ上のリスクや、その他のデメリットを軽減します。
リモートアクセスセキュリティを危険に晒すVPN
VPNは一般に、トラフィックの暗号化と単純なユーザー認証によって最低限のセキュリティを提供するものであり、そのため以下のように多くのリスク要因を抱えています。
VPNユーザーに付与される過剰な権限:VPNは、特定のリソースへのきめ細かなユーザーアクセスを提供しません。ユーザーがVPNを使用してリモートで作業する場合、VPNに割り当てられた共有IPアドレスプールを介してネットワークにアクセスします。そのため、ユーザーはネットワーク上にある未承認のリソースを「見る」ことができ、パスワードさえあればアクセスできるようになります。
簡素で不十分な認証:VPNは簡素なユーザー認証を提供しますが、実際にはユーザーとそのデバイスに対するより強固な認証が不可欠です。多要素認証や企業内ディレクトリ・システム、RADIUS(Remote Authentication Dial In User Service)認証サーバーなどによる認証が提供されない場合、攻撃者は盗み出した認証情報を使ってネットワーク中にアクセス可能となります。
ネットワークにマルウェアを拡散する危険性のあるエンドポイント:接続するデバイスのセキュリティ状態を精査しないため、マルウェアがネットワークに侵入する可能性があります。
ユーザーの自宅はフルセキュリティスタックの範囲外:企業は、フルスタックのセキュリティソリューションを本社や支社オフィス内に構築しており、そのセキュリティは従業員の自宅には届きません。そのため、適切なセキュリティを維持するには、ネットワーク上のVPNエンドポイントでセキュリティ・スタックを経由し、トラフィックをルーティングする必要があります。非効率的なルーティングや、ネットワーク遅延の増加の他に、セキュリティ負荷分散のため、複数の拠点でセキュリティスタックの購入・導入・監視・保守の必要となる可能性もあります。
障害の原因となるVPNアプライアンス:大規模なリモートワークをVPNを使ってサポートする企業は、DoS攻撃などによってVPNが故障または機能しなくなった場合、業務の遂行ができなくなるリスクが高まります。アプライアンスが機能しない場合は、すべてのユーザーがアクセスできなくなります。
既知の脆弱性を持つVPNの存在:企業は、脆弱性を監視し、必要に応じてデバイスを更新し、パッチを適用する責任を負っています。パッチが適用されていない重大な欠陥は、組織を危険にさらす可能性があります。例えばイランのハッカーが、VPNの脆弱性を利用して企業や政府のネットワークにバックドアを設置していることが2020年3月に報告されました。知名度の高い複数のVPNブランドが、この攻撃キャンペーンの標的とされました。
ネットワーク全体を複雑化するVPN:データセンターに新たなVPNを追加して管理・設定することにより、ネットワーク管理全体の複雑さが増大し、その結果セキュリティ上の脆弱性が拡大する可能性があります。
ネットワーク管理者によるVPN接続の可視化ができない:IT部門は、VPN接続を可視化できません。これらのアプライアンス上で起こっていることを可視化できないため、問題が発生した場合、快適に利用できないばかりか、誰も根本的な原因を知ることができません。
スプリットトンネルによる攻撃の機会の増大:組織はVPNの容量制限の緩和のため、スプリットトンネルを採用することがあります。このネットワークアーキテクチャの構成では、トラフィックをVPNクライアントから企業ネットワークに誘導し、さらにゲートウェイを経由してインターネットに接続します。この場合、インターネットと企業ネットワークに同時にアクセスすることが可能となります。そのため、パブリック・ネットワーク上の攻撃者がリモート・コンピュータを危険にさらし、更にそれを利用して内部ネットワークにアクセスするリスクが生じます。
VPNのもうひとつの欠点セキュリティ上の問題以外にも、VPNは長期的なリモート・アクセス接続に向いていないという欠点があります。例えば、アプライアンスがサポート可能な同時接続ユーザー数に限りがあります。通常、リモートワークを行う従業員の割合が10%以下の企業では、問題になりません。しかし、それ以上の割合の従業員が同時かつ継続的にアクセスを必要とする場合、VPNの容量をすぐに超過してしまう可能性があります。そのため、より多くの、またはより大きなアプライアンスを導入する必要があり、コストと管理要件が大幅に増加します。企業はこの拡張性の欠如に対処するため、スプリットトンネルなどの回避策を使用しますが、これはトラフィックの可視性とセキュリティを低下させる可能性があります。
安全なリモートアクセス実現のための長期的ソリューションとはVPNはもはや、企業のリモートアクセスにおいて最良の選択肢ではありません。ガートナー社は『Zero Trust Network Access (ZTNA) に関するマーケットガイド』において、2023年までに60%の企業がVPNを廃止し、代わりにZTNAを採用すると予測しています。企業のネットワーク境界の形が変化していることが、ZTNA採用の主な要因です。クラウドワークロード、在宅勤務、モバイル、オンプレミスなどのネットワーク資産を考慮する必要がある場合、VPNアプライアンスのようなポイントソリューションは適したツールではありません。
ZTNAの主なメリットは、誰がどのエンドユーザーデバイスから、どのリソースに、ネットワークアクセスを取得・維持するかをきめ細かく制御できることに凝縮されます。アクセスはセキュリティポリシーに基づき、最小限の権限のみが許可されます。
しかしゼロトラストは、リモートアクセスソリューションの一部にすぎません。ZTNA単体では対処できない、パフォーマンスや継続的なセキュリティに関する問題が存在します。例えば、すべてのトラフィックは宛先に到達する前にセキュリティ検査を通過する必要があります。この場合、ZTNAをSASE(Secure Access Service Edge)ソリューションに完全に統合することが最も効果的です。
SASEは、ZTNA、次世代ファイアウォール(NGFW)などのセキュリティサービスを、SD-WAN、WANの最適化、帯域集約などのネットワークサービスとともに、クラウドネイティブプラットフォームに統合したものです。SASEネットワーク・アーキテクチャを活用する企業は、ZTNAのメリットに加え、管理が簡単かつ拡張性の高い統合ネットワーク、およびセキュリティ・ソリューションの完全なパッケージを利用可能です。CatoのSASEソリューションは、このすべてをクラウドネイティブプラットフォームで提供します。
SASEは、ZTNA、次世代ファイアウォール(NGFW)などのセキュリティサービスを、SD-WAN、WANの最適化、帯域集約などのネットワークサービスとともに、クラウドネイティブプラットフォームに統合したものです。SASEネットワーク・アーキテクチャを活用する企業は、ZTNAのメリットに加え、管理が簡単かつ拡張性の高い統合ネットワーク、およびセキュリティ・ソリューションの完全なパッケージを利用可能です。CatoのSASEソリューションは、このすべてをクラウドネイティブプラットフォームで提供します。
CatoのSASEソリューションは、リモートユーザーが安全かつ最適化された接続を介して、すべてのビジネスアプリケーションにアクセスすることを、クライアントまたはクライアントレスブラウザからのアクセスにより可能にします。グローバルなクラウドネイティブサービスであるCato Cloudは、専用のVPNインフラを導入することなく、任意の数のユーザーに適用するように拡張可能です。リモートワーカーが、最寄りのCatoのPoP(世界中に75以上のPoPを所有)に接続すると、Catoのグローバルなプライベートバックボーンを経由し、オンプレミスまたはクラウドアプリケーションへのトラフィックが最適にルーティングされます。Catoのセキュリティサービスは、リモートユーザーを脅威から保護し、アプリケーションのアクセス制御を実現します。
要約すると、CatoのSASEプラットフォームは、あらゆるリモートワーカーに最適化された安全性の高いアクセスを迅速かつ簡単に提供することを可能とします。リモートワーカーをどうやってサポートするかについて、詳しくは、無料のCato eBook『Work From Anywhere for Everyone』をご参照ください。
WANが何の略語かをご存知の方は多いと思いますが、... 詳しくはこちら ›
知っておくべきネットワーク関連略語23選 WANが何の略語かをご存知の方は多いと思いますが、他のネットワーク関連の略語についてはどうでしょうか。ここでは、WANの最新情報の入手に役立つ主な略語をご紹介します。
SASE
Secure Access Service Edge (セキュア・アクセス・サービス・エッジ、SASE)は、ネットワークとセキュリティの機能をクラウドベースの単一ソリューションに統合したものです。SASEは、SD-WANのネットワーク最適化機能と、次世代ファイアウォール(NGFW)、セキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)などを含むフルセキュリティスタックを統合します。この用語を生み出したガートナーは、SASEは「ネットワークセキュリティの未来」と位置づけています。
SD-WAN
Software-Defined Wide Area Network (SD-WAN) は、ブロードバンド、MPLS、5G/LTEなど複数の異なるメディアにおいて、最適なトラフィックルーティングを提供する仮想WANアーキテクチャです。SD-WANは、利用可能な最良の経路を選択することにより、ブロードバンドインターネット接続よりも優れたパフォーマンスと信頼性を提供します。ただし、SASEの一部としてSD-WANを導入しない場合、グローバルな接続性やネットワークの最適化、WANとインターネットのセキュリティ、クラウドの高速化、リモートユーザーのサポートができないことにご注意ください。
MPLS
Multiprotocol Label Switching (マルチ・プロトコル・ラベル・スイッチング、MPLS) は、長いネットワークアドレスの代わりに短いパスラベルを使って、通信ネットワーク上のトラフィックのルーティングをします。MPLSは、トラフィックフローのパフォーマンスと信頼性を向上させますが、容量に制限があり、高価で柔軟性に欠けるソリューションであることに変わりはありません。
[boxlink link="https://www.catonetworks.com/resources/the-top-seven-use-cases-for-sase?utm_source=blog&utm_medium=top_cta&utm_campaign=7_sase_usecase"] Top 7 Use Cases for SASE | Download eBook [/boxlink]
PoP
A Point of Presence (PoP) (ポイント・オブ・プレゼンス、PoP) は、SASEやSD-WANアプライアンスといったネットワークへのアクセスポイントです。トラフィックはPoPを介することで、これらのネットワークに出入りできます。ガートナーによると、最近台頭しているエッジアプリケーションの多くは「クラウド配信ベースのアプローチが必要であり、多くのPoPを持つプロバイダーが有利である」そうです。
出典: Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge, 29 July 2019, Joe Skorupa, Neil MacDonald
VPN
Virtual Private Network 仮想プライベートネットワーク、VPN)ソリューションは、ネットワーク間、またはネットワークとリモートユーザー間に、暗号化された接続を提供します。VPNを介して送信されるトラフィックは、まるでリモートデバイスが企業リソースへのフルアクセスが可能なネットワークに直接接続されているかのように動作します。VPNはきめ細かなセキュリティ、グローバルな拡張性、パフォーマンスの最適化機能を備えていないため、これまでVPNに依存してきた企業は、クラウドへの移行や、どこでも仕事ができるという現実にそぐわないことに気付きはじめています。
UC
音声、メッセージング、ビデオ会議など、企業のコミュニケーション・サービスを統合することを Unified Communications (ユニファイド・コミュニケーション、UC)といいます。UCは、複数の通信メディアにおいて一貫性のあるユーザーインターフェイスとエクスペリエンスを実現しますが、地理的に分散した高性能で信頼性の高いネットワークを必要とします。
UCaaS
音声、メッセージング、ビデオ会議など、企業のコミュニケーション・サービスを統合することを Unified Communications ユニファイド・コミュニケーション、UC)といいます。UCは、複数の通信メディアにおいて一貫性のあるユーザーインターフェイスとエクスペリエンスを実現しますが、地理的に分散した高性能で信頼性の高いネットワークを必要とします。
QoE
Quality of Experience クオリティ・オブ・エクスペリエンス、QoE)は、ネットワークパフォーマンスがエンドユーザーに与える影響を測定します。QoEは、パフォーマンス問題がアプリケーションのパフォーマンスにほとんど影響を与えない場合もある一方、アプリケーションが使用できなくなる場合もあるという事実を考慮します。例えば、SASEはクラウドベースのアプリケーションのトラフィックを、企業ネットワークを通じて中継する必要がないため、VPNよりも高いQoEを提供します。
PbR
Policy-based Routing (ポリシー・ベース・ルーティング、PbR)は、ネットワーク管理者が定義したポリシーに基づき、ネットワークフローをルーティングします。特定の種類のトラフィックを優先的に処理したり、より高価なMPLS回線などの経路の使用も可能です。PbR機能は、SD-WANやSASEソリューションにおいて提供されています。
5G
第五世代モバイルネットワークは、最新の携帯電話ネットワークです。前世代よりも高速で、より高密度のデバイスをサポートします。SD-WANやSASEは、5Gネットワークに接続し、耐障害性を向上させます。
AIOps
IT運用のための人工知能 (AIOps) は、IT運用の改善ため機械学習とビッグデータを使用します。AIOpsは、IT運用のためのデータ処理、意思決定、応答の自動化を実現します。AIOpsの可能性を最大限に引き出すSASEアーキテクチャは、IT部門の負担を減らし、ユーザー体験や収益、成長などの価値あるビジネスゴールへの取り組みを支援します。
VoIP
Voice over IP (ボイス・オーバー・IP、VoIP)は、ブロードバンドインターネットを介した音声通信を可能とします。ネットワークパケットにエンコードされた電話通信データは、従来の電話網ではなく、インターネット経由で目的地まで送信されます。VoIPはUCソリューションと同様、高性能で信頼性が高く、地理的に分散したネットワークを必要とします。
CDN
Content Delivery Network コンテンツ・デリバリー・ネットワーク、CDN)は、ウェブコンテンツのキャッシュコピーを提供する、地理的に分散したサーバーネットワークです。CDNは、エンドユーザーの近くにサービスを移動することでオリジンサーバーの負荷を軽減し、ウェブサイトのパフォーマンスを向上させます。
NaaS
Network as a Service (NaaS)は、ネットワーキング・サービスのクラウドベース提供モデルです。NaaSでは、サービスプロバイダー独自のインフラを使用して、企業が独自のネットワークを展開・管理することができます。SASEはNaaSの一例であり、SASEのPoPは必要とされるネットワークサービスをすべてクラウドベースのアプライアンスで提供します。
ISP
インターネット・サービス・プロバイダー(ISP) は、インターネットアクセスを顧客に提供します。ISPはインターネットアクセスの他に、電子メール、ウェブホスティング、ドメイン登録などの他のサービスも提供することがあります。
uCPE
Universal Customer Premises Equipment uCPE)は、コンピューター、ストレージ、ネットワークを含む汎用オフザシェルフ型のサーバーです。uCPEはネットワーク機能を仮想化することで、ネットワークとセキュリティサービスを提供します。
NFV
Network Function Virtualization (ネットワーク仮想化、NFV)は、専用アプライアンスの代わりに、仮想化サービスを使ってネットワーク機能を提供します。これにより、uCPEやクラウドプラットフォームを利用して、高価な専用インフラと同等の機能提供が実現します。
VNF
Virtual Network Functions(仮想ネットワーク機能、VNF)は、専用のハードウェアアプライアンスに代わる、仮想化されたネットワークサービスです。VNFは、サービスチェイニングにより互いにリンクさせることで、より複雑な機能を実現することができます。VNFとサービスチェーンの利用は、SASEの代替サービスプロバイダーの間で一般的ですが、SASEに必要なサービスコンバージェンスには欠ける部分があります。
SDN
Software-Defined Networks (ソフトウェア定義ネットワーク、SDN)は、コントロールプレーンとデータプレーンを切り離します。ネットワークはソフトウェアで定義され、管理されるため、より柔軟性と適応性が高くなります。SD-WANおよびSASEは、SDNを企業WANに適用した例です。
LAN
Local Area Networks ローカル・エリア・ネットワーク、LAN)は、組織内のコンピューター同士を繋ぐネットワークを指します。通常LANは、1社以上のISPを介してインターネットに接続されています。
BGP
The Border Gateway Protocol は、異なるインターネット上の自律システム(AS)間で、ルーティング情報を交換するためのプロトコルです。それぞれの自律システムがトラフィックをルーティングできるIPアドレスを通知し、ソースAS から宛先に最も近いASへのトラフィックの移動を実現します。
OSPF
The Open Shortest Path First (オープン・ショーテスト・パス・ファースト、OSPF)プロトコルは、自律システム内のトラフィックをルーティングするために設計されています。ダイクストラ法を使用することで宛先への最短経路を特定し、トラフィックの移動距離を最小限に抑え、可能であれば待ち時間も短縮します。
DNS
The Domain Name Service ドメイン・ネーム・サービス、DNS)は、インターネットの「アドレス帳」です。DNSサーバーは、(catonetworks.comなどの)ドメイン名を、コンピューターがトラフィックをルーティングするために使用するIPアドレスに変換します。
上に挙げた略語は、最も一般的で重要なネットワーク関連の略語のほんの一部です。今日のネットワークがどのように機能するのか、詳細はCato Networksの ブログでご確認ください。
2019年に米ITアドバイザリ企業であるガートナー... 詳しくはこちら ›
5分でわかる:なぜSASEの2年後に「SSE」が提唱されたのか 2019年に米ITアドバイザリ企業であるガートナー社により提唱された、新しいエンタープライズネットワーキングのカテゴリである「SASE」。SASEの概念が提唱された半年後、世界的にコロナウィルスのパンデミックが拡大し、リモートワークの機会が激増しました。これにより多くの企業が、根本的に自社のネットワークとセキュリティを見直さなければならない事態に直面したため、2020年はSASEを導入する企業が飛躍的に増加した「SASE元年」とでもいうべき年となったのです。
しかしその直後の2021年、ガートナーは「クラウド・セキュリティのハイプ・サイクル:2021年」において「SSE(Security Service Edge)」を提唱しています。なぜガートナーはSASE提唱後、たった2年でSSEの提唱に踏み切ったのでしょうか。
SASEとSSEの違い
ガートナーのSSE定義により、SASEはオンプレミスのSD-WANを中心としたネットワークサービスと、クラウドネイティブなセキュリティサービスの組み合わせであることが明確となりました。SASEのネットワークとセキュリティ機能という2つの柱のうち、セキュリティ機能に該当する部分がSSE(下図参照)であると位置付けられています。
SASEは、よりカバー範囲が広く総合的なアプローチにより、安全で最適化されたアクセスを実現することで、ユーザー環境を最適化し、すべてのアクセスとトラフィックを脅威、攻撃、データ損失から保護します。SSEは、統合クラウドネイティブサービスとしてSWGやCASB/DLP、ZTNAを組み合わせたもので、インターネットやSaaS、特定のプライベートアプリケーションへのセキュアなアクセスを提供する一方、WANリソースへのセキュアなアクセスには対応しません。
なぜ今SSEなのか
SD-WANは、本社やデータセンターを経由せずとも、支店や営業所など直接インターネットに接続することを可能とし、これによりSaaSやクラウドへのアクセス速度向上を実現します。しかしながらSD-WANは、ほとんどのワーカーがオフィスに出社するという、コロナ以前の環境に合致したソリューションでした。コロナ禍に多くの企業がリモート/ ハイブリッドワークへ移行したことにより、オフィスから直接インターネット接続することの必要性が低下し、それに伴いSD-WANの必要性も低下しました。一方、リモートワーカーへの保護の必要性は拡大しているため、ガートナーはSASEに比べ導入の難易度もコストも低いSSEを提唱したものと考えられます。
SASEとSSE、組織はどちらを選ぶべきなのか
ガートナーは、2022年に求められるクラウドセキュリティ技術としてSASEとSSEの両方を挙げ、SASEは今後2~5年、SSEは3~5年で変革的インパクトを与えると予測しています。そんな中ITの専門家たちは、今後のITインフラの在り方にどう取り組むべきかの岐路に立っています。最初から完全に統合されたSASEを選ぶべきなのか、SSEの導入からセキュリティの変革をはじめて、段階的にSD-WANレイヤーを統合していくべきなのか、様々なアプローチがあると思います。いずれにせよSSEの導入は、確実に将来のネットワーク変革やアーキテクチャの統合、ビジネススピードの向上、運用負荷とコストの軽減を実現する戦略的な意思決定といえます。業界の流れはSSE提唱後も変わらず、最終的にSASEへと行き着くものと予想されています。
Cato SSE 360は、SSEを拡張し、すべてのトラフィックに対する完全な可視化と制御、グローバルなアプリケーションアクセスの最適化を提供します。完全なシングルベンダーによるSASEへのシームレスな接続を、必要に応じてサポートする唯一のサービスであるCato SSE 360をより詳しく知るには、ホワイトペーパーをお読みください。
デジタルという国境のない新たな世界では、世界中にい... 詳しくはこちら ›
活動開始:タグ・ホイヤー・ポルシェ・フォーミュラEチームとの新たなパートナーシップ デジタルという国境のない新たな世界では、世界中にいる同僚やパートナーと共にイノベーションを起こすことが可能です。成長めざましいABB FIAフォーミュラE世界選手権は、モータースポーツのみならず、自動車業界全体にとって最新のイノベーションの実験場となっています。そこでCatoは、タグ・ホイヤー・ポルシェ・フォーミュラEチームの公式SASEパートナーとして、パートナーシップを開始したことをご報告します。
1950年代から続く壮大なレースの歴史を持つポルシェは、フォーミュラEの第6シーズンにおいて、フォーミュラカーレースへ待望の上位復帰を果たすなど、積極的に過去3年間前進し続けてきました。昨シーズンのメキシコシティでは上位2位を独占し、フォーミュラE初優勝を果たしました。
Catoは、お客様がロケーションに関わらず安全に協業できるよう、ポイントソリューションの複雑性を排除し、安全なネットワークアーキテクチャを単一ベンダーのSASEクラウドプラットフォームとして提供することで支援します。世界的なモータースポーツ大会はしばしば「旅するサーカス」に例えられ、各国で週次または月次でレースを行い、荷物をまとめたら次の国へと移動します。そういったフォーミュラEのレースシーズンの性質と、チームのテクノロジーとデータの広範な使用を考慮して、クラウドネイティブなネットワークとセキュリティインフラをチーム戦略の基礎としました。
画像を拡大するにはここをクリック
すべての企業組織の決断と同様、タグ・ホイヤー・ポルシェチームによる決断は、タイヤの温度からバッテリーの消耗まで、あらゆるデータポイントをリアルタイムで分析する必要があります。さらにサーキット上で違いを生み出すためには、チーム本部が地球の裏側にあってもチームとして瞬時に判断を下すことが不可欠です。
フォーミュラEの各イベントと広範な車両開発を通じて、チームが収集した膨大なデータセットによっ てそれらの判断は下されます。このデータに基づくインサイトは、レース中のチームパフォーマンスに大きく影響します。そのため、セキュリティと運用上のリスクを最小限に抑え、最適なアプリケーションとデータアクセスを実現する方法をとる必要があるのです。
Catoは、タグ・ホイヤー・ポルシェ・フォーミュラEチームのシーズンを通じたオペレーションの最適化と、ネットワークとSaaSアプリケーションへの安全なアクセスを可能とするため、重要な役割を担っています。私たちは今シーズンに向けて、わくわくしながらも楽観的に、勝利を共に掴むため努力しています。
“2023年1月14日、メキシコシティで開幕するフォーミュラEシーズン9では、タグ・ホイヤー・ポルシェ・フォーミュラEチームへのご声援をお願いします。今後数週間以内に、パートナーシップに関する詳細を発表しますので、ご期待ください。”
タグ・ホイヤー・ポルシェ・フォーミュラEチームの詳細はこちら: https://motorsports.porsche.com/international/en/category/formulae
ある窮地を描いた短いストーリーをお読みください ス... 詳しくはこちら ›
コダックのフィルムやノキアの携帯電話は、未だに利用できる? ある窮地を描いた短いストーリーをお読みください
ストーリー
あなたは、サーバー、ハードディスク、マウントラックを満載した巨大なコンテナ船の船長です。今荒波の中を進んでいます。重すぎる積荷で船はバランスを崩し、目的地まで安全にたどり着くことが困難な状況です。突然、目前に大きな岩が迫ってきました。過重により、舵を思うように切ることができず、衝突を免れそうにありません。あなたは警報を鳴らすと同時に、躊躇することなく、救命ボート1隻にありったけの積荷を積み込み始めます。船員たちは遠巻きに戸惑いながらあなたの行動を見守っています。しかし、あなたはポジティブです。自分自身、船員たちそしてすべての積荷を守ることができと信じています。ことの発端が積荷の過重重であることは、もはや眼中にありません。
正当な行動? 無駄な抵抗? 何とも言えない?
同じような窮地に立たされた場合、どのような行動をとりますか?
貴社は、収益の50~90%をアプライアンスベースのポイントソリューションの再販で得ています。利益率は低く、差別化を図り、提供する価値を顧客に説明することがますます難しくなっています。優秀なエンジニアや営業担当者は、クラウドソリューションの販売や将来のキャリアアップで多忙を極めているため、採用することが困難です。
今目前に荒波が押し寄せています。舵取りが刻一刻と困難になっています。
最近の状況を見てみる
2021年11月16日、Riverbed Technology社は連邦破産法第11条の適用申請を発表しました。Check Point Software Technologies社は、つい最近ナスダック100指数から除外されました。一方で、ネットワークセキュリティビジネスが急成長し続ける中、競合他社はかつてない最高の時価総額と収益成長率を更新しています。Riverbed社とCheck Point社の共通点は何でしょうか? 先ず、両社ともネットワークとネットワークセキュリティのコンバージェンスに取り組んでいません。次に、依然として物理的または仮想的なエッジアプライアンスに大きく依存し、ソリューションをサービスとしてクラウドで提供していません。SD-WANとネットワークアクセラレーションを専業とする大半の企業が、SASEへの取り組みの一環として買収されていく中(VMware社がVeloCloud社、PAN社がCloudGenix社、Cisco社がViptela社を買収)、Riverbed社はアプライアンスベースのポイントソリューションの立場を貫きました。セキュリティ業界の大手ベンダーの大半が、SASEのコンバージェンスやクラウドへの統合に積極的に移行する中(PAN社、Fortinet社、VMware社、Cisco社など)、Check Point社はネットワーキングから距離を置き、クラウド配信ソリューションの立ち上げに出遅れていました。
これらはすべて、ITアーキテクチャの根本的なシフトを示す、明らかな前兆であり、警戒信号といえます。このような傾向を無視することは、30メートルの大波にもまれながら救命ボートに積荷を移し替える行動に等しいといえます。再販業者やサービスプロバイダーが、レガシー技術にしがみつくことはもはや現実的ではありません。進化はもはや勇猛果敢なイノベーターに限られたことではなく、どの企業も現状を見据えて進化していく必要があります。
ビジネスの展開方法を決めるのはあなたです。
次にSASEについて見てみましょう。
クラウドネイティブSASE再販業者の状況
クラウドネイティブSASEソリューション再販業者やサービスプロバイダーは、ネットワークを俊敏かつ柔軟性のあるメンテナンスフリー環境に変革して顧客を支援します。
差別化されたサービスを提供している再販業者やサービスプロバイダーは、デジタルトランスフォーメーションに取り組む企業から高い評価を受けています。
顧客とのパートナーシップを通じて、将来の財務を担保する、経常収益を確保できます。
マネージドサービスを購入する顧客にもメリットがもたらされます。SASEクラウドプロバイダーは、業界のベストプラクティスに従って、ネットワークを管理し、適切な人材を派遣およびメンテナンス、パッチ適用、更新作業などをすべて行います。プロバイダーは、すぐに利用できる新機能を顧客にリリースし、サービスを提供するネットワークやセキュリティコンポーネントに全責任を負います。このように「責任を一手に引き受けている」SASEパートナーは、比類のないSLAによる恩恵を受けています。
SASEパートナーは、SASEを扱うことで高い利益率を達成すると同時に、専門サービスやマネージドサービスを追加して、さらに利幅を拡大しています。
SASEパートナーは、最新の技術を習得して、現状維持の考えから脱却するように顧客に提案して、自信を持って変革を推進しています。
SASEパートナーの顧客が、アプライアンスベースのソリューションに戻ることはあり得ません。信頼できるパートナーが、拡張性と耐障害性に優れたクラウドネイティブネットワークとクラウドサービスとして提供される完全なセキュリティスタックを提供しています。
また、SASEの専門家やソートリーダーになって、ブログを投稿しているパートナーの従業員もいます。
ここで最も重要なのは、パートナーと共に荒波を乗り切れることです。安全な船と信頼できる船長は、乗客を守ることができます。
今後の見通し:変化するビジネス環境において成功を果たすには
クラウド提供ソリューションの勢力が広がっています。世界中でオンプレミスのデータセンターがクラウドデータセンターに置き換わっています。オンプレミスのアプリケーションのほとんどが、クラウドアプリケーションに移行しています。2019年に世界中で発生したコロナ危機が、リモートワークの導入に拍車をかけ、クラウドとSASEの採用を加速さています。
世界をリードするアナリストが予測したとおり、今まさに革新的なSASEが、ネットワーキングとネットワークセキュリティを変革しています。2022年から2025年までが、SASEの採用が企業顧客の主流となる移行期です。1
すべての音楽がクラウドにあります。もはやCDやMP3プレーヤーは必要ありません。誰もがスマートフォンを使っています。クラウドとコンバージェンスが、私たちが日々利用している技術を革新しています。片やネットワークとネットワークセキュリティは、まだ道半ばです。このような市場のシフトは、一朝一夕ではありません。変化を察知している経営者は、現状を見据えて収益を確保する手段を講じています。
アプライアンスがすべてなくなってしまうわけではありません。中にはアプライアンスを選択する顧客も一部いるはずです。しかし、それらは過去の産物です。CDやコダックのフィルム、ノキアの旧式の携帯電話をまだ利用できるのと同じように、エッジアプライアンスも根強く残るはずです。しかし、貴社のビジネスが旧式のソリューションに頼っていると見なされることは望ましいことでしょうか? 貴社のビジネスがレガシーソリューションの成否にかかっていることは望ましいことでしょうか?
前向きな選択肢を選ぶべきではないでしょうか。
1 Gartner, “Hype Cycle for Enterprise Networking ” Andrew Lerner. 2021年10月11日
GARTNER(ガートナー)は、米国およびその他の国におけるGartner, Inc.および/またはその関連会社の登録商標およびサービスマークであり、本書では同社の許可に基づいて使用しています。
SD-WANネットワークは、特にMPLSと比較した... 詳しくはこちら ›
グローバル企業にとってSD-WANは十分なのか? SD-WANネットワークは、特にMPLSと比較した場合、組織に複数のメリットを提供します。SD-WANはクラウドアプリケーションのパフォーマンスを向上させ、WANコストを削減し、ビジネスの機動性を向上させます。ただしSD-WANには、今日の組織がその選択や導入を計画する段階で考慮すべきいくつかのデメリットもあります。SD-WANの評価・導入をしている企業にとって、考慮すべき重要事項の一覧が当記事で確認できます。この内容は、eブック「SD-WANのデメリット」に基づいています。
ラストマイルに関する考察
SD-WANはMPLSと比べ、組織にとって柔軟性とコスト効率というメリットを提供します。ラストマイルについては、SD-WANユーザーはMPLSやファイバー、ブロードバンド、LTE/4Gなどのラストマイル・サービスなど、好みのサービスを選択することができます。ラストマイルソリューションを選択、決定する際に考慮すべき基準は次の通りです。
費用
冗長性(可用性を確保するため
信頼性
ラストマイルの最適化についてはこちらをご覧ください。
ミドルマイルに関する考察
MPLSはミドルマイル全体において、予測可能性と安定性を提供します。組織はSD-WANのミドルマイルを設計する場合、それらと同じ機能を提供するソリューションを選ぶ必要があります。
この場合、予測不可能なインターネットへの依存は推奨されません。ステートレスであるルーターは、コントロールプレーンのインテリジェンスが制限されています。したがって、アプリケーションの要件や現在のネットワークレベルに基づいたルーティングの決定が行われるわけではありません。その代わり、プロバイダーのビジネス的な選択が優先されることが多くあります。
信頼性の高いグローバルな接続性についてはこちらをご覧ください。
セキュリティに関する考察
分散型アーキテクチャでは、複数のエッジとデータセンターをサポートできるセキュリティソリューションが必要です。現在のところ、企業の主な選択肢は次の4つです。
SD-WANファイアウォール長所:SD-WANアプライアンスに組み込まれている短所:ユーザートラフィックの検査をしない
統合脅威管理デバイスの購入長所:ユーザートラフィックの検査をする短所:拠点ごとにデバイスが必要であり、コストと手間がかかる
クラウドベースのセキュリティ長所:各エッジでのファイアウォールを排除短所:データセンターのファイアウォール、SD-WAN、クラウドのセキュリティデバイスなど、複数のデバイスをベースとするため、高コストかつ複雑。
統合型ソリューションSASE(Secure Access Service Edge):SD-WANをエッジに、セキュリティを中央にそれぞれ統合し、ポリシー管理と分析を1つの場所で行う。
クラウドアクセスの最適化に関する考察
最新のネットワークにおいては、組織のユーザー・拠点・データセンターから外部のデータセンターとクラウドアプリケーションにアクセスする必要があります。インターネットへの依存は、パフォーマンスや可用性の面でリスクが高すぎます。
プレミアム接続を提供するソリューションを選択するか、ターゲットクラウドインスタンスにできるだけ近いエッジからトラフィックを出力するクラウドネットワークを選択することが推奨されます。
(リンク)SD-WANのデメリット|eBookを読む
ネットワーク監視に関する考察
ネットワークを監視する場合、企業は適切に問題を特定し、ISPでチケットを作成し、問題が解決するまで協力する必要があります。
これを組織化し、ビジネスに影響を与える可能性のあるダウンタイムの発生を防ぐために、24時間365日のサポートと監視の設定が推奨されます。
SD-WANを管理する際の考察
SD-WANに移行するには、ネットワークそのものだけでなく、すべてのラストマイルISPとの関係をどのように管理するか決定する必要があります。これらは内部で管理することも、プロバイダーにアウトソースすることもできます。以下の課題についてよく考えてみてください。
複数のプロバイダーを直接管理する場合と、単一の外部アグリゲーターを通じて管理する場合では、どちらが簡単か?
導入や統合について、どの程度コントロールする必要があるか?
社内の人材が必要とする、時間とリソースの優先順位は?
結論
今日の組織は、クラウドベースのアプリケーションの利用増加と、モバイルユーザーのサポートへの対応ができるようシフトする必要があります。多くの人がSD-WANを有効なオプションとみなしていますが、本当にそれで十分でしょうか?このブログ記事を参考に、SD-WAN導入の可否、およびその導入方法を評価してみてください。詳しくは完全版のeBookをお読みください。
SASEについてもっと知りたい方は、ご連絡ください。
リモートワーカーの急増とZTNAへの移行 従来、I... 詳しくはこちら ›
リモートワーク環境におけるZTNAの優位性 リモートワーカーの急増とZTNAへの移行
従来、IT組織はVPN接続を利用して企業ネットワークへのリモートアクセス環境をユーザーに提供してきました。しかし、COVID-19の影響によるリモートワーカーの急増に伴い、VPN接続の容量が従業員の快適な同時アクセスを妨げるという現実に多くの企業が直面しています。現在、世界中で外出制限等は緩和されていますが、リモートワークの必要性は高まり続けており、リモートワーカーに対するこれまで以上のサポートが求められています。
ZTNA(ゼロトラストネットワークアクセス)は、明確に定義されたアクセス制御ポリシーに基づいて、組織のアプリケーションやデータ、サービスへの安全なリモートアクセスを提供するITセキュリティソリューションです。LANへの完全なアクセスを許可するVPNとは異なり、ZTNAソリューションはデフォルトでアクセスを拒否し、ユーザーが明示的に許可されたサービスへのアクセスのみが提供されます。ガートナー社によると、2022年までに新しいビジネスアプリケーションの約80%がZTNAを通じてアクセスされ、2023年までに企業の約60%がリモートアクセスVPNを廃止し、ZTNAに移行すると予想されています。
広域ネットワークアクセスの境界をなくすZTNA
従来のネットワークセキュリティは、その周辺部のみを保護しているに過ぎませんでした。許可されたネットワーク認証情報を持つユーザーは、ネットワーク上のすべての情報と内部リソースにアクセスすることができ、規制対象やビジネスクリティカルな情報にもアクセスできる状況にあったのです。従業員がオフィス内でデータにアクセスする場合や、情報がオンプレミスで一箇所に保存されている場合、広域ネットワーク境界は問題なく機能していましたが、ネットワークの境界外にあるクラウドデータへのアクセスの必要性や、リモートユーザーの劇的な増加により、データリソースをグループごとに保護するZTNAに移行する企業が増えています。
またデータ漏洩の約30%は組織内部に起因しますが、最小特権アクセス、多要素認証、マイクロセグメンテーションといったゼロトラストの原則を活用することで、ネットワーク内の個々のユーザーに対して厳格な管理を実施できます。ゼロトラスト・アプローチではネットワークの内外を問わず、すべてのユーザーが脅威とみなされ、各エントリーポイントでの認証が必要となります。ZTNAでは、広域ネットワーク境界に依存せずアクセスを許可するための明確な方法が確立されています。
ネットワークアクセスにおけるゼロトラストのメリット
ゼロ・トラストのコンセプトは、企業を保護し、外部からの脅威を阻止し、有害な内部脅威から個人を保護するための様々なポリシーを提供します。ゼロトラストは検証の概念に焦点を当て、次の点で組織にメリットをもたらします。
1. ネットワークの可視化
データとコンピューティングデバイスを横断し、組織全体の脅威を監視するアプローチを強化することで、ネットワークに対する洞察力が高まり、アクセス・リクエストごとのタイムスタンプ、アプリケーション、ユーザー、場所をより意識するようになります。標準的でない動作はすべてセキュリティ・インフラによってフラグが立てられ、リアルタイムですべてのアクティビティを追跡することが可能になります。ネットワーク全体の可視性を高めることで、誰が、あるいは何がネットワークへのアクセスを許可されているか、より深く理解することができます。
2. データ保護の向上
データ漏洩は、サイバー犯罪者が効果的に企業の身代金を要求する方法の一つですが、ZTNAはマルウェアやネットワークの大部分への不当なアクセスを防ぎ、攻撃の可能性を減らすことができます。また、たとえ侵入されたとしても、ネットワークへのアクセスが最小限であれば、被害を最小限に食い止めることができ、ビジネスだけでなく顧客や知的財産も保護することになります。その結果、顧客からの信頼を高め、データ流出から生じる混乱の収束のための財政的負担も回避することができます。
3. 遠隔地の従業員へのセキュリティ強化
COVID-19から生じた最も一般的なビジネス適応はリモートワークでした。しかしリモートワークが広く受け入れられるようになったにもかかわらず、ネットワークやデバイスのセキュリティ対策が不十分なためにリスクが高まっています。世界中で働くワーカーを抱える企業は、非効率なファイアウォールのためにリスクにさらされる可能性を持っています。
ZTNAはあらゆるレベルでユーザーの識別と確認を要求し、プライベートネットワークと別のパブリックネットワークの間にファイアウォールを設置する「境界の概念」に基づいています。すべてのユーザー、デバイス、アプリケーションは、アクセスのためのセキュリティレイヤーが保証され、世界中のどこにいても、データがどこに保管されていても、ワーカーに対してより強固な保護が提供されます。
4. 手作業によるIT管理の必要性を低減
ZTNAのコンセプトは継続的な監視に重点を置いており、自動化されたプロセスを取り入れることで、組織のITチームはよりシンプルに物事を進めることが可能となります。すべてを手作業で行っている場合、各リクエストの承認に多くの時間がかかるため、生産性やワークフローが低下し、ビジネスに悪影響を及ぼすことになります。
自動化パッケージは、特定のセキュリティ識別子に従ってアクセス要求の判断をプログラムすることができるため、ITチームがすべてのリクエストを手動で承認する必要がありません。また手動アクセスはワークフローの低下だけでなく、ヒューマンエラーの可能性も増大させます。自動化により全てが解決するわけではありませんが、自動化によってチームは煩雑な管理業務に追われることなく、ビジネスの改善と革新に取り組むことができるようになります。
リモートワークをサポートする方法について、詳しくはCato eBook「Work From Anywhere for Everyone」をご覧ください。
SASE(セキュアアクセスサービスエッジ)は、20... 詳しくはこちら ›
SASEにより廃れゆくVPN:ゼロトラストネットワークアクセス(ZTNA)時代の幕開け SASE(セキュアアクセスサービスエッジ)は、2019年にガートナー社により提唱された、新しいエンタープライズ・テクノロジーのカテゴリです。SASEは、ネットワークおよび、エンドポイントセキュリティ・ソリューションの機能を、統合したされたグローバルなクラウドネイティブサービスに集約します。現在、SASEという用語は新たなトレンドとなっており、多くのベンダーは、真にSASEプラットフォームによるメリットを提供していないにも関わらず、自社製品にSASEという用語を取り入れています。それによって、SASE導入を検討する企業は、どのベンダーが真に要件を満たしているのか特定しなければならないという課題に直面しています。当記事では、SASEの背景的情報と、この新たなテクノロジーが今日の企業ネットワークに革命をもたらし、その過程で従来のVPNに取って代わりつつある理由について説明します。
SaaSアプリケーションと、IaaS型パブリッククラウド・プラットフォーム上に存在する多くのワークロードのために、クラウドで実行されるエンタープライズ・アプリケーションがますます増加傾向にあります。さらに、Covid19以降の「ニューノーマル」時代は、日常的にクラウドにアクセスし、自宅等からリモート環境で働く従業員数が右肩上がりで増えており、企業はこのクラウドの変革とモビリティの変化により、アクセスネットワークの設計方法を再考する必要に迫られています。
何故従来のVPNは時代にそぐわなくなったのでしょうか。典型的なVPNベースのアーキテクチャは、ユーザーが企業ネットワーク内のネットワークセグメントにアクセスできるようにする、ネットワーク中心のソリューションです。通常、アプライアンスとアクセス制御リスト(ACL)、ファイアウォールポリシーが必要であり、ユーザーからアプリケーションに対するきめ細かいマッピングは提供されません。企業の境界がインターネットにまで拡大することにより、リモートアクセスVPNなどのネットワーク中心のソリューションは時代遅れになったのです。従来のVPNなどのネットワーク中心のアプローチの落とし穴は、セキュリティやパフォーマンス、柔軟性、コストの観点から次のように要約できます。
セキュリティ:従来のVPNは、特定のアプリケーションアクセスに対する個々のユーザーのニーズを加味せず、ユーザーをネットワークセグメントに配置します。それらはネットワークアクセスに焦点を合わせており、ユーザーによる完全なネットワークアクセス要求に対して真偽の判断を提供するものですします。VPNサービスのユーザー側のアプリケーション需要に対するこの融通の効かなさと、アプリケーション関連のアクティビティに対するユーザーの可視性の欠如は、セキュリティリスクを大幅に増大させます。第三者のVPNクレデンシャルを盗むことができる悪意のある存在は、知的財産や顧客情報など、組織の機密データを手に入れるため、大胆な行動に出る可能性があります。多要素認証機能の追加がこれらの事故防止に一役買ってはいますが、それでもラテラルムーブメントの非常に大きなリスクは残ります。一方、「ゼロトラスト」の原則を採用するSASEは、データ制御と企業リソースの可視性を提供します。
パフォーマンス:SASEモデルは信頼の置けるブローカーを利用して、特定のプライベート・アプリケーションと、許可を与えられたユーザー間の接続を仲介します。ITチームはゼロトラストを基底としながら、コンテキスト(ID、デバイスなど)に基づいた接続の提供を可能とします。SASEはVPNとは異なり、ネットワークアクセスではなく、なしでアプリケーションにアクセスする手段と、オープンなインターネットからアプリケーションをマスクする機能を提供します。企業がクラウドでSaaSアプリケーションをサブスクライブする場合、パブリッククラウドによりホストされた複数のミラーサイトにアクセスすることが望ましいですを望んでいます。つまり、ユーザーに最適なパフォーマンスを提供するには、エンドポイントから最寄りのクラウドサービスプロバイダーの拠点にトラフィックを転送する必要があります。しかし従来のVPNモデルのセキュリティチェックは、トラフィックを集中型ハブにバックホール(中継)することに依存しています。今日、SaaSを利用した重要なビジネスアプリケーションが多数存在するため、データセンター中心のネットワークインフラストラクチャは、アプリケーションに多大なパフォーマンスのペナルティを課し、全体的なユーザーエクスペリエンスを低下させます。
柔軟性:VPNソリューションは、特定数のユーザーとレガシーネットワークに根ざしているため、柔軟性がありません。このようなソリューションは、トラフィックとユーザー数の変化に応じてスケールを変更することが困難です。ソリューションをスケールアップするために、組織は新しいハードウェアとライセンスを購入し、新しいリソースのインストールと構成にOPEXを割く必要があります。対してスケールダウンの機能はほとんど無視され、使用しない容量とライセンスへの料金を結局支払うことになります。COVID-19のパンデミックにより、ギグワーカーへのより大きな依存が加速しています。プロジェクトの開始・終了と共に変化する人的移動に伴い、組織は双方向のリモートアクセスを拡張する必要がありますが、多くの場合、実践的なIT作業が必要になります。クラウドネイティブのマルチテナントSASEソリューションは、手作業を最小限に抑え、必要に応じてネットワークやコンピュータの設備などのリソースを提供できるよう予測・準備する時間を合理化します。
コスト:SASEソリューションの導入により、企業ネットワークの日常業務の多くの側面でメリットを確認できます。SASEは、企業が複数のポイントプロダクトに代わって、単一のプラットフォームの使用を実現することで、コストを削減します。エンタープライズネットワーク全体でさまざまなポイントソリューションを調達、プロビジョニング、監視、保守することで、CAPEXとOPEXの両方が膨れ上がります向上します。
組織の外部に配置されるユーザー、デバイス、アプリケーション、およびデータが増えるにつれ、既存のVPNアーキテクチャは不十分なものとなっています。SASEは、クラウドから必要なすべてのネットワーキングとセキュリティテクノロジーを提供し、「サービスとして」提供することで、一般的なVPNソリューションの欠点を克服することを目的としています。
SASEの詳細については、eBook「The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)」でご確認ください。 。また認定SASEエキスパートになることもできます。
CatoのSASEプラットフォームを実際にご覧いただくには、デモをご予約いただくか、今すぐお問い合わせください。
COVID-19の発生により、ビジネスVPNの使用... 詳しくはこちら ›
企業向けVPNの欠点 COVID-19の発生により、ビジネスVPNの使用がごく短期間で急増しました。具体的に、VPNを使った通信量は複数の地域で、数週間で200%以上増加しました。ほとんどの企業はオフィスが閉鎖されているにもかかわらず、VPNを使用し率先して自宅から迅速に仕事を始めることによって、ビジネスの継続が可能となりました。
しかしニューノーマルが定着するにつれ、多くの企業がVPNにはいくつかの欠点が存在することを理解しつつあります。リモートアクセスVPNにおいては、スケーラビリティとパフォーマンス、セキュリティのすべてが課題となり得ます。SDP(ソフトウェア定義の境界)は、企業にこれらVPNの欠点に対するソリューションを提供します。SDP(ZTNAまたはゼロトラストネットワークアクセスとも呼ばれる)は、リモートアクセスとネットワークセキュリティにソフトウェア定義のアプローチを採用し、それらの課題への対処をより長期的で持続可能な方法で促進します。
それでは、SDPと従来のリモートアクセスVPNとの明確な違いは一体何なのかを確認してみましょう。
VPNの利点
リモートアクセスVPNは、企業にリモート作業を可能にする手段を提供します。ほとんどの場合、WAN内の仮想アプライアンスまたは物理アプライアンス、パブリックインターネット、および従業員のPC上のクライアントソフトウェアは、在宅勤務の主導をサポートするのに十分です。多くの場合、そのような厳密な種類のリモートアクセスVPN構成は、パンデミック発生の際に企業が活動を続けるのに役立ちました。
VPNの欠点
リモートアクセスVPNにより、一部の企業が窮地を脱したのは事実ですが、使用量の増加により、いくつかのVPNの大きな欠点がさらに拡大したのも事実です。
#1:継続使用のために設計されていない
企業全体をWANに接続することは、リモートアクセスVPNの活用事例ではありませんでした。企業は従来、ごく一部の従業員を短期間接続するためにVPNソリューションを購入していました。大規模な自宅からの作業への移行に伴い、既存のVPNインフラストラクチャは、意図されていない継続的な作業量のサポートを余儀なくされています。これにより、VPNサーバーが過度の負荷にさらされ、パフォーマンスとユーザーエクスペリエンスに悪影響を与える可能性のある環境が引き起こされます。
#2:スケーラビリティを妨げる複雑さ
企業が追加のVPNアプライアンスやVPNコンセントレーターを使用することで、VPNの過負荷の問題に対処しようとすることにより、ネットワークにコストと複雑さが加算されます。同様に、VPNアプライアンスをHA(高可用性)構成にするとコストが増加し、より複雑な構成が必要になります。
さらに、VPNサーバーはリモートアクセスを提供しますが、エンタープライズ・グレードのセキュリティと監視は提供されないため、管理ソリューションとセキュリティツールを使って補完する必要があります。これら追加のアプライアンスとアプリケーションは、さらに多くの構成とメンテナンスにつながります。追加のソリューションが階層化されるたびに、ネットワークはより複雑になり、より拡張が困難となります。
#3:きめ細やかなセキュリティの欠如
VPNアプライアンスは、典型的なCastle-and-Moat(城と堀)セキュリティの例です。ユーザーがVPN経由で接続すると、サブネットの他の部分にも事実上無制限にアクセス可能となります。これは一部の企業においては、管理者以外のユーザーが重要なインフラストラクチャに、不必要にネットワークアクセスできることを意味します。さらにCastle-and-Moatアプローチは、マルウェアの拡散とデータ侵害のリスクを増加します。
多くの場合、リモートアクセスVPNにきめ細かいセキュリティ制御を追加するためには、企業は追加のセキュリティポイントソリューションを配備する必要がありますが、これによって構成ミスや人的エラーの可能性が発生する他、コストが増し、より複雑となります。
#4:予測できないパフォーマンス
VPN接続はパブリックインターネットを介することで作成されるため、ネットワークパフォーマンスはパブリックインターネットのパフォーマンスに直接関係しています。インターネットに共通するジッタ(パケット遅延の変動)とパケットロスにより、ミッションクリティカルなアプリとユーザーエクスペリエンスに大打撃を与える可能性があります。さらに、グローバル・フットプリント指標を持つ企業は、さらなるVPNトンネリングのオーバーヘッドが追加されることを考慮するまでもなく、世界中にインターネットトラフィックを送信しようとすると、重大な遅延が課題となることを理解しています。
#5:可用性への低い信頼性
予測不可能なパフォーマンスの範囲を超えて、リモートアクセスをパブリックインターネットに依存する企業には、可用性の保証がありません。パブリックインターネットの停止が組織全体の生産性の低下を意味する場合、パブリックインターネットのみに依存するリスクは、そのメリットを遥かに上回る可能性があります。
SDPのリモートアクセスVPNの欠点への対処法
総合的なSecure Access Service Edge(またはSASE)プラットフォームの一部として使用される場合、SDPはVPNの欠点に直接対処し、企業にスケーラブルかつ信頼性の高いリモートネットワークアクセスへのソリューションを提供します。
SASEは、ネットワークとセキュリティ機能をクラウドネイティブサービスに統合する、エンタープライズネットワーキングのカテゴリのひとつです。SASEフレームワークの重要な一部であるSDPは、グローバル・パフォーマンスの最適化と脅威からの保護、きめ細かいアクセス制御が組み込まれた、リモートアプリケーションアクセスへの最新アプローチです。
次の通りSDPの考え方は簡単です:
√ ユーザーを安全に認証(例:MFAと暗号化されたネットワークプロトコルを使用)
√ プロファイルと特定のアプリケーションに基づいてアクセス権を割り当て
√ 各ユーザーセッション中に継続的に行われるリスク評価
一例として、CatoのSASEプラットフォームの導入により、企業はSASEとSDPを使用して次のようなリモートアクセスソリューションが利用可能となります:
継続的なアクセスを意図した構築。グローバルに分散されたCatoクラウドネイティブプラットフォームは、継続的なアクセスを目的として構築されています。クラウドネイティブなインフラで、単一のVPNアプライアンスへの過負荷を企業が心配する必要がありません。さらにCatoのグローバル・プライベートバックボーンには、パフォーマンスの最適化およびHAが組み込まれているため、VPNがパブリックインターネットに依存する原因となったパフォーマンス問題の多くが解消されます。
高いスケーラビリティの実現。拡張のためのアプライアンスを企業が追加する必要がありません。SDPとSASEにより、クラウドの高いスケーラビリティがリモートアクセスにもたらされます。
きめ細やかなアクセス制御を提供。SDPの使用により、企業はアプリケーションレベルでユーザープロファイルに基づいたアクセス制御を設計できます。これによってネットワークレベルでのVPNのアプローチと比較して、リスクが大幅に軽減されます。
積極的な脅威からの保護。ネットワークトラフィックはSDPを使用することにより、悪意のある動作を検出・防止するように設計された、堅牢なクラウドベースのセキュリティスタックを使用して、エンドツーエンドなパケットの検査を通過します。これは追加のセキュリティソリューションを展開・維持する必要なしに発生します。
99.999%の稼働率を誇るSLAによるサポート。Catoのグローバルプライベートバックボーンは、Tier-1 ISPにより相互接続され、99.999%稼働率のSLAにより支えられた、70を超えるPoPで構成されています。この可用性保証により、従業員全員が遠隔地にいるときに雲泥の差が生まれる可能性があります。
これらのすべてが一体となり、SASEとSDPを理想的なリモートアクセスVPNの代替手段にします。
リモートワークやSDP、SASEについてより詳しく知りたいですか?
ニューノーマルに対応するためには、リモートアクセスVPNが長期的なソリューションとして適切ではない可能性について企業は理解しつつあります。SASEとSDPが拡張可能かつ安全で信頼性が高く、高性能なリモートワークの実現のため理想的であることも多くの人が学んでいます。
レガシーVPNの持つ課題に、SDPとSASEがどのように対処できるかを詳しく知りたい場合は、Work from Anywhere forEveryone(eBook)をダウンロードしてください。ご自身で実際にCato SASEプラットフォームの動作を確認したい場合は、今すぐお問い合わせいただくか、デモにご登録ください。
Cato Networksは、既存のITアプローチ... 詳しくはこちら ›
Total Economic Impact™(EI:総経済効果): CatoがROI246%およびNPV433万ドルを達成 Cato Networksは、既存のITアプローチに伴う複雑さ、コスト、リスクを排除する、クラウドネイティブアーキテクチャーを通じて、次世代のネットワークとネットワークセキュリティを実現するというビジョンとともに設立されました。ITチームの負担をゼロにして、新しい機能を素早く導入し、セキュリティ体制を維持することを目指しています。
果たして、この目標は達成されているのでしょうか?
Cato Networksがもたらす潜在的なインパクトとROIを、Catoをご検討されるお客様にご判断いただくために、このたびForrester Consulting社にTotal Economic Impact(TEI:総経済効果)を委託しました。実は、調査対象のお客様がCato SASEクラウドで達成している成果に、私どもも正直驚いています。
Cato Networksがコスト削減、間接費の回避、旧システムの廃止、セキュリティ強化、効率向上、従業員の意欲向上に大きな役割を果たしていることが、今回の調査結果で判明しています。
Catoにより、以下のような主なメリットが組織にもたらされていることが、Forreste社による調査の結果判明しました:
ROI246%
NPV433万ドル
6ヶ月以内の投資回収
オペレーションとメンテナンスの低減により、380万ドルの節約
Catoの新規サイトへの導入時間短縮により、約44,000ドルの節約
旧システムのCatoへの置き換えにより、220万ドルの節約
導入にかかる時間短縮およびコスト削減
一貫性のあるセキュリティ
その他
現在、セキュリティとネットワークサービスの管理が組織の課題となっています。VPN、インターネット、WANなどの専門チームが、各ネットワークサイトの更新を個別に管理する必要があります。これには、多大な時間とコストがかかります。長期的には、このままでは、ビジネスのデジタルトランスフォーメーションが妨げられ、競争優位性の維持および最善の顧客サービスの提供が困難になります。
調査結果をさらに詳しく見てみましょう。
オペレーション・メンテナンスコストの削減
Cato Networksによる、3年間で380万ドルのオペレーション・メンテナンスコストの削減が今回の調査で判明しました。ネットワーク/セキュリティエンジニアがシステムの最適化ではなく、システムの管理に多くの時間を費やしていることは、組織の複数の関係者にとって極めて重要な懸念材料です。
「率直に申し上げて、Catoダッシュボードを基盤とする、SD-WANソリューションのセットアップとメンテナンスがこんなに容易く行えることに、とても驚いています。[以前のソリューション]では、セットアップに10人、オペレーションに20人のエンジニアが必要でした。Catoにより、これらすべてが解消されました。着想の背景をダッシュボードに表示して、1時間以内に理解することができ、あとは実行するだけです。」
- 自動車部品メーカー、ITマネージャー
セットアップ時間の短縮
企業の規模が拡大し、従業員や顧客をどこからでも接続できる柔軟性が求められる中、セットアップや設定にかかる時間が、ネットワーク/セキュリティソリューション選定時の重要な検討事項となっています。今回の調査によると、Cato Networksは、3年間で約44,000ドルの節約をもたらし、膨大な数の手作業による時間を排除しています。
「当社は別のことも推進していました。合併やオフィス移転の増加、さまざまな地域への進出などが[理由]で、「担当者を1名だけ送り出し」、一度設定すれば後は何もする必要がない、管理面を簡素化するアプローチが必要でした。つまりチームメンバーのひとりが出向いて、多くの作業を行い、ある程度知識のある担当者が図示に従ってプラグを差し込み、管理ポータルを表示するだけで、ビジネスが成立します。
- 技術ディレクター、顧問、税務&保証
旧システム廃止による節約
高額なハードウェアは、ITチームやセキュリティチームにとって大きな難題です。メンテナンス、更新、修正、他のプラットフォームとの統合も必要です。Cato SASEに移行して旧システムを廃止することで、3年間で220万ドルの節約が可能です。
「インテリジェンスとセキュリティレイヤーを兼ね備えたCatoにより、必要なことをすべて行うことができ、他のソリューションへのさらなる投資も必要ありません。」
- 技術ディレクター、顧問、税務&保証
その他のメリット
今回の調査報告によると、Cato Networksは、以下のような、定量化できないその他のメリットも同時にもたらしています:
導入の時間短縮とコスト削減 - 遠隔サイトへの搬入導入の時間短縮とコスト削減。
セキュリティ体制の強化 - 組織全体にわたって、一貫性のあるセキュリティルール一式を確保。
アプリケーションの効率向上 - 実務担当者の仕事を迅速化。
従業員の意欲向上 - 顧問、税務、保証の技術ディレクターの見解:「元のシステムに戻すことは考えられません。そのスピードを考慮すると、従業員の大反発が火を見るよりも明らかです。当社のエンジニアは、客先でダッシュボードの設定を行い表示するだけで稼働できる、このシステムを高く評価しています。」
柔軟性 - インフラストラクチャを追加する必要なく、新しいモバイルユーザーを追加でき、サイト展開を加速。
調査報告書の全文
レポートの全文をお読みください。Cato Networksが企業のデジタルトランスフォーメーションをどのように実現するのか、より詳しくご理解いただけます。Cato Networkのビジネスインパクトをさらに詳しくご理解ただくために、この報告書には、すべての財務情報、より多くの引用、ユースケース、コストおよび節約の内訳が含まれています。こちらをクリックして調査報告書をご覧ください。
貴社がどのようにROIを達成できるのか、専門家がご説明いたします。こちらから お問い合わせください。
SASE、SD-WAN、およびクラウドベースのセキ... 詳しくはこちら ›
Catoの評価額が25億ドルに上昇 SASE、SD-WAN、およびクラウドベースのセキュリティ市場は、ほとんどが超大手ベンダーで占められていることをご存知の方も多いはずです。SD-WANやCASBなどのカテゴリーの独立系企業の大半が、大手ベンダーにより、これまでに買収されています。その目的は、SD-WANとセキュリティの両方を含むオファーによる、SASE分野での競争体制の確保です。しかし、これらの買収価格は、現在のCatoの評価額の数分の1に過ぎません。
Catoと競合他社の違い?
Catoは設立当初から、根底的に差別化されたアーキテクチャと価値提案により、大手ソフトウェアベンダーやハードウェアベンダー、通信事業者など、さまざまな企業に果敢に挑んできました。
現在、オンプレミスでの展開に構築されたアプライアンスやポイントソリューションから、真のクラウドネイティブプラットフォームへの移行が進んでいます。例えば、Amazon Web Services(AWS)のネットワークおよびセキュリティです。しかしながら、SASE分野の競合他社はすべて、従来のビルディングブロックとクラウドネイティブポイントソリューションを継ぎはぎして提供しています。そして今後、よりシームレスで合理的なソリューションへ時間をかけて進化させていくことを望んでいます。Catoは、「AWSなど」のネットワーキングおよびセキュリティクラウドサービスの構築には、まったく新しいプラットフォームとアーキテクチャが必要という考えに基づき、
いち早くこれを2015年に実行しました。それ以来、Catoはクラウドサービスの機能、グローバルなフットプリント、そして顧客基盤を大規模に拡大し、真のクラウドネイティブデザインがもたらす自動化、効率化、回復力、拡張性を備えたネットワークとセキュリティを、サービスとして提供できることを実証しています。
Catoの将来性の基盤となるビジョン。それはビジネスおよびITのより良い未来です。IT部門が基礎となる技術をより効率的に提供することで、ビジネスを迅速に進めていくことができます。これは、AWSなどのサービスと同じように、ルーティング、最適化、冗長性、セキュリティその他に伴う、最も難しく手間がかかる部分をプラットフォームで行うことで実現できます。
新しい拠点やユーザーグループ、クラウドアプリケーションなど、今後発生するお客様のリソースをCato SASE Cloudに接続するだけで、安全な最適化されたアクセスをご利用いただけます。
市場においてCatoがやるべきことはまだまだあります。ネットワーキングとセキュリティのより良い未来を実現し、インフラの運用方法を常に変革していくことが、Catoのミッションです。
ご期待ください。
昨年、ガートナー(Gartner のゼロトラストネ... 詳しくはこちら ›
セキュアアクセスサービスエッジ(SASE[サシ―])のゼロトラストネットワークアクセス機能 昨年、ガートナー(Gartner のゼロトラストネットワークアクセス(ZTNA)のマーケットガイド では、2023年までに企業の60%がVPNを段階的に廃止し、代わりにZTNAを使用すると予測しています。 ZTNA採用の主な推進力は、エンタープライズネットワーク境界の形状の変化です。 クラウドワークロード、テレワーク、モバイル、およびオンプレミスのネットワーク資産を考慮する必要があり、VPNアプライアンスなどのポイントソリューションはその仕事に適したツールではありません。
大まかに言えば、VPNに対するZTNAの利点を1つの単語で要約できます: それは精度です。 ゼロトラストネットワークアクセスにより、企業はVPNレベルでアクセスを制限できますが、ネットワークセキュリティに対する他の「城と堀」のアプローチでは絶対に不可能です。
このきめ細かいレベルの制御は、ゼロトラストネットワークアクセスがネットワークアクセス SASE(セキュアアクセスサービスエッジ) の要求に対するアイデンティティ主導のアプローチを補完する理由でもあります。 ゼロトラストネットワークアクセスがクラウドネイティブネットワークプラットフォームに組み込まれているため、SASEは、モバイルユーザー、サイト、クラウドアプリケーション、クラウドデータセンターなどの最新の企業のリソースを適切なアクセスレベルで接続できます。 しかし、ZTNAとSASEは、この約束を果たすためにどのように正確に連携するのでしょうか。 見てみましょう…
ゼロトラストネットワークアクセスとは何か?
ソフトウェア定義の境界(ブラッククラウド)[SDP]software-defined perimeter (SDP)とも呼ばれるゼロトラストネットワークアクセスは、クラウドとオンプレミスの両方でアプリケーションとサービスへのアクセスを保護するための最新のアプローチです。 ZTNAの仕組みは単純です。明示的に許可されていない限り、リソースへのすべての人とすべてのアクセスを拒否します。 このアプローチにより、全体的なネットワークセキュリティとマイクロセグメンテーションが強化され、侵害が発生した場合に横方向の動き(ラテラルムーブメント)を制限できます。
今日、レガシーネットワークセキュリティポイントソリューションでは、ユーザーがセキュリティアプライアンスを通過すると、同じサブネット上のすべてのものへのネットワークアクセスが暗黙的に取得されます。 これは本質的にリスクと攻撃対象領域を増加させます。 ZTNAは、そのパラダイムを真っ向から反転させます。 ZTNAを使用すると、ITはネットワークリソースへのアクセスを明示的に許可する必要があり、アプリケーションレベルまで制限を適用できます。
ゼロトラストネットワークアクセスとSASEが連携する方法
ZTNAはSASEのごく一部です。 SASEは、ZTNAの原則に従って、すべてのエッジ(サイト、モバイルユーザー、およびクラウドリソース)へのアクセスを制限します。 言い換えると、SASEのNGFWおよびSWG機能は、SASEがアクセスを制限する方法です;ZTNAは、SASEエッジのアクセスが制限されている度合いです。
SASEは、ゼロトラストネットワークアクセス、NGFW、およびその他のセキュリティサービスを、SD-WAN、WAN最適化、帯域幅集約などのネットワークサービスとともにクラウドネイティブプラットフォームにバンドルします。 つまり、SASEアーキテクチャを活用する企業は、ゼロトラストネットワークアクセスのメリットに加えて、管理が簡単で拡張性の高いネットワークおよびセキュリティソリューションの完全なスイートを利用できます。
SASEとゼロトラストネットワークアクセスの利点
SASEとゼロトラストネットワークアクセスの最初の利点は、セキュリティに対するID主導のデフォルト拒否アプローチにより、セキュリティ体制が大幅に改善されることです。 悪意のあるユーザーがネットワーク資産を侵害した場合でも、ZTNAは被害を制限できます。 さらに、SASEセキュリティサービスは、通常のネットワーク動作のベースラインを確立できます。これにより、ネットワークセキュリティ全般、特に脅威検出へのよりプロアクティブなアプローチが可能になります。 ベースラインがしっかりしていると、悪意のある動作の検出、封じ込め、防止が容易になります。
セキュリティ上の利点に加えて、SASEとZTNAを組み合わせることで、ポイントソリューションが現代の企業にもたらす別の一連の問題、つまりアプライアンスの無秩序な増加とネットワークの複雑さを解決します。 VPNポイントソリューションを使用すると、企業はSD-WANやNGFWなどの機能のために追加のアプライアンスを展開する必要があります。 これは、アプライアンスを必要とするサイトが増えるごとに、運用コストと設備投資が増えることを意味します。 また、アプライアンス、モバイルユーザー、クラウドサービスを統合すると、ネットワークが大幅に複雑になります。
SASEとZTNAは、すべてのネットワークエッジで機能するクラウドネイティブソリューションを提供することにより、これらの問題を取り除きます。つまり、クラウドサービス、モバイルユーザー、IoT、ブランチオフィス、企業ネットワークはすべて、展開の複雑さやコストを大幅に増加させることなく、同じレベルのセキュリティを利用できます。
要約すると、従来のポイントソリューションと比較すると、SASEを使用したゼロトラストネットワークアクセスは以下のとおりです:
拡大/縮小が容易. アプライアンスの無秩序な増加により、ネットワークの成長に伴ってVPNポイントソリューションの管理が困難になります。 SASEは、マルチテナントクラウドネイティブプラットフォームのスケーラビリティをネットワークセキュリティにもたらします。
よりきめ細かく。 . 従来のポイントソリューションを使用すると、企業はIPアドレスに基づいてアクセスを制限するポリシーを実装できます。 SASEとゼロトラストネットワークアクセスにより、特定のアプリケーションとIDのレベルまでアクセス制御とネットワークの可視性が可能になります。
より安全に。 . 城と堀」のパラダイムが十分なネットワークセキュリティを提供していた時代には、ポイントソリューションは十分に優れていました。 ただし、最新のネットワークには、このパラダイムに単純に適合しないトポロジがあります。 すべてのネットワークエッジが確実に考慮されるようにし(たとえば、クライアントレスモバイルアクセスを有効にすることによって)、最新のネットワークトポロジ専用に構築されたセキュリティソリューションを使用することで、SASEとZTNAはセキュリティ体制を大幅に向上させることができます。
より高速で信頼性が高くなります. くの場合、VPNアプライアンスはボトルネックになり、WANの速度が低下し、パフォーマンスに悪影響を及ぼします。 これは、個々のアプライアンスにCPUとリソースの制限があるためです。 クラウドネイティブアプローチにより、SASEはこれらのリソース制限を排除し、基盤となるネットワークファブリックの一部としてWAN最適化も提供することにより、WANパフォーマンスをさらに向上させます。
ゼロトラストネットワークアクセスを備えた最初の真のSASEプラットフォーム
SASE市場はまだ成熟しきったたわけではなく、多くのベンダーはSASEの真の使命を果たすには至っていません。 Cato Networksは、ガートナー(Gartner)の2019エンタープライズネットワークのハイプ・サイクル(2019 Hype Cycle for Enterprise Networking)でSASEのサンプルベンダーとして評価されているだけでなく、世界初の真のSASEプラットフォームでもあります。
CatoのSASEプラットフォームは、最新のエンタープライズネットワークを念頭に置いてゼロから構築されました。 このプラットフォームは、ゼロトラストネットワークアクセス、SWG、NGFW、IPSなどのセキュリティ機能をSD-WANや WAN最適化 などのネットワークサービス、および99.999%の稼働率SLAを備えたグローバルプライベートバックボーンと組み合わせています。 その結果、Catoは、パフォーマンス、セキュリティ、およびスケーラビリティの観点から目下SASEの真の約束を提供できる唯一のベンダーです。
Cato SASEプラットフォームの動作を確認したい場合は デモにサインアップ するか、今すぐおすぐお問い合わせください. SASEの詳細については、eBook 「デジタルビジネスのネットワークはセキュアアクセスサービスエッジ(SASE)から始まる」 をご覧ください。
時々、見込み客の皆さんから、Catoがサンドボック... 詳しくはこちら ›
サンドボックス機能には制限があります。ゼロデイ脅威を阻止する理由と方法を以下にご紹介します 時々、見込み客の皆さんから、Catoがサンドボックスを提供しているかどうかを尋ねられることがあります。これは当を得た質問であり、当社が真剣に検討している課題でもあります。しかし、サンドボックス化を検討したところ、このテクノロジーは今日のよりスリムで俊敏な企業のニーズと一致していないと感じました。 代わりに、ゼロデイ脅威または脅威を含む未知のファイルを防止するために別のアプローチを採用しました。
サンドボックスとは?サンドボックスとは?
従来のマルウェア対策ソリューションは、脅威を検出するために、主にシグネチャと既知の攻撃のインジケーターに依存しているため、ゼロデイ攻撃やステルス攻撃を常に検出できるとは限りません。 サンドボックスは、他のすべての主流の方法が失敗した結果、悪意のあるコード、添付ファイル、およびWebリンクに隠された脅威を検出するためのツールとして機能することを意図していました。
アイデアは非常に単純です。未知のファイルが収集され、サンドボックスで実行されます。これは、ターゲットホスト環境の完全に分離されたシミュレーションです。 ファイルアクションを分析して、外部コマンドアンドコントロール(C&C)サーバーとの通信の試行、プロセスインジェクション、権限の昇格、レジストリの変更など、実際の本番ホストに損害を与える可能性のある悪意のあるアクションを検出します。 ファイルが実行されると、サンドボックスは複数のコード評価プロセスを実行し、脅威の可能性を説明および評価するレポートを管理者に送信します。
サンドボックスの導入には時間と専門知識が必要
ただし、すべてのセキュリティツールと同様に、サンドボックスには欠点があります。 この場合、これらの欠点により、特に脅威防止ソリューションとしての効率と効果が制限されます。 1つには、サンドボックスに関連するファイル分析には、ビジネスユーザーがリアルタイムで操作するには5分もかかります。
IT側では、長く詳細なサンドボックスレポートを評価するには、時間、専門知識、リソースが必要です。 セキュリティアナリストは、オペレーティング環境内でのコードの動作を理解するために、マルウェア分析とオペレーティングシステムの詳細を十分に理解する必要があります。 また、悪意のある動作を識別するために、正当なシステムコールと正当でないシステムコールを区別する必要があります。 それらは多くの企業に欠けている高度に専門化されたスキルです。
そのため、サンドボックス化は多くの場合、予防よりも検出およびフォレンジックに効果的です。 サンドボックスは、検出後にマルウェアを分析し、対応と根絶戦略を考案したり、将来の攻撃を防ぐための優れたツールです。 実際、Catoのセキュリティチームはまさにそのためにサンドボックスを使用しています。 しかし、攻撃を防ぐための方法としては、サンドボックスは時間がかかりすぎて複雑すぎます。
サンドボックスは常に機能するとは限りません
サンドボックスのもう1つの問題は、サンドボックスが常に機能するとは限らないことです。 セキュリティ業界が攻撃を検出および防止するための新しいツールと戦略を開発するにつれて、ハッカーはそれらを回避するための高度な方法を考え出します。サンドボックスも例外ではありません。 サンドボックス回避戦術には、悪意のあるコードの実行を遅らせることが含まれます。 マスキングファイルタイプ。 サンドボックス環境を検出するために、ハードウェア、インストールされているアプリケーション、マウスクリックのパターン、開いて保存したファイルを分析します。 悪意のあるコードは、マルウェアが実際のユーザー環境にあると判断した場合にのみ実行されます。
サンドボックスは、フィッシングに対する効果も思ったほど高くありません。 たとえば、フィッシングメールには、アクティブ化しても悪意のある動作を示さないが、悪意のあるサインインフォームへのユーザーリンクが含まれている単純なPDFファイルが含まれている場合があります。 ユーザーがリンクをクリックしたときにのみ、攻撃がアクティブになります。 残念ながら、ソーシャルエンジニアリングは、ハッカーがネットワークエントリを獲得するために使用する最も人気のある戦略の1つです。
結果:サンドボックスソリューションは、回避方法を検出および防止するためのより洗練された環境と手法を考案する必要があり、多くの企業にとって疑問視されるコスト/メリット比を生み出す、より多くの電力、ハードウェア、リソース、および費用を必要とします。
Catoアプローチ
問題は、ソリューションがサンドボックスを提供するかどうかではなく、セキュリティプラットフォームが未知の攻撃とゼロデイ脅威をリアルタイムで一貫して防止できるかどうかです。 Catoは、サンドボックス化の複雑さを伴わずに、これらの目的を満たすアプローチを開発しました。
既知の脅威は、マルウェア対策ソリューションによって検出されます。 暗号化されたトラフィックでも完全なトラフィックの可視性を利用して、ラインレートでファイルを抽出および分析します。 Catoは、ファイル拡張子(.pdf、.jpegなど)ではなく、ファイルの内容に基づいて、実際のファイルタイプを決定します。 これは、実行可能ファイルをドキュメントとしてマスキングするための回避策と戦うためです。 次に、Catoによって維持および更新されている既知のマルウェアシグネチャデータベースに対してファイルが検証されます。
次のレイヤーである高度なマルウェア対策ソリューションは、構造的属性に基づいて悪意のあるファイルを検出するSentinelOneの機械学習エンジンを利用して、未知の脅威やゼロデイ攻撃から防御します。 Catoの高度なマルウェア対策は、署名ベースの検査エンジンを回避するように設計されたポリモーフィック
加えて、Catoの高度なマルウェア対策ソリューションは高速です。 SentinelOneの高度な機械学習とAIツールを使用すると、ファイルを分析するのに1〜5分かかる代わりに、Catoは、最も洗練されたゼロデイ攻撃とステルス攻撃をわずか50〜100ミリ秒で分析、検出、ブロックできます。 これにより、Catoの高度なマルウェア対策をリアルタイムで予防モードで実行できます。
同時に、Catoは検出と応答を無視しません。 エンドポイントは依然として他の手段で感染する可能性があります。 Catoは、Catoのプライベートバックボーン全体のトラフィックフローのパターンを検出することにより、これらの脅威を識別します。 Catoは毎日、クラウドスケールのビッグデータ環境でCatoのグローバルプライベートバックボーンを通過する何十億ものネットワークフローの属性をキャプチャします。 この大規模なデータウェアハウスは、CatoのAIと異常検出アルゴリズムの分析のための豊富なコンテキストを提供し、マルウェアの症状を示す可能性のある有害な動作を発見します。 不審なフローは、Catoのリサーチャーによってレビュー、調査、および検証され、顧客のネットワーク上のライブ脅威の存在が判断されます。 修復を支援するために利用可能なCatoのリサーチャーには、明確なレポート(およびアラートが生成されます)が提供されます。
これらのダークリーディング記事をチェックして、Catoのネットワーク脅威探知機能が、これまで識別されていなかった悪意のあるボットアクティビティをどのように検出できたかを確認してください。 MDRとCatoのAI機能の詳細については、このCatoブログをご覧ください。
途絶することのないセキュリティ
企業は未知のファイルのゼロデイ脅威と攻撃を防止および検出する必要がありますが、サンドボックスの速度と複雑さは、今日の学習者である、俊敏なデジタルエンタープライズと互換性がないと感じています。 Catoは、これに代わるものとして、高度な専門知識を必要とせず、常に最新のリアルタイムアプローチを開発しました。 しかし、私たちの言葉にとらわれず、セキュリティプラットフォームのデモを依頼して、ご自身の目で確かめてください。
