SD-WANセキュリティ

WANは企業ネットワークの出入口であり、リスクを軽減し、セキュリティ対策を向上させるには、WANのセキュリティを確保することが不可欠です。しかし、クラウドサービスやモバイルユーザーが主流になっている現在、ネットワークは10年前に比べてはるかに流動的になっており、セキュリティの確保が難しくなっています。

ビジネスのあり方がこのように根本的に変化している中、WANセキュリティにも新たなアプローチが必要です。アプライアンスベースのSD-WANやMPLS（マルチプロトコルラベルスイッチング）は、このようなユースケースには対応しません。一方で、クラウドベースのSD-WANは、クラウドネイティブソフトウェアとサービス型セキュリティ機能により、現代の広範囲にわたるセキュリティ課題に対応する総合型WANソリューションを提供します。

ここでは、クラウドベースのSD-WANセキュリティとサービスとしてのセキュリティモデルがどのように従来型の製品と異なるのかについて解説します。

クラウドネイティブSD-WANがセキュリティの観点から非常に説得力がある理由を説明する前に、2つの旧式WANソリューション、MPLSとアプライアンスベースのSD-WANの弱点について見てみましょう。

MPLSは、クラウドやモバイルが世界中で普及する以前に、2つのエンドポイント間に信頼性の高い、高性能な専用接続を提供するために導入されました。しかし、MPLS回線は暗号化されず、トラフィックインスペクション、IPS（不正侵入防止システム）、アンチマルウェアなどのセキュリティ機能を個別に追加する必要があります。アプライアンスベースのSD-WANには、一般的には暗号化機能が含まれており、MPLSの難点のひとつを解決しますが、その他の弱点があります。SD-WANアプライアンスは、セキュリティアプライアンスではありません。例えば、NGFW（次世代ファイアウォール）機能を実装するには、ネットワークエッジに個別のアプライアンスを追加する必要があります。

MPLSおよびアプライアンスベースのSD-WANの両方に関して、「アプライアンスを追加してセキュリティを追加する」アプローチには欠点があります：

• 複雑で拡張性がない。 アプライアンスの追加に伴い、ネットワークが複雑化します。アプライアンスを追加するたびに時間がかかるだけでなく、コストのかかるセキュリティ侵害につながる見落としが発生する可能性も高まります。アプライアンスにひとつでも設定ミスがあれば、重大なセキュリティリスクにつながる恐れがあり、手動による設定により、見落としやミスが発生しやすくなります。
• コストが高い。 アプライアンスを個別に調達してライセンスを取得し、展開してメンテナンスを行う必要があるため、コストが増します。
• クラウドやモバイル対応に限界がある。アプライアンスベースのアーキテクチャは、本質的に拠点を重視しています。セキュリティや接続の観点から、アプライアンスにクラウドサポートを追加する容易な方法はありません。

Cato SASE Cloudをサポートするクラウドネイティブのネットワークインフラストラクチャは、WANファブリック基盤にセキュリティ機能を統合して、SD-WANセキュリティを次世代のレベルに引き上げます。Catoのクラウドネイティブインフラストラクチャは、現代の企業ネットワークを念頭に置いてゼロから構築されています。セキュリティ機能を組み込むことで、専用ハードウェアを統合する必要がほとんどなく、単一の管理インターフェースにより、複雑さを軽減し、WAN管理に必要な技術的専門知識を習得するための投資および時間を減らします。

さらに、CatoのグローバルプライベートバックボーンのPoP（ポイントオブプレゼンス）でTLSトラフィックインスペクションが行われるため、クラウドを行き来するトラフィックを効率的に保護できます。また、Cato Software Defined Perimeterにより、モバイルユーザーへの対応をシンプルかつ拡張性を持って提供できます。

Catoは、セキュリティ機能をクラウドにシフトし、クラウドの拡張性、スケールメリット、機動力をSD-WANセキュリティにもたらすSecurity As a Serviceモデルを提供します。

クラウドベースのSD-WANセキュリティのアーキテクチャのメリットをご理解いただいたところで、Cato SASE Cloud独自の具体的な機能をいくつか説明します。

• NGFW. Cato NGFWは、WANおよびインターネット接続のトラフィック検査により、ネットワークエンティティ、時間、トラフィックのタイプに基づいて、綿密なセキュリティポリシーを適用できます。NGFWのディープパケットインスペクションエンジンは、ペイロードを復号化することなく、特定のトラフィックフローに関連するアプリケーションやサービスを分類します。NGFWにより、アプリケーションを完全に識別しながら、トラフィックをコンテキスト化し、より綿密なポリシーを適用できます。
• セキュアWebゲートウェイ（SWG）。インターネットを介するマルウェアやフィッシング攻撃は、企業のWANにとって大きな脅威です。SWGは、Webアクセス制御により、疑わしいまたは悪意のあるソフトウェアのダウンロードを防止します。Webサイトのカテゴリごとに定義されたポリシーに加え、企業独自のルールを入力して、WAN内のWebの安全性をさらに最適化できます。
• マルウェア対策。Cato SASE Cloudは、エンタープライズグレードのアンチマルウェア機能提供に2つのアプローチを採用しています。一つは、グローバルな脅威データベースからの最新情報に基づいて更新されるシグネチャとヒューリスティックベースのエンジンが、トラフィックをスキャンし、マルウェアを検出します。次に、情報セキュリティ業界のリーダーSentinalOne社との提携により、人工知能と機械学習を組み込み、シグネチャベースのチェックを回避する可能性のある未知のマルウェアを特定します。
• IPS. Catoの不正侵入防御システムは、コンテキストを意識したSD-WANセキュリティを提供します。Catoのネットワークは、より堅牢なIPSを提供します。Cato Research Labsがビッグデータを活用して、IPSの性能を最適化し、誤検知を削減しています。
• MDR（Managed Detection and Response). MDRにより、侵害されたエンドポイントの検出を、Catoのセキュリティオペレーションセンター（SOC）に任せることができます。MDRにより、自社のサポート負担を軽減するだけでなく、マルウェアによる被害の主な要因のひとつである、滞留時間を最小限に抑えることができます。MDRにより、脅威を迅速に特定して封じ込め、Cato SOCが修復に関するアドバイスを提供します。また、SOCチームは、ネットワークセキュリティインシデントの定量化に役立つ月次レポートを提供しています。

アプライアンスの調達、プロビジョニング、パッチ適用、維持にかかる複雑さとコストを、サービスとしてのセキュリティによって削減します。クラウドベースのSD-WANには、アプライアンスベースのSD-WANやMPLSでは実現できない数多くの独自のメリットがあります。クラウドネイティブなソフトウェアとサービスとしてのセキュリティモデルにより、Catoはネットワークとセキュリティを統合したアプローチを提供します。これにより、情報セキュリティ、運用、ビジネス面でのメリットを得ることができます。

この点について、Cato社のお客様であるKyocera Senco社シニアネットワーク＆システムアーキテクト、イェルーン・キート氏は次のように述べています。「クラウドに移行する企業は、Catoについてよく調べてみるべきです。接続性、セキュリティ、インテリジェンスの統合が、すべてのビジネスを前進させる一歩となるはずです。Cato Networksが提供する機能をすべて使いこなすことで、財務面、機能面、IT管理面で大きなメリットがもたらされます」

CatoによるSD-WANセキュリティの革命および貴社のニーズに合ったWAN接続ソリューションの選択について、詳しくは弊社宛にお問い合わせください。Cato SASE Cloudを実際にご覧いただくには、デモをお申し込みください。