Gartnerの定義によると、Secure Access Service Edge (SASE) とは、 ユーザーやデバイスがいつでもどこでもクラウド上のアプリケーション、データ、サービスに安全にアクセスできるようにするセキュリティフレームワークであり、安全かつ迅速なクラウドの採用を実現するものです。

企業はクラウドを利用してますます事業を拡大しており、より多くのデータ、ユーザー、デバイス、アプリケーション、サービスが組織外に存在するようになっています。これはつまり、保護対象範囲がもはや企業の拠点だけではなくなっていることを意味しています。これは必要な時にクラウドからサービスとして提供される動的なエッジ機能です。

このような保護範囲の変化に伴い、企業はセキュリティやリスク管理対策も変化させなければならなくなっています。 これによってより多くの環境や製品の管理が必要になり、加えて人材不足によりこれらの管理はさらに複雑になってきています。 ユーザー、デバイス、データがあらゆる場所に存在している状況では、環境の可視化や統制などは非常に困難です。

Gartnerによると、「セキュリティ及びリスク管理におけるシフト[1]に対応するためには、クラウドの集中型Secure Access Service Edge(SASE)が必要」になっています。GartnerのSASE(発音:サシー)モデルは安全で迅速なクラウドの採用を可能にする包括的フレームワークで、最近注目を集めています。

SASEはネットワーキングとネットワークセキュリティを単一のクラウドオファリングに集約し、デジタルビジネストランスフォーメーション、エッジコンピューティング、ワークフォースモビリティを実現させます。 GartnerのSASEフレームワークは、ポリシーを基にしたセキュアアクセスサービスエッジを動的に作成するために提供されています。これはその企業がどこにあっても、また企業がアクセスしようとしているネットワーク化された機能がどこにあっても関係ありません。

SASEフレームワークは1日で導入できるようなものではありません。 Gartnerは、「包括的なSASEオファリングは、まだ増えている最中であり、採用率は1%以下」であるものの、「明確なSASE採用 戦略 を持つ企業は2018年末の時点は1%以下ですが、2024年までに少なくとも40%まで増加するでしょう」1と述べています。

[1]「The Future of Network Security is in the Cloud(ネットワークセキュリティの未来はクラウドにある)」 2019年8月30日。Gartnerアナリスト Neil MacDonald、Lawrence Orans、Joe Skorupa著 (ID G00441737)

SASEの仕組み

SASEの技術は、半分がネットワークトラフィックに関するもので、残りがセキュリティに関するものです。 またはスピード対コントロールとも言えます。 SASEフレームワークを用いると、企業のセキュリティ担当者はアイデンティティやコンテキストを適用して、各ネットワークセッションで求められる正確なパフォーマンス、信頼性、セキュリティ、コストレベルを特定できます。 さらにクラウド上でのスピードやスケールの増大が可能になり、またクラウド固有の新たなセキュリティ問題にも対処できるようになります。

例えば、営業はモビリティを活用して効果と効率を上げたいと思っています。 しかし公衆Wi-Fi上でインターネットを使用することは、セキュリティ上のリスクとなります。 そのため会社のビジネスアプリケーションへのタイムリーかつ安全なアクセスを提供することが課題になっているのです。 SASEフレームワークはアクセススピード(またはパフォーマンス)を維持する構成モデルを提供し、同時に、いつ、どこで、どのようにデータやデバイスが使われていたとしても、ユーザー、データ、デバイスを細かく管理できるようにします。

Gartnerは、SASEのリーダーは「継続的で適応性のあるリスクおよび信頼性の評価 (Continuous Adaptive Risk and Trust Assessment: CARTA)」の戦略的アプローチを採用して、セッションを継続的にモニターするべきであると述べています(「Zero Trust Is an Initial Step on the Roadmap to CARTA(ゼロトラストはCARTAへのロードマップの第一ステップ)」およびGartnerの「Seven Imperatives to Adopt a CARTA Strategic Approach(CARTA戦略的アプローチを採用するための7つの原則)」を参照)。 セッションがデータパス上にあれば、内蔵のUEBA機能を利用して過剰なリスク(クレデンシャルの侵害や内部脅威など)を示す兆候がないか分析できます。 SASEのオファリングには、ユーザー行動分析後のリスクの増加やデバイスの信頼性の低下などに対応する能力が必要です(例えばユーザーに追加認証を求めるなど)。

CARTA導入のファーストステップはゼロトラスト(Zero-Trust)アプローチです。 このアプローチの基本は、ネットワーク内のユーザーを盲目的に信じるのではなく、「検証してから信頼する」ということです。 ゼロトラストではネットワークは侵害されているものとして扱うため、ユーザーやデバイスは攻撃者でないと証明しない限りアクセスできません。 ゼロトラストでは、ユーザーやデバイスがネットワーク上のリソースにアクセスする場合、それらがすでにネットワーク内にいたとしても厳しいID認証を求めます。

SASEの特長

Gartnerのレポートでは次のように述べられています。「クラウドを中心としたデジタルビジネスでは、ユーザー、デバイス、アクセス保護が必要なネットワーク機能はいたるところに散在しています。 . . デジタル化された企業のセキュリティやリスク対応において必要となるのは、ネットワーク機能にアクセスする時と場所で適用できる国際的なネットワークファブリック/メッシュとネットワークセキュリティ機能です。

Gartnerによると、SASEアーキテクチャは企業に以下のようなメリットをもたらします。

  • コスト及び複雑さの軽減 – ネットワーク・セキュリティ・アズ・ア・サービスは単一のベンダーのものを使用すべきです。 ベンダーやテクノロジースタックを統合することでコストや複雑さを軽減することができます。
  • アジリティ – アプリ、サービス、API、データをパートナーやコントラクターに低リスクで共有できる、新しいデジタルビジネスシナリオが実現可能です。
  • パフォーマンスとレイテンシーの改善 – レイテンシーを最適化するルーティング。
  • 汎用性と透明性 – デバイスあたりのエージェント数を減らし、エージェントとアプリの肥大化を防ぎ、どこでもどのデバイスでも一貫したエクスペリエンスを提供します。 ハードウェアやソフトウェアの増強をせずに脅威情報とポリシーを更新することで、運用作業が減り、新しい機能の採用も早くなります。
  • ZTNAの有効化 – IPアドレスや物理的な場所ではなく、ユーザー、デバイス、アプリケーションのIDに基づいてネットワークアクセスを有効化してネットワーク内外をシームレスに保護し、さらにエンドツーエンドの暗号化をします。 一番近いPOPへトンネルすることで、公衆Wi-Fi保護を活用してエンドポイントまで保護します。
  • ネットワーク要員やネットワークセキュリティ要員の効率化 – 事業、規制、アプリケーションアクセス要件をSASE機能にマッピングするなど、戦略的な動きにシフトします。
  • ポリシーの一元化とローカルでの執行 – クラウドベースの一元管理を行いながら、執行と意思決定は分散します。

McAfee のSASEフレームワーク対応

SASEフレームワークには2つの基礎があります:ネットワーク・アズ・ア・サービス、そしてネットワーク・セキュリティ・アズ・ア・サービスです。 前者はネットワークトラフィックに、後者はセキュリティに焦点を当てています。 企業ネットワークデバイスのゴールは、データパケットを1ミリ秒でも速く送達することです。 一方、セキュリティではセキュリティ上の決定を行う上で重要となるユーザー、データ、デバイス、場所、及びその他のパラメーターを識別する際にコンテキストを必要とします。 セキュリティポリシーの適用にはリスクの理解と優先順位付けが欠かせません。 組織のリスクプロフィールに基づいた最適なポリシー決定ができるよう、ネットワークセキュリティではユーザーの行動とコンテンツを360度可視化し理解する必要があります。

McAfee は、経験豊富な最大のサイバーセキュリティ専門ベンダーの1つとして、データ、デバイス、ユーザー、アプリケーションを理解し、デバイスからクラウドまでの包括的な保護に必要なコンテキストを提供します。 他社よりもはるかに優れたデータコンテキストは、ポートフォリオ内データ統合アプローチによって実現しています。

クラウドを通して提供されるクラウドネイティブのMVISIONポートフォリオでは、ポリシーは一度設定すればエンドポイント、ネットワーク、クラウドなどの複数の場所で展開できるため、簡単、迅速かつ安全なクラウドの採用が可能になり、企業のアジリティを最大化して運用コストを削減できます。

Unified Cloud Edgeは、GartnerのSASEフレームワークの最初の3つのセキュリティ技術を完全に統合した、これまで単一ベンダーでは提供できていなかったソリューションです。 MVISION Unified Cloud Edge (UCE) の セキュリティ集約ソリューションでは、Secure Access Service Edge(SASE)アーキテクチャの採用が簡単になり、最新のサイバーセキュリティの複雑さとそれにかかる費用を軽減します。 UCEは、情報漏洩対策、デバイス/ユーザー制御、その他のセキュリティ技術をWebフィルタリング(SWG)、エンドポイント管理、クラウド制御に組み込み、あらゆるデバイスからクラウドへの安全なアクセスを可能にし、従業員の効率性を最大限まで高めます(CASB)。

Secure Access Service Edge(SASE)でより完全なセキュリティアーキテクチャを実現するために、McAfeeはLight Point Securityを買収しました。Light Point Securityは国家安全保障局(NSA)の元従業員が設立した企業で、ブラウザ分離技術のパイオニアです。これによりUnified Cloud Edgeの脅威阻止機能を強化できます。 McAfeeはLight Point Securityのブラウザ分離技術をクラウドネイティブのセキュアWebゲートウェイに統合して、あらゆるWebセキュリティポリシーで使用できるようにする予定です。

Light Point Securityのブラウザ分離技術は、エンドユーザーのWebブラウジングセッションでページを安全な場所に隔離し、ピクセルマッピングと呼ばれる手法でそのセッションのインタラクティブなイメージをユーザーのブラウザ上に複製します。 エンドポイントから隔離されているブラウザに悪意あるコードを閉じ込められるので、Webベースの脅威からユーザーを守れます。 この技術は、マルウェア阻止に独自アプローチをする業界トップのMcAfeeのセキュアWebゲートウェイを補完します(リアルタイムエミュレーション)。 エミュレーションはトラフィック処理中に数ミリ秒で大半のマルウェアを取り除きます。 そして、悪意のあるコードがエンドユーザーに到達できないようにします。

McAfeeはUCEに加えて以下のソリューションや機能も提供しています。

  • CASBを経由したUEBA。クラウドサービスとのトラフィックパターンに異常が見つかった場合、ポリシーを執行します。
  • McAfeeのアクセス制御は、ユーザーのIDとデバイスのセキュリティ状態を確認しない限り、リモートアクセス(管理対象または管理対象外のデバイス)を許可しません。
  • CASBを経由したコンテナセキュリティ。コンテナの脆弱性制御、クラウドセキュリティポスチャ管理(CSPM)、そしてコンテナ間のゼロトラストで、コンテナ間における情報漏洩を防ぎます。

他ベンダーの技術を用いて、SASEモデルのその他の要素を導入することもできます。 McAfee のSecurity Innovation Alliance (SIA) プログラムでは、お客様が少ないリソースでより迅速に脅威を検出し、問題を修復できるように、統合セキュリティ・ネットワークソリューションを提供しています。 Data Exchange Layer (DXL) は、McAfee が最初に開発したオープンなエコシステムで、様々なベンダー製品の統合を可能にします。 以下はSIAのメンバーである、またはDXLを使った情報共有ができる企業であり、SASEモデルに含まれる要素を提供しています。

  • McAfee は自社のSASEテクノロジー(特にMcAfee Secure Web Gateway)をSilverPeakのようなSD-WANベンダーと統合します。
  • DNS Resolution Infoblox
  • Zero Trust。 SWGとMenlo Technologyの機能を統合し、SASEで推奨されている Remote Browser Isolation (RBI) を提供します。 (及びEricom)
  • BufferzoneのZTNA
  • Cisco、Extreme Networks、Checkpoint、Attivo Networks、Forcepointのようなネットワークベンダー

MVISION Unified Cloud Edgeとは

現在、IT、データ、コンピューティングの中心になっているのはクラウドです。 そこから生じるセキュリティ問題に対応するため McAfee は、McAfee® CASB、McAfee® Web Gateway、およびMcAfee® Data Loss Preventionの機能(すべてMVISION ePOプラットフォームに内蔵)を統合し、ボーダレスなIT環境を実現しました。 クラウドサービスは事業を変革し、加速させます。そして同時に、クラウド、オンプレミス、およびハイブリッド環境においてデータと脅威を完全に可視化し制御します。

統一データ保護および脅威防止

Unified Cloud Edge

機能と特長

  • ポリシー定義の集中化
    による脅威阻止およびデータ保護
  • 統合インシデント管理
  • 管理対象または管理対象外のデバイスのアクセスコントロール
  • API統合でのクラウドデータおよび権限管理
  • 高度なマルウェア対策を用いた、利用規約ポリシーの施行

MVISION Unified Cloud Edge はこれまでにない、クラウドネイティブでクラウドを通して提供されるソリューションであり、デバイス・クラウド間のデータ統合および脅威対策を実現します。 ポリシー管理、インシデント管理やレポートの一元化を容易にし、そしてあらゆる場所に存在するユーザー、デバイス、データの保護制御を可能にします。 この統合ソリューションでは、これまでは可視化できていなかったクラウドネイティブの侵害を阻止できます。

UCEは一般的なクラウドベースの管理機能および情報共有システム(例:ePO、DXL)を使用しており、複数のパラメーターに基づいて決定をします。 UCEはエンドポイント、Web、クラウド全体で一貫したデータコンテキストとポリシーを執行し、デバイス、クラウド間、クラウドサービス内で移動するデータを保護して、企業向けに新しい安全なクラウドエッジを作り出します。