ポイントAからポイントBへのショートカットが最速で最も安全なルートであるとは限りません。重要なアプリケーションやクラウドサービスへのより高速な「Direct-to-Cloud」のアクセスをユーザーに提供することで、生産性を確実に向上させ、コストを削減できますが、セキュリティをおろそかにすると大きな影響をもたらす可能性があります。Secure Access Service Edge(SASE)フレームワークは、セキュリティを損なうことなくデジタルトランスフォーメーションを実現する方法を示していますが、企業は依然として、その方法において多くの困難に直面しています。
ビジネスの意思決定者はクラウドとネットワークとの変革に対し、セキュリティを損なうことなく、より速く、より効率のよい王道を求めています。速度とスケーラビリティは非常に重要ですが、データの維持と脅威からの保護において妥協は許されません。デジタルトランスフォーメーションにおいて、安全とセキュリティを二の次にするわけにはいきません。この記事では、SASEを採用し推進するうえでの主なトレンドと、SASE導入によるパフォーマンスの向上、脅威とデータに対する安全性の向上、複雑さの軽減、およびコスト削減の方法について説明します。さらに、SASEの採用を加速するために、高速で安全なクラウドトランスフォーメーションにインテリジェントなハイパースケールプラットフォームが必要である理由を説明します。
目次
危険な迂回路、ポットホール、障害
デジタルトランスフォーメーションは生産性と効率の大幅な向上を約束しますが、その過程においてセキュリティと効率については課題が多く、そもそもの目的であったアップグレードと安全性から遠ざかる可能性もあります。
デジタルトランスフォーメーションにおいて対処が必要な課題としては、以下のような事項が考えられます。
- Big shift ~ 大移動 ~ – アプリケーションとデータを企業のデータセンターからクラウドへシフト(移行)が必要です。
- モバイル化 – 企業のITリソースへの個人所有のモバイルデバイス(BYOD)からのアクセスが急増したことで、より脆弱になっています。
- どこからでも仕事が可能に – 恒久的な「在宅勤務」への移行にともない従来型のネットワークが侵食されています。可視性と制御を確保するクラウドベースの企業のITリソースへのより効率的な分散アクセスへの需要が高まっています。
- インフラストラクチャーにかかるコスト – MPLS接続、VPNコンセントレーター、巨大な集中型ネットワークセキュリティインフラストラクチャーは運用コストを増大させるため大規模な投資が必要です。複数のセキュリティソリューションが個別のサイロで動作するため管理が煩雑になりコストが増大します。
- パフォーマンスの低下、遅延の増加、生産性の低下 – 専用MPLSとVPN回線は、低速なうえ構造の面からみても非効率的です。セキュリティを維持するため、トラフィックをデータセンターへ送信し、インターネットリソースに戻す必要があり、ダイレクトではありません。
- データの脆弱性 – データは、クラウドからサードパーティへのコラボレーション、クラウドサービス間のコラボレーション、および管理下にないデバイスによるアクセスにより、企業のセキュリティ対策の範囲外に存在し、また追跡が出来ない状態で移動するため、セキュリティチームが知らない間にインシデントが発生しやすくなります。
- 進化する脅威とテクニック – 常に最新のマルウェアのさらに先を行くことが最重要であることに変わりはありませんが、ソーシャルエンジニアリングなどの手法でクラウドプロバイダーの機能を使ってユーザーの認証情報を悪用し、ユーザーの行動を模倣する新しい攻撃が多発しています。一見すると正当と思えるこの動作を従来のセキュリティツールで検出することは、非常に困難です。
安全性、低コスト、高速性を実現する
分散された遠隔地で働く従業員に高速で安全なクラウド環境を提供するという困難な課題は、従来のエンタープライズネットワークやローカルデータセンターからの変革の推進を低下させる障害となっています。従業員、デバイス、企業の資産の接続において、安全ではあるものの遅くてコストがかさむ、またはコストが抑えられて高速ではあるが安全性に不安が残るという、妥協を伴う二者択一を強いられてきました。SASEフレームワークを採用することで、妥協のないクラウドへのトランスフォーメーションが実現します。
- コストを減らし、よりシンプルに – SOC、ITチームにとって大きなメリットであるSASEは、テクノロジースタックをシンプルにしてコストと煩雑さを軽減するネットワークトランスフォーメーションを促進します。
- 速度と生産性の向上 – 高速で中断のないアプリケーションとデータへのアクセスにより、ユーザーエクスペリエンスと生産性が向上します。SASEは、高速でユビキタスなクラウドサービスを介して、従業員、リモートワーカーにユビキタスでレイテンシーの少ない接続環境を提供し、安全で合理的な「シングルパス」モデルを採用しています。
- マルチベクトルなデータ保護 – SASEは、インターネット、クラウド内、また複数のクラウドの間を移動するデータを保護し、すべてのコントロールポイントでゼロトラストポリシーの決定を可能にします。
- 包括的な脅威防御 – SASEフレームワークは、クラウド内および任意のWebからのクラウドネイティブおよび高度なマルウェア攻撃の両方を検出するための組織の脅威防御機能を強化します。
トランスフォーメーションへの最適な選択
ネットワークとセキュリティのネットワークトランスフォーメーションの選択において、低リスク、高速、低コストなアクセスを可能にする最良の方法はどのように見極めればよいでしょうか。最近のマカフィーブログの記事では、先進的なテクノロジーに基づいて4つのアーキテクチャアプローチを詳しく説明していいます。4つのパスの長所と短所を比較検討し、Webおよびクラウドリソースへの高速で安全、かつ費用対効果の高いアクセスを実現するための理想的なソリューションは、は、ユビキタスで緊密に統合されたセキュリティスタックと、堅牢でクラウドに直接接続されたSD-WAN統合ネットワーキングソリューションを統合するSASEモデルと結論づけています。この組み合わせにより、クラウドへの安全でダイレクトなネットワークが提供され、アプリケーションやリソースに接続するための低速で高価なMPLS接続の課題が解決します。
安全で高速なMVISION Unified Cloud Edge (UCE) + SD-WAN
高速なネットワーク。データ保護。脅威からの保護。妥協することなく、ハイパースケールクラウドネットワーク全体の速度、セキュリティ、および安全性で効率の良い接続。
MVISION UCEは、SASEアーキテクチャを実装して、クラウドサービスによりデジタルトランスフォーメーションを加速させるための最良のフレームワークです。究極の労働生産性を強化しながら、あらゆるデバイスからのクラウドおよびインターネットアクセスを可能にします。MVISION UCEは、SASEの最も重要なセキュリティテクノロジーであるCASB(Cloud Access Security Broker)、次世代セキュア Webゲートウェイ(Secure Web Gateway)、DLP(Data Loss Prevention、データ損失防止)、ブラウザー分離(Remote Browser Isolation、RBI)をクラウドネイティブかつハイパースケールに統合、超低遅延と99.999%の可用性を備えたシングルパスセキュリティ監視を提供します。
MVISION Unified Cloud Edgeと当社が提携するパートナーの提供するSD-WANを使用することによって、コストのかかるMPLSの代わりに高速で低コストのブロードバンド接続を使用してコスト削減を実現し、ユーザーエクスペリエンスを高速化するネットワークトランスフォーメーションを主導できます。
MVISION UCEおよびSD-WANは、ユーザーがMLPSまたはVPN接続を介して企業ネットワークに戻ることなく、クラウドリソースに直接アクセスできるようにすることで、ネットワークアーキテクチャを変革します。ユーザーはクラウドリソースに直接アクセスできるようになり、McAfeeのクラウドインフラストラクチャは非常に最適化されているため、セキュリティスタックに悩まされることなく高速にリソースにアクセス可能です。このホワイトペーパー(英語)では、Peering POPsがどのように遅延の減少を可能にするかご紹介しています。
MVISION UCE + SD-WANは、その提供方法により、他のベンダーにはないデータと脅威からの保護を備えたSASEのメリットを以下のように発揮します。
コストと複雑さを削減しスピードと敏捷性を向上
- 結果として得られるコンバージドクラウドサービスは、個別のクラウドベースのテクノロジーを手動で統合して独自のSASEを構築するよりもはるかに効率的です。
- インテリジェントで効率的かつ安全なクラウドへの直接アクセスにより、非効率的なトラフィックバックホールを最小限に抑えます
- SD-WANテクノロジーを活用した業界標準の動的IPSecおよびGREプロトコルを使用して、SD-WANを介してリモートサイトを保護します。これにより、オフィスサイトはこれまでになく迅速かつ直接的にクラウドリソースにアクセスできます。
- グローバルなクラウドフットプリントと、遅延を削減するグローバルなPeering POPs (Point of Presence) を含むクラウドネイティブアーキテクチャにより、低遅延と無制限のスケーラビリティをお楽しみください。
- 99.999%の稼働率(サービスの可用性の維持)とインターネット速度を直接接続よりも高速化するクラウドサービスとして、ネットワークインフラストラクチャのコストを削減しながら、従業員の生産性を向上させます。
マルチベクトルにデータを保護
- データ保護に対するマカフィーのアプローチは統一されています。つまり、各コントロールポイントはソリューション全体の一部として機能します。
- すべてのアクセスポイントは、同じDLP(Data Loss Prevention)エンジンを使用してカバーされているため、デバイスからクラウドへのパスを簡単に追跡できます。
- データ分類は一度設定すれば、エンドポイント、Webトラフィック、およびクラウドの相互作用を保護するポリシーに適用できます。
- すべてのインシデントが1つの管理コンソールに一元化され、データ保護プラクティスを1つのビューで確認できるため、インシデント管理エクスペリエンスが合理化されます。
包括的な防御
- インテリジェンス主導の統合保護 – CASB、次世代SWG、DLP – 最も高度なサイバー攻撃とデータ損失への対策
- クラウドでホストされているリモートサーバーへのすべてのブラウジングアクティビティのリモート除外と封じ込めによる、Webベースの脅威とマルウェアからのリモートブラウザ分離(Remote Browser Isolation)保護
- 業界で最も効果的なインラインエミュレーションサンドボックスで、ゼロデイマルウェアをラインスピードで削除
- データに対する異常や脅威についてすべてのクラウドアクティビティを監視するユーザーおよびエンティティの動作分析(UEBA)
生産性の向上とクラウド変換のコスト削減において、McAfee MVISION UCEは、データと脅威のセキュリティを損なうことなく、SASEへの最速ルートを提供する効果的なソリューションです。
MVISION UCEとSASEへの独自のアプローチについて詳しくは、特設サイト(英語)もご参照ください。ウェビナーもご覧いただけます。
最新情報を入手
日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2021年3月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:The Fastest Route to SASE
著者:Robert Arandjelovic