ガートナーの提唱するSASE(Secure Access Service Edge)フレームワークや、ネットワークとセキュリティのクラウドネイティブな融合に対し、多くの人々が大変注目しています。当初はネットワークとセキュリティ機能を提供する完全に統合されたアーキテクチャとして提案されていましたが、既存の投資、顧客側のサイロ化された運用、ベンダーの統合などが要因により、企業が完全なSASEモデルに移行するには10年単位の時間がかかるという現実が、すぐに明らかになりました。その結果、ガートナーは、SASEに新たに2つのアプローチを導入しました。高度に統合されたWANエッジインフラストラクチャプラットフォームと高度に統合されたセキュリティプラットフォーム(Security Service Edge, SSE)です。
図1: SASEのコンバージェンス
SSEは、SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、ZTNA(Zero Trust Network Access)を一つに統合し、Web、クラウドサービス、プライベートアプリケーションへのアクセスを保護し、問題点(リスク、コスト、複雑さ)を改善します。私たちは、長年にわたってこのアプローチを推進してきました。3年以上前、業界最高のSASEセキュリティソリューションを構築するプロジェクトに着手しました。2020年初頭にMVISION Unified Cloud Edge ソリューションを発表して以来、セキュリティサービスエッジの分野において革新とスタンダートの設定を続けています。
どのように実現したのか
SSEが解決しようとしている根本的な問題は、企業が適切に人員とデータを保護しなければならないということです。デジタルトランスフォーメーションによってクラウドの普及に拍車がかかり、リモートワーカーやモバイルワーカーが活躍するようになったことで、問題解決が一層難しくなりました。つい数年前まではリモートアクセスといえば、出張でほんの短時間だけ利用する、一部の社員が対象の典型的なものでした。しかし現在では、COVID-19の影響や、WFA(Work From Anywhere、勤務場所を自由に選択する)といったスタイルへの移行を背景に、文化的に大きな変化が生じ、それは今もなお続いています。クラウドへの急速な移行がこれを支えており、近い将来は大半のワークロードとアプリケーションがクラウドへ移行します。
かつて存在していたような、確固たる境界と壁は取り払われました。今では社員がデータを扱う時、境界線の外側のクラウドアプリケーションを多用します。私たちは、あらゆる場所からクラウドアプリケーションを利用し、時には世界中で国境を越えて利用します。しかし、私たちの目標はいつも同じです。それは、いつどのようなデバイスを使用する場合でも、社員の安全を確保すること、デバイスの安全を確保すること、そしてデータの安全を確保することです。
セキュアウェブゲートウェイは従来型の境界のゲートキーパーの一つであり、基本的にはネットワークの境界に存在する機器でした。CASB(クラウドアクセスセキュリティブローカー)は、基本的にクラウドサービス内を保護するために構築されました。VPN(仮想プライベートネットワーク)は、単一のネットワーク上で、オフィスとリモートユーザーの安全な相互接続を可能にするものですが、ネットワーク、Web、クラウドの境界が曖昧になるにつれ、これらのテクノロジーを個別に管理することが問題になってきました。組織のポリシーやコンプライアンス要件を、特定のベンダーの管理コンソールの設定用に変換する必要があります。最初のパスでは、ポリシーの実装で、より多くのエラーが発生します。ポリシーの変更は、複数のベンダーの管理インターフェース上でロールアウトと実装をする必要がありメンテナンスが困難です。そして「境界という概念のない世界」の問題に対して、伝統的な技術を適応させようとして失敗してしまうのです。これらの技術を統合してクラウドに適用するということが、論理的な解決策であるといえます。
統合することによってうまれる力
私たちは3年以上前から、ユニファイドポリシーフレームワークに、多くの力を注いできました。脅威エンジンとデータエンジンを統合しました。クラウドネイティブセキュリティを実現するため、統一されたユーザー エクスペリエンスと、統一された管理エクスペリエンスを構築しました。
セキュリティ制御の統合によりパフォーマンスを向上させつつ、問題点(オーバーヘッド、複雑さ、コスト)を改善し、密接に統合させたSSEインフラストラクチャにより、複数のベンダーの管理インターフェースでポリシーを設定するという管理上の課題を解決します。しかし、競合他社の状況を見る限り、「言うは易く行うは難し」であることがわかります。しかし、セキュリティ分野で最先端の Multi-Vector Data Protection 機能は、統一されたデータ分類、ポリシー実施、インシデント管理により、データがどこにあっても驚くほど簡単にデータの安全を保ちます。
図2:McAfee Enterprise Multi-Vector Data Protection
他のベンダーはクラウド分野において成長を遂げていますが、現在も大企業が使用しているプライベートリソースへの接続に関して、まだ対応ができていません。大規模なSASE製品の一部としてSSE 製品をゼロから構築しようとしているベンダーもありますが、ほとんどが最低限の機能性しか備えておらず、複雑かつ新しい製品であるがゆえ不安定であると考えられます。
Security Service Edge Vision
私たちは数年前から、SSEコンバージドセキュリティサービスの完全なセットのMVISION Unified Cloud EdgeをSD-WANベンダーが提供する高度に統合されたネットワークサービスに密接に結び付けてSSEを実装するという戦略を計画し、実行してきました。多くの大企業は、このアプローチによって、すでに導入しているテクノロジーインフラの多くを活用し、SASEアーキテクチャと一緒に活用できるように構築できます。
図3: MVISION Unified Cloud Edgeにより、Web、クラウド、プライベートアプリへのセキュアなアクセスを実現
統合環境の効率化によって、管理にかかる投資を削減、ポリシー実施の精度を高め、セキュリティ制御プロセスをデータやアクティビティに一度に適用するスピードを向上させ、セキュリティの効率と有効性を高めます。統合したRBI(Remote Browser Isolation)が、どのようにしてシームレスでコスト効率の高い方法でセキュリティ保護を大幅に向上させるかということは、こちらの記事でご紹介しています。ぜひご一読下さい。
図4:Remote Browser Isolationを統合したMVISION Unified Cloud Edgeの脅威防御スタック
SWG、CASB、ZTNA、DLP、RBI、FWaaSなどのクラウドセキュリティ技術の融合・統合は、運用を大幅に強化します。コストの削減とエラーの減少、企業のポリシーや管理をより正確に実施することを可能にします。また、専門家による個別のセキュリティ管理や手間を減らすことができるため、コストを削減できます。
当社は、最良で最速な包括的な統合SSEサービスを提供しています。UCE(Unified Cloud Edge)アーキテクチャは、統合されたポリシー管理というビジョンを達成しています。MVISION UCEは、あらゆる場所にデータと脅威に対する保護を提供するセキュリティファブリックです。遠隔地で仕事をする社員が、迅速に、安全に、インターネットへ直接アクセスすることが可能です。
MVISION Unified Cloud EdgeがどのようにしてSASEへの最短ルートを実現するかについては、 こちらをご覧ください。また、MVISION UCEのページで詳細をご案内しております。
※本ページの内容は2021年10月21日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Realize Your SASE Vision with Security Service Edge and McAfee Enterprise
著者: Sadik Al-Abdulla