ユーザーからクラウドへ流れる通信の管理が課題に
講演の前半に登場したのは、ネットスコープの白石氏。まず同社が目指すSASEを説明するにあたり、現状の課題としてあらゆるユーザーやデバイスが、オフィスや自宅など様々なロケーションから、様々なWeb上のサービスにアクセスする状況が生まれていることを指摘。アクセス先とは、通常のWebアクセス、オンプレミスやIaaS上の社内サイトや基幹系アプリケーションをはじめ、Microsoft365やGoogle Drive、Box、slackなどの認可されたクラウドサービス、そして管理外のシャドーITである。
その結果、ユーザーからクラウドへと様々な通信が流れているが、ここに問題が生じていると白石氏はいう。「ユーザーがいつどこにどんな情報を流しているかわからない。故意かどうかは別として、マイナンバーや個人情報などの重要データがシャドーITにアップロードされている可能性がある。また、マルウェアが認可クラウドに置かれている恐れもある」(白石氏)
ではこの状況をどう防ぐか。ネットスコープでは、データを中心としたデータセントリックなSASEで防げるとし、ラインアップを揃えている。
ガートナーの定義では、SASEはNetwork as a Serviceと、Network Security as a Serviceの2つを提供するものとされている。前者にはSD-WAN(Software Defined Wide Area Network)やCDN(Content Delivery Network)など、後者にはCASB(Cloud Access Security Broker)、Cloud SWG(Secure Web Gateway)、ZTNA(Zero Trust Network Access)などが含まれるが、同社のサービスは基本的に後者となる。
そしてガートナーが示す今後のネットワークとセキュリティの形は、ルーター、ファイアウォール、VPNなどが全てオフィスやデータセンターの中にある「Heavy-Branch」といわれる形態が、オフィスにSD-WANなど少量を残してクラウドに多くの機能が置かれる「Thin-Branch Heavy-Cloud」という形に移行するというもの。
その中でネットスコープがカバーする領域は、「CASB」「ZTNA/SDP(Software Defined Perimeter)」「SWG」「DLP」「Threat」「Sandbox」で、クラウド側に置かれるNetwork Security as a Serviceのほとんどの機能を有している。これは、元々CASBから始まった同社が、SASEの形へと近づいている現状を示すものである。
CASBとSWGのデータ制御層で通信を全て管理
これらを元に展開するネットスコープのセキュリティ対策の概念は、ユーザーとクラウド上のアプリの間に、データ制御の層を入れるという形である。ユーザーからの通信を一度集め、その後に必要なところに通信を行う仕組みだ。クラウドにはCASB、WebにはSWG、オンプレにはZTNA製品を適用する。そして、CASBとSWGをまとめて「次世代SWG」と呼ぶ。
リモートユーザーのデバイスにエージェントを入れ、拠点からの場合はエージェントかIPsecで通る形にすることで、すべての通信をSWG経由とすることができ、それを記録・可視化して同一のポリシーとエージェントのもとで個々に制御をかけられる。その結果、「セキュリティはアップし、運用負荷が下がる」(白石氏)
可視化については、どのアプリを誰が使っているかというレベルで行われ、リストアップも可能。通信量も把握でき、挙動で怪しさを判断できる。さらに、約34000種類のクラウドサービスがデータベースに登録され、各サービスのリスクをスコアで算出。これにより、クラウドサービスの利用可否を判断する材料になると共に、シャドーITによるリスクもわかる。
また制御に関しては、暗号化通信を復号化する際に、様々な通信項目の中身を深くまで確認できるため、細かく個人ごとにポリシーを適用できるという。さらに、不審なユーザーの動作を検知するUEBA(User and Entity Behavior Analytics)で、ユーザーの挙動やデータの流れを可視化して危険を察知するほか、不審な動きをしたら減点していく形で個人ごとに信頼度のスコアを算出、その数字を見てアクセス制限を振り分けることもできる。
従来のVPNを置き換えるリモートアクセスソリューション
オンプレに適用するのは、「Netskope Private Access(NPA)」というZTNA製品で、従来のVPN接続に代わる安全なリモートアクセスを実現する。ユーザー端末に次世代SWGと統合されているエージェントを導入し、そこからアクセスしたい社内アプリがあるオンプレや、AWSなど場所ごとにコンポーネントを設置、トンネルを張って自宅からでも安全に社内システムにアクセスできるという仕組みである。
従来型VPNの場合、全てのユーザーが全てのアプリにアクセス可能で、外から繋ぐと情報漏洩リスクが高まる。そこをNPAは最小権限にでき、この社員はWebアプリやリモートアクセスは許可するがOracleへは不可、などという形で対処できる。
とはいえネットスコープだけではできない部分も出てくるが、「他社のID管理や認証、デバイスセキュリティやデバイス管理等と連携してよりよいSASEの形を作り上げることができる」と白石氏はいう。そして、「SASEは新しい概念なので、導入や構築に不安があると思う。その場合、実績のある会社に相談するのがよい」として同氏が紹介するのがTEDである。
50社以上の導入実績と認定エンジニアによるサポート体制
白石氏からのバトンを受け、TEDの松村氏が登場。同社はプラチナパートナーであり、パートナーSE・オブ・ザ・イヤーを獲得した認定エンジニアが製品をサポートするなど、ネットスコープに関する様々な実績と知見を持つ。ネットスコープ日本法人設立と同時に代理店契約を結び、これまで50社以上に製品を導入しているという。
その中から松村氏は、ユースケースの異なる3件の導入事例を紹介。1件目はNTTデータへの、許可されているクラウドサービスのセキュリティを担保した事例である。顧客とのコラボレーションでBoxを導入した際、ネットスコープを経由しないとBoxにアクセスできない仕組みを確立し、セキュリティを担保している。現在はslackでの活用も進んでいるとのこと。
次は、電通デジタルのシャドーITの可視化・制御の事例。同社ではG SuiteやDropboxなどを社内で活用できるように展開するなか、従来の境界型ネットワーク環境ではシャドーITを管理できない課題が生じた。そこでクラウドサービスを安全に使える環境を構築するためにネットスコープを活用し、ゼロトラストの考え方をベースにネットワークを再構築した。
最後は、FOLIOのUSBメモリを完全廃止した事例。以前は業務端末で個人情報を閲覧する際、専用端末から許可されたUSBメモリで確認していたが、CASBを使えばセキュアに利用しつつ生産性も向上できると考え導入した。現在個人情報はMicrosoftのOne Drive上に隔離されていて、業務端末から確認する際は閲覧のみにし、セキュリティを担保している。ほかにも、取引先から指定されたBoxへのアクセス、ファイル共有状況を可視化するなど、ネットスコープで統合管理しているという。
サポートサービスでは、10人以上の認定資格保有者が在籍し、導入から運用までワンストップで対応する。導入前の事前検証を始め、設定構築に必要な操作レクチャー、ポリシーチューニングなどを支援。導入後は、平日日中帯のヘルプデスクに対応。オプションで24時間365日の運用監視サービスも提供し、導入後のインシデントにも対応する。
最後に松村氏は、「TEDはネットスコープに対して豊富な実績とノウハウがある。有識者によるトータルサポート、導入後の運用サポートも万全である」と実績をアピールし、両社による今後の展開に自信をにじませた。
