クラウドによって実現される次世代型ネットワーク セキュリティ

This post is also available in: English (英語) 简体中文 (簡体中国語) 繁體中文 (繁体中国語) 한국어 (韓国語)

Nir Zuk、パロアルトネットワークス創設者兼CTO

クラウドに移行するアプリケーション、さらに、ユーザーのモバイル化が進むことで、ネットワークとネットワーク セキュリティ サービスを提供すべき方法が変わりつつあります。ネットワーク セキュリティの未来はクラウドにあり、この新しいモデルは「セキュア アクセス サービス エッジ」、またはSASE (「サシー」と発音)として知られています。パロアルトネットワークスの創設者兼CTOであるNir Zukは、この数年間、業界で最も包括的なSASEソリューションであるPrisma Accessによってこの変化を押し進めてきました。以下ではNirが、SASEがなぜネットワーク セキュリティの論理的な進化の帰結となるのか、その理由を解説します。本記事は、今後続くシリーズの第一弾となります。このシリーズでは、パロアルトネットワークスのソート リーダーたちが、統合的で効果的なSASEソリューションのコアとなる原理についてさらに広く、その実装と意味するところを探求していきます。

クラウドが主導する世界では、セキュリティは統合され一貫したサービスである必要があります。また、セキュリティはそれが保護すべき対象であるクラウド自体から提供されなければなりません。この説明は、これまでずっとセキュリティに関わってきた私のキャリアを圧倒するものです。セキュリティにおいてはこれまで、テクノロジの変化に対応しながら、ユーザー、アプリケーション、そしてデータを保護するために絶え間ない進化が必要とされてきました。そのような視点はいまだに必要です。しかし、ネットワーク セキュリティの未来とこれから起こる統合について言えば、従来の個別製品によるアプローチはもはや有効ではありません。 

25年近く前、私は、業界初のステートフル インスペクション機能を備えたファイアウォールの主な開発者でした。当時はインターネット黎明期で、その時代の主なファイアウォール テクノロジはステートレスなアクセス制御リスト(ACL)でした。ACLでは、インターネット上のオーディオやビデオ アプリケーション(あるいは古き良きFTPでさえ)などのステートフルなアプリケーションの出現に対処できず、明らかに新しいアプローチが必要でした。プロキシ テクノロジを利用した試みは無駄に終わりました。プロキシはあまりに遅く、これらのアプリケーションの多くで不具合を引き起こす傾向があったのです。ステートフル インスペクションは有用かつ安全であることが判明し、そのためそれ以来、ネットワーク セキュリティ市場を支配してきました。 

15年ほど前、インターネット アプリケーションの爆発的な増加がステートフル インスペクションにとって課題だということが明らかになり、再び新しいアプローチが必要となりました。当初は、新たなプロキシ テクノロジを用いてこの課題に取り組もうとする試みがなされました(二度目です!)。しかし、プロキシゆえのパフォーマンスの低さ、また、すべてのタイプのネットワーク トラフィックを対象として検査することができないという理由で、再び失敗したのです。私は再び、自分がこのファイアウォールを直さなくてはという気持ちを抱いたのです。そこでパロアルトネットワークスを立ち上げ、ステートフル インスペクションに代わるApp-IDベースの次世代ファイアウォールを構築することにしました。現在、これは市場を圧倒的にリードするファイアウォールになっています。

今日私たちは、アプリケーションにさらに新たな変化が生じており、それがネットワーク セキュリティにもさらに新しい変化をもたらしているのを目の当たりにしています。今回の変化は、アプリケーションが企業のデータセンターからクラウド(SaaSとパブリック クラウドの両方)へと移行しているということです。クラウドの採用がファイアウォールのアーキテクチャにとって再び課題となっており、それに対して私は何らか対応しなければなりません。そうです。この課題を解決しようとする初期段階の試みはプロキシで行われ、以前と同じ理由で失敗しています。

再び、ネットワーク セキュリティを修正するときが来ました。

時の経過とともに、企業は概してかなりの数のネットワーク セキュリティ インフラを構築しています。まず、各支店をセキュリティで保護するためのインフラがあります。そこでは通常、トラフィックはIP-VPN (MPLSをイメージしてください)ネットワークを介して本社またはデータセンターに戻され、インターネット トラフィックはそこから企業のネットワーク セキュリティ スタックを経由してルーティングされます。次に、企業のデータセンターへのリモート アクセスを可能にするネットワーク セキュリティ インフラがあります。 

アプリケーションがクラウドに移行するにつれて、支店、ユーザー、パートナーのすべてのトラフィックを本社またはデータセンターに強制的に戻すという従来の方法は、もはや理にかなっていません。同じネットワーク セキュリティ スタックをクラウドから提供する方が、はるかに理にかなっています。クラウドに向かうトラフィックは企業ネットワークを通らずに済み、企業のデータ センターに向かうトラフィックも少なくて済むようになります。

クラウドからネットワーク セキュリティを提供することで、ユーザーやアプリケーション、データを場所に関係なく保護することができます。

SASE:  あらゆる場所を、より安全に

ガートナーは、クラウドにおけるネットワークとネットワーク セキュリティの新しいモデルとして、「セキュア アクセス サービス エッジ」、またはSASE (「サシー」と発音)を提案しています。ガートナーは次のように述べています。

「セキュア アクセス サービス エッジは、包括的なWAN機能と包括的なネットワーク セキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)を組み合わせた新しいソリューションであり、アクセスを動的でセキュアなものにしたいというデジタル企業のニーズをサポートします」 

ガートナーによると、SASEはクラウド環境とモバイル環境のニーズを効果的に満たし、従来型のネットワーク アーキテクチャやセキュリティ アーキテクチャが抱える課題に対処できるといいます。 

私はこのコンセプトに賛成ですが、私が思うに、それは比較的シンプルなものです。SASEは、さまざまなアクセス手段やネットワーク セキュリティ手法を1つの統合プラットフォームに集約したものです。しかし、おそらく最も重要なことは、この統合プラットフォームはシームレスなユーザー エクスペリエンスを保証するものでなければならないということです。ハイパフォーマンスなグローバル ネットワーク上に構築されなければならず、それは大部分の小規模ベンダーの能力を超えています。SASEは、セキュリティ業界では前例のないレベルの統合を必要とします。これは、参入障壁が極めて低い、細分化されたセキュリティ業界における他のアプローチとは異なっています。

サイバーセキュリティ業界はこれまで、何十ものベンダーとの協力が必要であり、さらに何十もの個別製品や技術を使うことが必要であることを顧客に納得させようと必死に努力してきました。しかし、ネットワーク セキュリティの未来はクラウドにあります。セキュリティ ベンダーは、顧客がどこにいたとしても効果的に保護できるように進化しなければならなりません。 

パロアルトネットワークスではこの変化を予測し、魅力的なSASEソリューションを構築しました。Prisma Accessは、すべてのトラフィック、すべてのアプリケーション、すべてのユーザーを対象として設計されたSASEアーキテクチャで、企業が必要とするネットワークとネットワーク セキュリティを提供します。 

SASEの詳細については、ガートナーのレポート「The Future of Network Security Is in the Cloud」を参照してください。

ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高の評価を得たベンダーのみを選択するようテクノロジの利用者に助言するものではありません。ガートナーのリサーチ レポートは同社リサーチ部門の見解を編集したものであり、事実の声明として解釈すべきものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。

ガートナー、『The Future of Network Security Is in the Cloud』、Neil MacDonald、Lawrence Orans、Joe Skorupa著、2019年8月30日