Categories: セキュリティ

シスコは SASE に安全性と拡張性に優れたシンプルなアプローチを適用

この記事は、Security Business Group の SVP/GM of Cloud and Network Security である Jeff Reed によるブログ「Cisco Takes a Simple, Secure, and Scalable Approach to SASE」(2020/10/28)の抄訳です。

 

ネットワークの境界が侵害されるケースがこの 1 年で増加し、セキュリティに対する見方が変わりました。筆者は、今年の初めにセキュア アクセス サービス エッジ(SASE)アーキテクチャの新しい概念についてブログを投稿し、必要なコアコンポーネントについて説明しました。過去数ヵ月、Gartner 社が示した SASE の方向性に関して異論を唱える人はいませんでしたが、SASE 戦略を策定する際に適用すべきアプローチと評価基準については、さまざまな解釈がなされています。

SASE の概念を生み出すことになった以下の課題を確認することは、焦点を絞るべきポイントや評価基準を判断する上で役立つと考えています。

  • 分散環境におけるセキュリティとネットワークの複雑さが増している
  • クラウド/SaaS の導入に関してセキュリティとパフォーマンスのバランスが取れていない
  • 幅広いセキュリティ機能において拡張性とスループットが求められる

SASE の概念は、セキュリティを強化し、変化に応じた拡張性を確保しながら、IT 環境をシンプルにするというクラウド本来の特長(シンプルさ、セキュリティ、拡張性)に基づいています。これらの特長は、SASE 戦略を策定する際に考慮すべき中心的なポイントだと考えています。この 3 つのポイントから、シスコが SASE のビジョンをどのように実現しようとしているかを見てみましょう。
 

シンプルさ

シスコの Umbrella、Duo、Meraki の各ソリューションは、一貫して高いパフォーマンスを実現しながら、初期導入から設定、継続的な管理タスクに至るまで、カスタマーエクスペリエンスのシンプルさで市場をリードしています。たとえば Umbrella は、この 18 ヵ月間で、セキュア Web ゲートウェイ、Firewall-as-a-Service、CASB の機能を、使いやすい単一のコンソールにすべて統合しました。筆者は最近、すべてのシスコ セキュリティソリューションに SecureX が統合されたことについてブログを投稿しました。SecureX セキュリティ プラットフォームは、シスコのセキュリティポートフォリオ全体からデータを集約するだけでなく、サードパーティのデータも収集します。また、自動対応機能も備えているため、セキュリティアナリストの日々のタスクがさらにシンプルになり、対応時間が短縮されます。

主要な SASE の使用例の 1 つは、ブランチやリモートオフィスから直接インターネットにアクセス(DIA)できるようにすることです。早い段階で SASE を導入した企業は、複雑な SD-WAN、トンネル、クラウドセキュリティを統合するために、これまで導入に長い時間を費やしてきました。シスコは、購入(単一の Cisco SD-WAN と Umbrella の SKU で可能)から導入(Cisco SD-WAN と Umbrella の自動統合で実現)に至るまで、この多面的な課題に対するソリューションを大幅にシンプルにしたため、数百におよぶ拠点をすぐに接続し、継続的な運用を容易に実現できるようになりました(単一のクラウドベース ダッシュボードによるポリシー制御および自動フェールオーバー)。

もう 1 つの一般的な SASE の使用例は、リモートワーカーの接続と保護です。
シスコは、リモートワーカーの場所やデバイスを問わず、Umbrella クラウドセキュリティに簡単に接続できるようにしました。AnyConnect クライアント(Umbrella SIG Essentials パッケージに含まれる)は、最近 1 億台を超えるデバイスをカバーするまでに拡張され、発信トラフィックを Umbrella に簡単に転送してさまざまなセキュリティ機能を活用できるようになりました。

 

セキュリティ

Gartner 社は現在、SASE の概念がハイプ・サイクル(Gartner 社が提示した、新たなテクノロジーが登場した際のサイクル)に基づいて急速に拡大していることを示しています。多くのベンダーは、SASE に似た一見華やかなソリューションを主張していますが、ソリューションを評価する際には、最終目標を意識することが重要です。セキュリティチームを苦しめ、修復に何億円ものコストがかかるインターネットベースの脅威の拡大を効果的に阻止できないのであれば、トラフィックを転送して派手なダッシュボードで表示しても何の役にも立ちません。

シスコは、セキュリティの有効性に誇りを持っています。Cisco Advanced Malware Protection(AMP)は、独立機関による最近のテストでマルウェア検出率の最高スコアを記録し、誤検出率は最も低いグループの 1 つでした。Umbrella は、新たなマルウェア、悪意のあるファイル、フィッシング攻撃の検出に関する第三者機関のテストで、複数年にわたって 1 位の評価を得ています。AV-TEST は、最近の AV-TEST レポートで Umbrella が最も高いセキュリティ検出率(96.39%)を記録したことに基づき、セキュリティの有効性において Cisco Umbrella を第 1 位に選出しました。Umbrella は、DNS レイヤ保護、セキュア Web ゲートウェイ、高度な脅威検出、ファイアウォール、クラウド アクセス セキュリティ ブローカ(CASB)の各機能を統合しています。そのため、エンドユーザがどんなデバイスを使用していてもセキュリティを意識する必要はありません。AV-TEST の同じ一連のテストで、Umbrella は、テスト対象のすべてのベンダーの中で誤検出率が最も低く(0.65%)、この点でも 1 位になりました。調査に時間のかかる誤検出を最小限に抑えながら、最高の脅威検出/ブロックを実現することは、負担の重いセキュリティチームにとって最も価値あることです。

 

拡張性

クラウドの導入が進むほど、インターネットトラフィックが急激に増加します。幸いシスコには、高性能で大容量のネットワークを構築した経験が豊富にあります。Umbrella は非常に復元性の高いグローバル クラウド インフラストラクチャで、2006 年以来 100% の稼働時間を誇っています。Umbrella は、1000 を超える世界トップクラスのインターネット サービス プロバイダー(ISP)、コンテンツ配信ネットワーク(CDN)、SaaS プラットフォームと直接連携し、あらゆるリクエストを最適なルートで転送することにより、卓越した速度、効果的なセキュリティ、高いユーザ満足度を実現しています。Miercom 社による最近の一般的な SaaS トラフィックのテストによると、Umbrella のネットワークでは、一般的な ISP 接続の最大 7 分の 1 にまで遅延が短縮されています。

Umbrella ネットワークは現在、1 日あたり 2,500 億件を超えるインターネットリクエストを処理しています。Anycast ルーティングを使用することで、世界中にあるシスコのお客様向けデータセンターに、1 つの同じ IP アドレスでアクセスできます。そのため、お客様のリクエストは最も近いデータセンターに自動的に転送されます。また、フェールオーバーも自動です。シスコのインフラストラクチャは、非常に柔軟な構造で構築されているため、トラフィックを大幅に拡張でき、アプリケーションがホストされている場所に関係なく、低遅延でアクセスできます。他の多くのプロバイダーとは異なり、シスコは、パブリッククラウドサービスで単に同じインフラストラクチャを提供しているわけではありません。シスコは、高いスループットとセキュリティを両立できるように、自社で機器を所有して頻繁に調整しながら管理しています。そのため、一貫して高いパフォーマンスを維持するために必要な制御が可能です。

 

今すぐ SASE の導入を始めましょう

SASE アーキテクチャ全体を導入するプロセスは複数のステップで構成され、組織ごとに異なりますが、開始すべき時は今です。シスコでは、ネットワーク、セキュリティ、アイデンティティサービスの中核となる SASE 分野で実績があります。シスコは、ビジネスの拡大に必要な統合機能を備えながら導入/管理が容易なソリューションを提供し、スピード、パフォーマンス、ユーザエクスペリエンスを低下させることなく、ユーザがどこで作業していも効果的なセキュリティを実現します。また、お客様のビジネスに最適な移行パスを選択し、すでに導入しているセキュリティ機能との統合をサポートできることが重要だと考えています。それでは、信頼できるパートナーを選択して、SASE を導入しましょう。

詳細については、SASE 導入のロードマップを参照するか、SASE Web ページをご覧ください。

坂川 健太

外資 IT メーカーでプロジェクトマネージャー、セキュリティ ベンダーでシニア テクニカル サポート エンジニアを経て、2018 年にシスコ入社。現在はセキュリティ専任のテクニカルソリューションズアーキテクトとして主にエンドポイント セキュリティ、クラウドセキュリティの領域を担当。