「次世代」のネットワークセキュリティの先へ
この記事は、Cisco Security Business Group の Vice President である Rick Miles
によるブログ「Going Beyond “Next Generation” Network Security
今こそ、「次世代」を考え直すとき
10 年以上前、ネットワークセキュリティの分野で「次世代」という言葉が使われるとき、それはファイアウォールによるアプリケーション層の制御を導入するという意味でした。ネットワークセキュリティ分野にとって極めて重要な瞬間であり、データセンターの境界をどのように保護するかという新たな基準ができました。
ところが、この 10 年で多くの変化がありました。中でも注目すべきは、クラウド(さらにはマルチクラウド)アーキテクチャの急速な普及と「境界」の定義の仕方が変わったことです。今日では、IT リーダーの 82% がハイブリッド クラウド アーキテクチャを採用しており、組織の 58% が 2 つから 3 つのパブリック IaaS(Infrastructure as a Service)クラウドを使用しています1。その上、Web トラフィックの 95% は暗号化されており、可視性が限られています。アプリケーションがいたるところにあり、アクセス権限が構造化されていないため、アタックサーフェス(攻撃対象領域)が拡大しているのです。そして企業は完璧に近い可用性とレジリエンスを望んでいます。さらに事態を複雑にしているのは、企業がこうした課題を別々のソリューションで解決しようとしていることです。その結果、セキュリティスタック間でベンダーが乱立し、運用が非効率になっています。
さて、このような状況は何を示しているのでしょうか。かつて「次世代」のネットワークセキュリティと考えられていたものは、もはや通用しません。サイロ化を解消し、別々のツールを使用するのをやめるといった新たなセキュリティの考え方が必要です。いわば、「次の次世代」といったところでしょうか。今こそ、オンプレミスとマルチクラウドネットワークのセキュリティを統合し、1 つの統一されたアプローチにするときです。
本日は、ネットワークセキュリティを統合するための一連のイノベーションをご紹介します。最高クラスのデータセンターセキュリティ、マルチクラウドセキュリティ、管理の統合を実現しており、グラウンドからクラウドまでお客様を保護するものです。
グラウンドから
「グラウンド」というのは、ファイアウォールでデータセンターのセキュリティを確保することです。その中核にあるのは、ファイアウォールが悪意のあるトラフィックからネットワークを保護するシールドであるということです。ただし、課題が 3 つあります。まず 1 つ目ですが、今日ではトラフィックのほぼすべてが暗号化されているため、パフォーマンスを低下させることなく悪意のあるトラフィックとそうでないトラフィックを識別するのがこれまで以上に難しくなっています。2 つ目に、「シールド」は通常、アプリケーションアクセスの認証時しか機能しません。つまり、継続的な検証はできないということです。そして 3 つ目に、専用回線は高価ですが、インターネット全体のブランチトラフィックのルートを管理するにはツールを追加する必要があります。
そこで、Cisco Secure Firewall の出番となります。優れたパフォーマンス、新しい接続オプション、組織のあらゆる面に対する可視性の向上を実現するものです。シスコは本日、Cisco Secure Firewall 4200 シリーズをリリースします。シスコのデータセンター ファイアウォールとしてはこれまでで最も強力であり、インライン暗号アクセラレーションを活用することで、暗号化された世界でもパフォーマンスを維持します。Secure Firewall 4200 シリーズでは、暗号化の課題を軽減し、安全なアクセスを一元化できる最新の 7.4 ソフトウェアリリースをお客様にお届けします。
新しい Encrypted Visibility Engine 2.0 は AI/ML を活用して、暗号化されたトラフィックを復号することなく、トラフィック内の脅威とアプリケーションを識別します。これにより、パフォーマンスとプライバシーに関する懸念だけでなく、検査のための復号という複雑さも解決します。さらに 7.4 では、セキュリティスタックの基盤を活用し、ゼロトラスト アプリケーション アクセスによる安全なアクセス機能を追加しています。この ZTNA モデルの進化は、「許可した後は検証しない」という考え方の先にあるものです。ユーザートラフィックとアプリケーション動作の検査を行うことで、より安全なアクセスを実現します。高価な専用回線なしで分散拠点からのアプリケーションへのアクセス増加に対応するには、ブランチルーティングのシンプル化が必要です。これにより、ファイアウォールがアプリケーション トラフィックを一元的に認識、監視、ルーティングできるようになり、パフォーマンスの向上と安全なアクセスが実現します。
新たなセキュリティ機能、パフォーマンス、アプリケーションアクセスをデータセンターのファイアウォールに取り入れることで、複数のクラウドプラットフォームにまたがるデータとアプリケーションの保護という複雑さにも対応できるようになります。ここで必要となるのが、オンプレミスのインフラストラクチャとクラウドベースの資産の両方を保護する包括的で適応性のあるセキュリティ戦略です。
クラウドまで
クラウドネットワークのセキュリティを確保することに関しては、複雑さが一番の敵です。ほとんどの企業は、Amazon Web Services、Microsoft Azure、Google Cloud Platform、Oracle Cloud Infrastructure などのパブリッククラウドと、プライベートクラウドを組み合わせて利用しています。複雑になるのはここからです。というのも、パブリッククラウドはすべて独自のセキュリティ管理と「言語」を持っており、そうした管理は独立して機能するからです。
Cisco Multicloud Defense は、すべてのクラウド環境におけるセキュリティ管理を統合し、複雑さをシンプルなものにします。基盤となっているのは、Valtix 社の買収で得たテクノロジーです。パブリッククラウド環境とプライベートクラウド環境の両方で、1 つの統一されたコントロールプレーンをご利用いただけるようになりました。つまり、ポリシーを一度作成すれば、どこにでも展開できるということです。
Cisco Multicloud Defense では、単一の動的ポリシーで管理される分散型のレイヤ 7 保護、Web アプリケーション ファイアウォール(WAF)、データ損失防止(DLP)機能を統合しています。Multicloud Defense はクラウド間の解釈プログラムとして機能し、お客様の VPC に設置されたゲートウェイをセキュリティポリシーの適用ポイントとして使用します。これにより、アプリケーションを標的とする脅威を阻止し、コマンド & コントロールをブロックしてデータ漏洩を防止できます。侵入拡大を防ぎやすくもなります。要するに、クラウドの魅力である俊敏性、柔軟性、拡張性のすべてが、クラウドのセキュリティを確保するために活用されるようになったのです。それに加え、自動化とオーケストレーションを実現する単一のコントロールプレーンを持つことによって、トレーニングが減り、専門的なリソースも少なくてすみ、価値創出までの時間を短縮できるようになります。
1つのプラットフォームにすべて集約
先に述べたとおり「次世代」の時代は過去のものです。セキュリティの未来は、ハイブリッドクラウドとマルチクラウドのエクスペリエンスを統合し、シンプルにするコンバージェンスから始まります。1 年前、シスコは Cisco Security Cloud のビジョンを発表しました。これは、クラウドで提供される AI 主導のセキュリティ プラットフォームであり、ハイブリッドクラウドとマルチクラウドのインフラストラクチャ全体を保護し、驚くようなユーザー体験を実現するものです。本日は、このビジョンを具現化するためのシスコの取り組みをご紹介しました。最高クラスのデータセンターとマルチクラウドセキュリティのファブリックを統合し、グラウンドからクラウドまでお客様の保護に努めています。
ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手してください。
Cisco Secure ソーシャルメディア
Instagram
Facebook
Twitter
LinkedIn
Tags:
