皆さまこんにちは。シスコでセキュリティを担当する坂川です。
このコラムでは、2023 年 6 月のシスコ最大のイベント、Cisco Live! で発表となった Cisco Security Cloud 構想に紐づくソリューション、Cisco Secure Access をご紹介します。
現在の複雑化したセキュリティ課題を解決し、ビジネスレジリエンスを実現する画期的なソリューションです。そのベネフィットを、ぜひご一読ください。
全体像を解説する「シスコの考える新時代のセキュリティ~Cisco Security Cloudのご紹介」も併せてお読みください。
課題:複雑化し続けるネットワークセキュリティ
IT 環境と脅威の状況は、変化し続けています。
- リモートユーザーやハイブリッドユーザーは以前から存在しましたが、今や大多数を占め、管理下・非管理下の、複数のデバイスを使いこなしています。
- クラウドの導入が加速度的に進み、ビジネスの多方面に影響を及ぼしています。
- その一方、脅威や攻撃の手口は増加し続け、より巧妙になっています。
- IT 部門は、ますます多様化するユーザーやデバイスを保護するために奔走しています。
過去 10 年間、セキュリティに新たな問題が発生するたびに、その問題を解決するために新しい企業が続々と登場しています。 問題は、これらのソリューションを使いこなすために、顧客に負担を強いることです。しかも、これは何年も前から続いていて、平均的な企業では 76 のセキュリティツールを利用し、新たなソリューションを積極的に追加しているにも関わらず、感染の頻度と深刻度は上昇し続けています。
最優先課題への対処として求められることは?
それでは、最優先課題への対処として、何が求められているのでしょうか。
1 つ目は、ハイブリッドワーカーの生産性の向上。自宅でもオフィスでも同じ体験ができる、アプリケーションの性能を損なわない、そして技術的なことは考えなくて済む環境です。
2 つ目は、コストの削減・シフト。ソリューションとベンダーの簡素化・統合、クラウドで提供されるプラットフォームをサービスとして、予測可能なコストで利用する。そして、運用と移行にかかる時間とコストを削減することです。
そして3 つ目は、リスクの最小化。ゼロトラスト アーキテクチャー(ZTA)への道筋を明らかにし、高い有効性とトレーサビリティを備えたプラットフォームにより、複雑なレガシーアーキテクチャから新しいクラウド中心のスタックに移行するリスクを低減することです。
注目の高まるSASE/SSE
こうした超分散型社会におけるセキュリティ戦略の基礎となる考え方が、Secure Access Service Edge(SASE)です。SASE は、ネットワーキング(SD-WAN)とセキュリティ機能を統合したコンセプトであり、セキュリティサービスエッジ(SSE)は、このアーキテクチャのセキュリティ部分の名称です。
これらはアナリストやベンダーによって、構成要素、優先順位、目的をどのように定義するかは、かなりばらつきがあります。 多くの企業にとって最初のステップは、より効率的で効果的なクラウドネイティブセキュリティサービスを組み合わせて、新しい分散型 IT 環境全体で、より優れた保護を提供することです。上記のようなペインポイントは、組織がサイバーセキュリティに対するアプローチを見直し、この方向へ進むモチベーションとなっており、実際、65 %が今後 2 年以内に SSE ソリューションの導入を計画していると回答しています。
モダンなセキュリティ環境への移行を実現する Cisco Secure Access とは
シスコは、ユーザーにとってより良く、IT 部門にとってより簡単に、そして誰にとってもより安全にという3つの目的を達成するために、クラウドで提供される単一のソリューションを開発しました。
それが、Cisco Secure Access です。
シスコは、より効率的かつ効果的な方法でユーザーとリソースを保護し、ビジネスの回復力を生み出す、よりモダンなセキュリティ環境への移行を可能にするために、3 つのアプローチで取り組んでいます。
まず、エンドユーザーにとってよりよいエクスペリエンスを提供する必要があります。彼らの生産性こそがビジネスの原動力であり、セキュリティによって利便性を損ねてはなりません。最近では、インターネット、アプリ、データアクセスに関するセキュリティプロセスやパフォーマンス結果に不満が高まり、セキュリティ対策の回避、ダイレクトアクセス、非認可アプリへのファイル保存などの問題が起きています。シスコは、ユーザーの利便性を阻害しない、簡単なオールアクセスソリューションを提供します。
次に、IT 部門と SOC(セキュリティオペレーションセンター)に対しては、購入から導入、管理、調査まで、セキュリティチームのエンドツーエンドのプロセスをシンプルにする必要があります。シスコは、調達、展開、統合タスクを軽減し、ポリシーの作成と管理を容易にして、エンドユーザーの活動や攻撃チェーン全体の可視性を向上。調査の迅速化、改善作業とコストの最小化を実現します。
そして 3 つ目は、高度な保護機能 です。前述の 2 つの要素を組み合わせセキュリティ基盤を強化することで、リスクを低減し、より良い結果を導くことができます。分散環境でのセキュリティギャップを解消し、攻撃対象領域を減らす。最小権限管理を徹底し、ポスチャの検証や適切な変更対応アクションを可能にする。そして、より多くの脅威を事前にブロックし、インシデントを迅速に調査し、完全に修復する。組織全体にとって、より多くの保護と生産性を、より少ない IT/エンドユーザーの手間とコストで、実現します。
シスコは 5 年以上にわたり、セキュリティ機能を単一のクラウド提供サービスに統合してきました。Cisco Secure Access ソリューションは、まったく新しいレベルのコンバージェンスであり、集約されたクラウドネイティブサービスから実現できる経験、コスト、セキュリティの利点を拡大するものです。
- このソリューションには、SWG、CASB、ZTNA、Firewall-as-a-serviceといったユニークでコアな SSE コンポーネントの、強力なセットが含まれています。
- さらにMultimode DLP、DNS Security、RBI、Sandbox、Talos threat intelligence、これらすべての機能を、1つのコンソールとクライアントで提供します。
- また、シスコが提供する関連セキュリティ機能:DEM(Digital Experience Monitoring)、XDR(Extended detection and response)、CSPM(Cloud security posture management)なども順次、Cisco Secure Access に統合される予定です。
本ソリューションは Cisco Security Cloud フレームワークで構築されており、シスコのセキュリティ機能を追加、集約、統合することができます。また、スタンドアロンのセキュリティ サービスではなく、強力な API により、サードパーティの SD-WAN ソリューションや一般的なセキュリティ ツールとも統合可能です。
それではここからは、Cisco Secure Access で得られる体験を、先ほど挙げた「エンドユーザー」「IT 部門/SOC」「セキュリティ強化」の 3 つの視点別に解説します。
① エンドユーザー:生産性を向上させるために、摩擦のないワークフォース体験を促進
Cisco Secure Access を使えば、ユーザーはアクセス経路を考慮したり個別のクライアントを起動したりすることなく、常に正しい認証で目的のアプリケーションに直行できるようになります。
SSE ソリューションの「オールアクセス」機能は、舞台裏で自動的に最小特権の概念、事前設定されたセキュリティポリシー、および管理下にあるZTNA、SWG、CASBなどに接続します。多くの接続判断やさまざまなプロセス、複数回のステップで繰り返し行われる作業がすべて排除され、認証ステップが大幅に削減されます。そして、ユーザーが接続する際、継続的かつ透明性の高いセキュリティ検査で保護し、既知の悪い宛先やファイルをブロック、疑わしいトラフィックや行動を警告して、機密データを保護します。
ユーザーデザインテストによる初期のフィードバックでは、ポジティブなフィードバックが得られ、認証タスクが少なくなったことで、接続ステップが 50%削減されました。
② IT 部門/SOC:IT をより簡単に、コストを下げ、効率性を高める
続いては、IT 部門やSOC などセキュリティチームへの効果です。
今日、セキュリティチームはオンプレミス環境とクラウドの両方で多くのインターフェースとコンソールを介して、多数のセキュリティツールを使用しています。膨大な数のアラートを確認し、対応に苦労しています。導入、ダッシュボード、ポリシーエンジン、統合、レポート、アラート、インシデント・・・これらの繰り返しが生産性と士気を低下させ、新しいツールやコンソールが追加されるにごとに、状況は悪化しています。
このような理由から、ベンダーやソリューションを統合して、複雑さを軽減し、セキュリティを向上させようという傾向が強くなっています。事実、65 %の企業が、ベンダーの統合を計画していると報告しています。
Cisco Secure Access は、セキュリティチームのオペレーションを劇的に簡素化します。
■効率性をより高く
- 複数の個別ツールに代わり、単一のソリューションで実現。構築と管理のための統合が大幅に削減されます。
- 単一のコンソールでポリシーの作成と管理が可能。インターネットアプリや SaaS アプリへのアクセス管理、VPN 経由か ZTNA 経由かといったユースケースを選択でき、コンソール間を行き来したり、矛盾するポリシーを管理したりする必要がありません。
- エンドユーザーデバイスに導入する多機能クライアントを、1 台で実現。
- 単一のコンソールで、さまざまな View のレポートにアクセス可能。
- 脅威の迅速な検出とブロック。
■コストをより低く
- ライセンス料の統合。
- ハードウェアコストの削減。
- 可視性の向上と手動での集計作業の軽減による調査の迅速化。
- 修復作業と経費の削減。
③ セキュリティ機能強化:誰にとってもより安全に、リスクを低減し、ビジネスレジリエンスを向上
最後は、Cisco Secure Access によってもたらされるセキュリティ機能の強化について。
Cisco Secure Access は幅広いセキュリティ機能を備え、インターネットとプライベートアプリの両方のトラフィックに対してポリシーを適用することで、セキュリティをより効率的かつ効果的にすることができます。攻撃対象が最小化され、セキュリティチームはユーザーの活動全般をよりよく把握できるようになります。 これにより、アナリストの生産性が向上し、複数の別々のコンソールからイベントやログを相関させることなく、より迅速に脅威を検出することができます。
ゼロトラスト ネットワーク アクセス(ZTNA)への移行を容易に
また、多くの企業は、従来のオンプレミス型 VPN のインフラと管理から脱却したいと考えています。クライアントベースやクライアントレスの ZTNA は、最小限の権限でアクセスするためのきめ細かいアプリケーション固有の制御を実現する優れた選択肢ですが、この形式はすべてのアプリケーションをサポートすることはできません。Cisco Secure Access は、そのジレンマを解消します。
Cisco Secure Access によってお客様は、VPN as-a-service(VPNaaS)を迅速に導入して、ハードウェア、ロードバランシング、および管理タスクを排除することができます。
また、多数のプライベートアプリケーションに対して ZTNA アプローチを導入することも可能です。多くの組織には ZTNA モデルでは動作しないカスタムアプリケーション(代替ポートやプロトコル)のセットがあり、その移行が課題となっています。Cisco Secure Access はシンプルなユーザーエクスペリエンスを維持しながら、VPNaaS によって、自動的にサポートすることが可能です。
Cisco Secure Access での新しい ZTNA Relay アーキテクチャは、業界をリードするプロトコル MASQUE および QUIC に基づいており、すべてのアプリケーション、ポート、プロトコルをサポートしています。そして、ID およびポスチャ チェックを備えた単一のセキュア クライアントで ZTNA とフォールバック VPN-as-a-Service(VPNaaS)を組み合わせることで、Cisco Secure Access はすべてのアプリケーションに対して可能な限り、もっとも安全な接続を透過的に提供します。
これらのオプションにより、IT チームはセキュリティの強化、管理タスクの削減、ハードウェアの廃止を実現し、ユーザーエクスペリエンスを大幅に向上させることができます。そしてこのことが、攻撃対象領域の縮小、最小権限制御、リスクの低減につながります。
Cisco Talos の AI によって強化された脅威インテリジェンス
また、Cisco Secure Access はCisco Talos の脅威インテリジェンスを利用しています。Cisco Talos は 500 人を超えるセキュリティ専門家が所属し、1 日あたり 6,000 億件を超える DNS リクエスト、1 日あたり 50 億件のレピュテーション リクエスト、および 1 日あたり 200 万件のマルウェア サンプルを処理する、世界最大規模のデータ解析を行っている脅威インテリジェンス組織です。
より多くのものが見えるほど、より多くのブロックが可能になります。シスコは巨大なスケール、テレメトリ、深い人間理解と、複数のドメインにわたる多数の AI テクノロジーを組み合わせて、他の誰よりも効果的に脅威を阻止します。
Talos からの洞察と学習を組み込むことで、Cisco Secure Access は、既存の脅威と新たな脅威の両方に対する新たなレベルの可視性と保護を可能にします。これと同じレベルのインタラクティブな脅威インテリジェンスを提供するベンダーは、他にはありません。
Cisco Security Cloud プラットフォームとの関係
Cisco Secure Access は、Cisco Security Cloud プラットフォーム上に構築されています。ID、ポスチャ、統一ポリシー、設計システム、SLA(サービス レベル アグリーメント)を備えた、包括的なクラウドベースの管理プラットフォームを提供します。これにより、お客様は脅威に対する保護を強化できると同時に、シスコのポートフォリオと主要なサードパーティソリューションの組み合わせによるメリットを、より簡単に実現することができます。
現在、Cisco Secure Access とCisco XDR は、共通のサービスとシスコのネイティブなテレメトリを活用し、脅威のブロック、調査、修復のスピードと効果を高めています。今後、Cisco Security Cloud がより多くのセキュリティ機能で拡張されることで、その提供価値はより大きく、より深くなっていくでしょう。
「シスコの考える新時代のセキュリティ~Cisco Security Cloudのご紹介」も併せてお読みください。
デジタル エクスペリエンス モニタリング
さらに今後、Cisco Secure Access には Cisco ThousandEyes の機能が組み込まれていき、エンドユーザーと IT 部門/SOC などセキュリティチームの両方が洞察およびパフォーマンスを最適化、事前対応に転換することで問題を迅速に解決できる、独自の機能が追加されていきます。
まとめ
いかがでしょうか。Cisco Secure Access は、安全な接続を合理化および簡素化し、すべての接続におけるパフォーマンスとセキュリティを最適化する、SSE ソリューションです。従業員の生産性を向上させる大幅に優れたユーザー エクスペリエンスと、IT チームを満足させるシンプルでコスト効率の高いセキュリティ運用を提供します。
シスコは、Cisco Secure Access のユーザーエクスペリエンスをさらにシンプルにするために、さまざまな IT およびモバイル デバイス プロバイダーと、積極的に連携します。この強力なエコシステムと豊富な API により、ソフトウェア開発ライフサイクルにセキュリティを組み込む DevOps を支援します。
その他のセキュリティソリューションも含めて詳細は、シスコのセキュリティソリューションをご覧ください。
これからもシスコはセキュリティとネットワークを統合し、すべての人にとって使いやすく、安全な世界を提供していきます。ぜひお気軽に、お問い合わせください。
関連ブログ
セキュリティクラウドに関するブログシリーズを順次公開していきます。