NGFWもCASBもSD-WANも統合する「セキュアアクセスサービスエッジ(SASE)」とは何か?
パロアルトのSASE「Prisma Access」、SD-WANとDLPを機能追加
2020年01月31日 07時00分更新
パロアルトネットワークスは2020年1月30日、クラウド型のネットワークセキュリティサービスである「Prisma Access」において、新たにSD-WANとDLP(データ漏洩防止)の機能を追加し、国内提供を開始すると発表した。企業のモバイルエンドポイントやリモート拠点に対して、セキュリティ機能/ネットワーク機能の両方をサービスとして(as-a-Service)提供する「セキュアアクセスサービスエッジ(SASE)」として、さらに展開を拡大していく方針だという。
同日の記者発表会では、Prisma Accessの新機能概要に加えて、ガートナーが新たに定義したSASEについて、そのコンセプトや必要とされる背景などもあわせて説明された。
Prisma Accessの機能概要。今回新たに「SD-WAN」と「DLP」の機能が追加された
パロアルトネットワークス セールススペシャリスト Prisma Access & SaaSの藤生昌也氏
パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏
新機能としてSD-WANとDLPを追加、SLAではSaaS間の“レイテンシ保証”も
パロアルトでは昨年9月、クラウドセキュリティサービスの新ブランドとして「Prisma(プリズマ)」を発表した。現在はPrisma Access、Prisma SaaS、Prisma Cloudの3サービスがラインアップされている。
パロアルトのクラウドセキュリティ製品「Prisma」シリーズ、ラインアップ
Prisma Accessは、モバイルやリモート拠点向けに、セキュアなアクセスネットワーク環境とゲートウェイセキュリティ機能を提供する。ファイアウォールやセキュアWebゲートウェイ、CASB、サンドボックスといったセキュリティサービス群に加えて、VPNやQoSといったネットワークサービス群も同一のプラットフォームで統合的に提供するのが特徴。
新機能であるSD-WANは、クラウド上のPrisma Accessが“SD-WANハブ”としての機能を持ち、各拠点に設置された次世代ファイアウォールアプライアンス「PAシリーズ」をSD-WANゲートウェイとして、クラウド型管理コンソール「Panorama」から一元的な可視化と制御を可能にするソリューションだ。パロアルトでは、PAシリーズの最新版OS(PAN-OS 9.1)においてSD-WANアプライアンス機能を追加している。
これにより、たとえば拠点からSaaSへのローカルブレイクアウトにおいても、Prisma Accessを経由させてそこで各種セキュリティ機能を適用することで、セキュアなSD-WAN環境が単一ベンダーから提供できるとしている。さらに、アプライアンス(PAシリーズ)からクラウド(Prisma Access)へと重いセキュリティ処理をオフロードすることで、将来的にはアプライアンス側をネットワーク処理専用にシンプル化しつつ、さらに高度なセキュリティ機能をクラウドで提供する狙いもあるようだ。
各拠点のPAシリーズがSD-WANアプライアンス機能を持ち、クラウド上のPrisma Accessがそのハブとなる。もちろんPrima Access上でセキュリティも適用される
もうひとつの新機能であるDLP(評価版)は、ネットワークを流れるデータをインラインで監視し、特定パターンのデータを検出する機能。これにより、機密データや個人情報などの漏洩を防ぐことができる。なお、このDLPエンジンはPrisma SaaS(API経由でクラウドストレージ上の機密データを検出する)で提供されているもので、将来的にはPrisma Cloudや次世代ファイアウォールなど、すべてのパロアルト製品で同じDLPエンジンと検出ルールが利用可能になる予定だとしている。
Prisma AccessにもDLPの適用範囲を拡大。将来的にはすべてのパロアルト製品でDLP機能を使えるようにする方針
そのほか今回は、Prisma Accessにおいて新しいSaaS SLA(サービス品質保証)を提供することも発表している。具体的には、Prisma Access自身の「システム稼働時間(99.99%)」や「10ミリ秒以下のセキュリティ処理遅延(99.99%)」に加えて、新たに「Prisma Accessと主要SaaSアプリ間の往復遅延(日本を含むAPACは75ミリ秒、北南米やEMEAは35ミリ秒)」もSLAの対象項目としている。
主要SaaSとのレイテンシもサービス品質保証(SLA)の対象に加えた
セキュリティとネットワークのサービスを統合した「SASE」
パロアルトでは今回の発表において、Prisma Accessを「セキュアアクセスサービスエッジ(SASE、サシー)」プラットフォームと位置付けている。SASEとはどんなものであり、なぜ必要とされているのか。記者発表会では同社 セールススペシャリスト Prisma Access & SaaSの藤生昌也氏、チーフサイバーセキュリティストラテジストの染谷征良氏の2名が説明した。
SASEというジャンル名は、2019年8月に米国ガートナーが発表したレポート「The Future of Network Security Is in the Cloud(ネットワークセキュリティの未来はクラウドの中にある)」で登場したものだ。同レポートでは、SASEを「包括的なWAN機能と包括的なネットワークセキュリティ機能を組み合わせた新しいソリューション」と定義している。
従来から、WAN機能(VPNやSD-WAN、QoSなど)、ネットワークセキュリティ機能をクラウドサービスとして提供するものは存在したが、SASEはそれらを統合して、単一のクラウドプラットフォームから提供する点がポイントだ。
藤生氏によると、パロアルトではそれ以前から顧客課題をとらえてPrismaのコンセプトを打ち出しており、SASEという言葉は「後から出てきた」かたちになったという。「Prismaで掲げたわれわれのコンセプトが(広く一般に)承認されたと考えている」(藤生氏)。
SASEの概念図。これまで別々に提供されていたセキュリティ/ネットワークのサービス群を統合プラットフォームで提供する
SASEという新たなセキュリティモデルがなぜ必要なのか。染谷氏は、モバイルとクラウド/SaaSの業務利用が浸透してリソースが分散したために、従来型の企業ネットワークでは「セキュリティ」「パフォーマンス」「運用管理」のすべてで課題が生じていることが背景にあると説明する。藤生氏はさらに具体的に、次のような例を挙げた。
「『Office 365』や『G Suite』をはじめビデオ会議、勘定系など、企業におけるSaaS活用はどんどん増えているが、それに伴って回線の逼迫(ひっぱく)、IT管理者による管理や監視の不徹底などが起きている。自社データセンターに接続する専用線も残りつつ、SaaS活用のためにWebプロキシやCASBなども追加導入するなど、ポイントソリューションが増えている。モバイルからのSaaSアプリへの接続や、拠点から直接インターネットに抜ける(ローカルブレイクアウト)接続は、まだまだ監視対象になっていない」(藤生氏)
クラウドとモバイルの利用が浸透したことで、旧来の企業ネットワークにはいくつもの課題が生じている
SASEを利用することで、あらゆる場所から/あらゆる場所へのアクセスに対して常に一貫したセキュリティレベルを実現できるほか、単一ベンダーによる運用管理のシンプル化、それに伴うコスト削減、パフォーマンスの向上、ゼロトラストセキュリティの徹底といったメリットが期待できると、染谷氏は説明する。
現在の企業ネットワークにSASEを組み入れることで、さまざまなメリットが期待できると説明した
Prisma Accessのメリットとして藤生氏はまず、オンプレミスで運用するパロアルトの次世代ファイアウォールと同等の通信識別や可視化が可能である点を挙げた。Panorama管理コンソールで統合管理もでき、設定も同一だ。
さらに、Prisma Accessでは顧客1拠点ごとに接続ポイントが1つ占有できる仕組みとなっており、そのIPアドレスに基づいてSaaS側でアクセス制限をかけられること、またモバイル向けには76カ国100以上の接続ポイントを用意しており、モバイルエージェントが近隣の接続ポイントを自動選択する仕組みのため、海外出張などの場面でもいつでも低レイテンシで利用できることなどを説明した。
