クラウド内部/外部/接続をカバー、分散化した企業ITに一貫したポリシー適用でマルチクラウド化支援
ネットワン、マルチクラウド対応のセキュリティサービス3つを発表
2019年03月28日 07時00分更新
ネットワンシステムズは2019年3月27日、顧客企業のマルチクラウド活用を支援する新たなセキュリティサービス3つを発表した。4月から提供を開始する。
発表されたのは、パブリッククラウド(IaaS)の設定ミスやポリシー違反を監視/抑止する「クラウドガバナンスサービス」と、従来から同社が提供するマネージドセキュリティサービス(MSS)の適用範囲をクラウドに拡大し、次世代ファイアウォールでインバウンドやアウトバウンドのトラフィックを監視/防御する2つのサービス。これにより、分散化が進む企業のデータ/アプリケーション/ユーザーに対して、常に一貫したポリシーでセキュリティを適用する狙い。
今回は3つのサービスを発表し、クラウドの内側/外側/接続の3点を強化している
ネットワンシステムズ 常務執行役員 ビジネス推進本部長の篠浦文彦氏
同 ビジネス推進本部 商品企画部 セキュリティチーム マネージャーの兼松智也氏
同 市場開発本部 セキュリティ戦略支援部 コンサルティング第1チーム シニアエキスパートの來德雄達氏
1つめの新サービスであるクラウドガバナンスサービスは、ネットワンがパロアルトネットワークスの「RedLock」を利用して提供するサービス。顧客企業が契約しているパブリッククラウド(Amazon Web Services、Microsoft Azure、Google Cloud Platform)から、設定情報や資産/構成情報、アカウント情報、ユーザーの行動(操作)ログなどをAPI経由で15分ごとに取得/集約/分析し、マルチクラウド環境であっても単一の管理コンソールを通じて利用状況を可視化できる。
同サービスではおよそ300の監査項目が用意されており、顧客企業が設定するポリシーに基づいて、セキュリティリスクの高い設定(「Amazon S3」バケットが公開設定になっているなど)やユーザーの不審なふるまい(ふだんとは異なる時間帯のアクセスなど)などを、対応優先度(リスク度)順に分類したうえで管理者に通知する。クラウドごとに異なる設定項目の違いを吸収してくれるため、管理者はその差違を意識することなく単一のセキュリティポリシーを適用可能。また、クラウドからの情報取得は15分に1回行われるため、社内の複数部門/ユーザー(たとえば営業部門や開発者など)が個別のアカウントで利用している場合でも、ほぼリアルタイムに包括的な監視とポリシーの統一、リスク回避が実現できる。
「クラウドガバナンスサービス」は、パブリッククラウドとAPI連携して設定情報やアカウント情報、稼働状態、ユーザーログなどを集約/分析/可視化するとともに、設定したポリシーに適合しているかどうかを自動的に監査する
マルチクラウドの利用状況を単一コンソールで監視し、同一ポリシーを適用可能にする。セキュリティリスクの高い設定や使用方法を監視するほか、コンプライアンス監査/レポート、また不要なインスタンスやアカウントの割り出しも可能
ネットワンでは、顧客ニーズに応じて3段階のサービスメニューを用意している。上述したツールを顧客に提供する「標準メニュー」、検出されたリスクの解説や設定アドバイスをリモートで行う「アドバイザリメニュー」、導入時のコンサルティングやポリシー策定(監査項目のカスタマイズ)までを請け負う「コンサルティングメニュー」の3つだ。なお現在のところ、用意されているコンプライアンスガイドラインはNIST、HIPAAなど海外のものが中心だが、ネットワンとして日本独自のガイドラインにも対応していく計画だと述べた。
2つめの新サービス「MSS for Cloud」は、ネットワンが2017年からオンプレミス環境向けに提供してきたMSSの監視対象を、パブリッククラウドまで拡大するものとなる。具体的には、AWS/Azure/GCP上に配置されたパロアルトネットワークスの次世代仮想ファイアウォール「VM-Series」をネットワンのSOC(セキュリティオペレーションセンター)で24時間365日監視し、そのログをSOC専任アナリストが相関分析、影響度の判断などを行い、対応の必要に応じて顧客に通知を行うもの。
クラウド上のVM-Seriesには、オンプレミス環境向けの次世代ファイアウォール(PA-Series/VM-Series)と同一ポリシーを適用することが可能で、MSS for Cloudを通じて監視もネットワンSOCに集約することで、一元的な境界セキュリティの監視/強化ができる。
従来から提供している次世代ファイアウォールの監視サービス(左)と「MSS for Cloud」を組み合わせ、マルチクラウドにも同一ポリシーを適用、監視できる
3つめは、パロアルトネットワークスのクラウド型次世代ファイアウォールサービス「Global Protect Cloud Service(GPCS)」を用いて、社外や海外拠点などのトラフィックに対して一貫したセキュリティを適用する「MSS for GPCS」だ。こちらも、GPCSのログをネットワンSOCが常時監視することで、迅速なサイバー攻撃の検知などにつなげる。
かつての環境とは異なり、近年では「各拠点から直接クラウド(SaaSなど)にアクセスする」ような「ローカルブレイクアウト」のトラフィックが増えている。本社データセンターのゲートウェイセキュリティ(次世代ファイアウォールなど)を経由しないため、一貫したポリシーが適用できないという課題があったが、ローカルブレイクアウトのトラフィックをGPCS経由にすることでそれが解消できる。
パロアルトネットワークスが提供する「GPCS」のログを常時監視し、マルチクラウドへのアクセス(接続)全体に一貫したポリシーを適用
提供価格(税抜)は、クラウドガバナンスサービスが年額42万円から、MSS for Cloudの初期費用が120万円から、同 月額費用が36万円から、MSS for GPCSの初期費用が120万円から、同 月額費用が58万円から。なお、いずれもネットワンが提供するサービス部分の費用であり、利用対象とする製品/サービス(RedLockやVM-Series、GPCS)のライセンス費用などは含まれない。
記者説明会に出席したネットワンシステムズ 常務執行役員 ビジネス推進本部長の篠浦文彦氏は、同社では2017年から「SD-HCI」というビジョンを掲げ、製品の保守/導入フェーズだけに携わる旧来のビジネスモデルから脱却した「トータルなサービスを提供する会社」を目指して製品やサービスを整備してきたと説明した。具体的には、各ベンダーの製品やサービスを組み合わせて提供するだけでなく、それらをより上位で一元化/オーケストレーションしたり、顧客ニーズに対応する独自機能などを付加して提供している。また「クラウド型ライフサイクル」を実現するべく、キャピタルサービスを通じてコストをOPEX化するなどの取り組みを行ってきた。
今回発表した3つのサービスにおいても、単に個々のサービスを提供するだけでなく、「機能面、運用面の両方で連携」させることでネットワン独自の付加価値を提供していく方針を示した。たとえばMSS for Cloudに関しては、すでに提供している「MDR(Managed Detection & Response)」と組み合わせて利用することで、境界セキュリティにおける検知だけでなく、感染エンドポイントの調査や隔離なども可能になる。またネットワンのSOCという集約点を介した運用上での連携もあると、篠浦氏は説明した。
「特に今回のクラウドガバナンスサービスは、これまでのセキュリティとはレイヤーが異なる。こうした新しい考え方が出てきたことで、われわれがほかで提供しているセキュリティサービス、それ以外のサービス、製品も含めて、機能的に連携しなければならないポイントが色々と見えてきており、機能的な連携を考えている。また、ライフサイクルサービスの中で人を介した運用面での連携もある」(篠浦氏)
