「Akamai Guardicore Platform」、戦略が欠如した日本企業を支援するアセスメントサービスも

Akamai、ZTNA＋マイクロセグメンテーションのゼロトラスト統合基盤を発表

2024年05月17日 08時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　Akamai Technologies（アカマイ・テクノロジーズ）は2024年5月16日、既存のZTNA（ゼロトラストネットワークアクセス）サービス、DNSファイアウォールサービス、マイクロセグメンテーションサービスを統合する、ゼロトラストセキュリティのプラットフォーム「Akamai Guardicore Platform」の提供開始を発表した。

　同プラットフォームでは、単一の管理コンソールとエージェント（クライアントソフト）を通じて、ネットワーク内の通信状態の可視化やエンドトゥエンドのアクセスポリシー設定などが効率的にできるという。同日の記者説明会では、日本の企業における“ゼロトラスト戦略欠如”の課題とそれに対応するアセスメントサービスの提供も含めて、新プラットフォームの説明がなされた。

Akamaiのゼロトラストセキュリティサービスを統合する「Akamai Guardicore Platform」の提供開始を発表

アカマイ・テクノロジーズセキュリティ製品事業部ストラテジックセールスディレクターの村田慎氏、シニアリード・プロダクトマーケティングマネージャーの金子春信氏

“タテ方向／ヨコ方向”の通信をまとめて可視化、管理可能にする

　Akamai Guardicore Platformは、DNSファイアウォールの「Akamai Secure Internet Access（SIA）」、ZTNAの「Akamai Enterprise Application Access（EAA）」、マイクロセグメンテーションの「Akamai Guardicore Segmentation（AGS）」という3つのセキュリティサービスを統合するプラットフォームである。

　SIAとEAAはクライアントPCとSaaS／サーバー間という“タテ方向（North-South）”の通信を、またAGSは同じネットワーク内のPC間／サーバー間で発生する“ヨコ方向（East-West）”の通信を、それぞれ保護対象としている。従来は個別に設定と運用が必要だったこれらの管理を統合し、包括的なネットワークセキュリティを効率的に実現するというのが、Guardicore Platformのコンセプトとなる。

Guardicore Platformは、「侵入永続化」「窃取脅迫」をブロックする“タテ方向”通信の保護（SIAとEAA）、「横展開」をブロックする“ヨコ方向”通信の保護（AGS）を組み合わせ、多層的なネットワークセキュリティを実現する

　3つの製品は引き続き個別に販売されるが、Guardicore Platformを通じて連携させ、同プラットフォームが備える機能を活用することで、セキュリティ対策の強化と運用の効率化が実現すると、同社シニアリード・プロダクトマーケティングマネージャーの金子春信氏は説明した。

　まずはゼロトラストセキュリティ運用の簡素化だ。これまでは、クライアントPCに個別のエージェントをインストールし、個別の管理コンソールを使って運用する必要があったが、Guardicore Platformの新機能「Guardicore Access」を通じて、これらが一つに統合される。

Guardicore Accessは単一の管理コンソール、単一のエージェント（クライアントソフト）を通じて、3つのサービス（SIA、EAA、AGS）をカバーする

　これにより、ダッシュボードによる通信状況の可視化、イベントログ検索などが一元化されるため、インシデントの把握や調査などに有用だ。

　また、ポリシーの設定も簡素化される。ポリシーの設定時には、許可すべき通信を特定するために、正常時にはどのノードからどのノードへ、どんな通信が行われているのかを把握する必要があるが、Guardicore Accessの管理コンソールでそれが簡単に可視化される。さらに、従来はZTNA（EAA）とマイクロセグメンテーション（AGS）の双方で別々にポリシーを設定する必要があったが、これらを一括で設定できる。

ZTNAとマイクロセグメンテーションの管理を統合したことで、エンドトゥエンドでの通信の可視化や制御ができる

通信制御のポリシーも一括設定が可能に

　なおアカマイでは、早期段階のリスクを発見して被害発生を予防する脅威ハンティングサービス「Akamai HUNT」を提供しているが、これまではセグメンテーション内部の通信（“ヨコ方向”の通信）だけを分析していた。今回、Guardicore Platformを通じて“タテ方向”通信の情報も加わることで、脅威ハンティングの能力がより強化されると説明した。

自然言語での操作を可能にし「セキュリティの民主化」を促す生成AI機能

　Guardicore Platformが特徴とするもうひとつの新機能が、生成AIエージェントが自然言語での指示（プロンプト）に従って運用業務を支援する「Guardicore AI」である。なお金子氏によると、この生成AI（LLM）は日本語にも対応しているが、現時点では動作検証を英語のみで行っているため、日本語は保証対象外となる。

　Guardicore AIについて、Akamaiでは「セキュリティの民主化」を促す機能だと表現している。たとえば、通信ログに何らかの条件（フィルタ）を適用して情報を抽出したい場合、操作に慣れていないユーザーであっても、自然言語でAIに抽出条件を説明すればその操作ができるからだ。

　そうしたユースケースの一例として金子氏は「コンプライアンスの監査業務」を挙げた。監査担当者が、ネットワークやセキュリティの専門エンジニアに依頼をすることなく、自分自身で操作して監査業務を行える。

ユースケース例。Guardicore AIに自然言語で「PCI（コンプライアンス対象）サーバーへの接続はあったか？」と質問し、その日の接続ログを抽出させている

　もちろん、高いスキルを持つセキュリティエンジニアにとっても、生成AIによる支援は有用だ。そうしたユースケースの例として、金子氏は、広範なネットワーク環境への影響を迅速に調査／分析する必要があるインシデントレスポンス、アプリケーショントラフィックを分類するラベル設定を提案／自動化してくれる“AIラベリング”を挙げた。AIラベリングにおいては、コンフィデンススコア（信頼性）やエビデンス（根拠となる情報）も示し、管理者の判断を支援する。

「AIラベリング」の概要と管理コンソールの画面

　もうひとつ、Guardicore Platformでは、アクセス制御を強化する目的で「Multi Factor Segmentation」機能も用意されている。これはその名のとおり、多要素認証を行ったうえでアクセスを許可するものだ。

ゼロトラスト戦略が欠如する日本に、体系化されたフレームワークによる支援も

　Guardicore Platformの提供開始に合わせて、Akamaiでは、ゼロトラスト成熟度モデル（ZTMM V2.0）に基づく「ZTMMアセスメント支援サービス」も提供する。これは日本市場独自で提供するサービスだ。

ゼロトラスト成熟度モデル（ZTMM：Zero Trust Maturity Model）に基づくアセスメントと改善の支援サービスを、日本市場独自で提供する

　なぜこうしたアセスメント支援サービスを提供するのか。その背景には、特に日本企業におけるゼロトラスト戦略の欠如、偏った（部分的な）ゼロトラスト型技術の普及があることを、同社セキュリティ製品事業部ストラテジックセールスディレクターの村田慎氏は説明した。

　ZTMMは、米政府機関のCISA（サイバーセキュリティ・社会基盤安全保障庁）が体系化／標準化したフレームワークである。企業全体の「ゼロトラストを支える5つの柱」と「各柱の成熟度」をスコアリングし、ゼロトラストセキュリティの取り組みがバランス良く、一貫性をもって進んでいるかどうかを確認することができる。

　「ZTMMを使って、まずは“5つの柱”のどこが足りないかなど、現在の状況を可視化する。客観的な指標に基づく議論を通じて、バランスの取れた“建物”（ゼロトラスト環境）の実現につなげていく。当初はAkamaiがその伴走役を務めるが、最終的にはお客様のほうで（ZTMMに基づく改善サイクルを）セルフで回せるようになっていただきたいと考えている」（村田氏）