クラウドに頼らない選択肢。規制産業の厳格なデータ管理要件に対応する「Sovereign SASE」
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「Sovereign SASE:厳しいデータ管理要件に対応する新たなモデル」を再編集したものです。
Sovereign SASEが規制産業にとって重要な理由
セキュアアクセスサービスエッジ(SASE)は、セキュリティサービスをユーザーやアプリケーションに近い場所で提供するための強力なモデルです。しかし、ヘルスケア、行政、金融サービス、防衛などの分野においては、サードパーティのクラウド環境経由でのトラフィックのルーティングは、アーキテクチャ上の選択肢ではなく、規制遵守の観点から認められません。
こうした業界では、データ主権、プライバシー、管轄権のコンプライアンスは妥協できない要件です。クラウドベースのSASEサービスが技術的に実現可能であっても、多くの組織は法的制約、運用リスク、ポリシー要件を考慮しなければなりません。
SASEのメリットを損ねずに、こうした要求に応えるための新しいモデルとして、Sovereign SASEが登場しました。Sovereign SASEを活用することで、ゼロトラストネットワークアクセス(ZTNA)、セキュアWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)、Firewall-as-a-Service(FWaaS)、セキュアSD-WANなど、SASEの全機能を実現できます。
Sovereign SASEにより、セキュリティ、ユーザーエクスペリエンス、拡張性を損なうことなく、データレジデンシー、プライバシー、運用の要件に対応できます。
クラウドに依存せずデータを完全に制御するための新しい選択肢
Sovereign SASEは、組織が制御する信頼された環境内で、セキュリティ処理とトラフィックインスペクションがすべて行われるデプロイメントモデルです。
ベンダーが管理するPoP(Point of Presence)に依存する従来のクラウドSASEソリューションとは異なり、Sovereign SASEは、ユーザートラフィック、ログ、ポリシー適用、テレメトリをローカル、オンプレミス、またはプライベートデータセンターに保持します。
このアプローチにより、パフォーマンスや俊敏性を犠牲にすることなく、データのオフロードを排除し、コンプライアンスを強化し、一貫したポリシーの適用を可能にします。
コンプライアンスを満たす自社専用のSASEを展開するための3本柱
Sovereign SASEは、3つの基本原則に基づいて構築されます。
1. データ主権
組織は、データがどこに保存され、インスペクションがどのように行われ、誰がアクセスできるのかを完全に制御します。定義された管轄区域外にデータが出ることはなく、すべてのインスペクションは承認された境界内で行われます。
2. 制御された専用インフラストラクチャ
SWG、ZTNA、NGFWを含むセキュリティサービスは、すべて組織のインフラストラクチャ内で実行されます。ユーザーのトラフィックが、分析やポリシー適用のためにサードパーティのクラウドサービスに送信されることはありません。
3. サービスの自律性
組織は、社内のポリシーと要件に基づいて、SASEのサービスをどこでどのように展開するかを定義します。これには、インフラストラクチャの配置、スケーリング、サービス設計の制御が含まれます。
これらの柱が一体となって、プライバシー規制へのコンプライアンスを確保し、リスクを低減し、運用の透明性を実現します。これらは、厳しいデータ管理要件に対応する必要のある企業や公共機関にとって極めて重要です。
Sovereign SASEがオンプレミスでフルスタックセキュリティを実現
Sovereign SASEのアーキテクチャには、3つのレイヤーが緊密に統合されています。
コントロールプレーン
集中管理とオーケストレーションのハブとなります。ここでセキュリティポリシーと構成が作成され、エンフォースメントノードへプッシュされます。
データプレーン
組織のインフラストラクチャ内に展開されたデータプレーンは、トラフィックのインスペクションとポリシーの適用を実行します。ZTNA、SWG、NGFW、CASBのようなSASEのコア機能が含まれています。
ユーザーレイヤー
ユーザーは、プライベートインフラストラクチャ内でホストされたセキュリティエンフォースメントポイントに接続します。エンドポイントエージェントがセキュリティ状態を検証し、ZTNAアクセスルールを適用し、リアルタイムのセキュリティポリシーを適用します。
このような統合アプローチにより、高いパフォーマンスが維持され、ポリシーが一貫して適用され、機密データが組織の境界外に出ることはありません。
Sovereign SASEが単なる製品ではなく、完全なプラットフォームである理由
Sovereign SASEは、クラウドベースのサービスという位置付けにとどまる存在ではありません。プライベートSASE環境を大規模に展開 / 管理するために必要なすべてのコンポーネントを含む、完全に統合されたプラットフォームです。
コアとなる特長:
・統合されたテクノロジースタック
エンドポイントエージェント、セキュアゲートウェイ、ファイアウォール、オーケストレーションが含まれ、これらすべてが単一のシステムとして動作するように設計されています。
・統一されたオーケストレーションと可視性
管理者は、制御、データ、ユーザーの各レイヤーを一元的に管理し、トラフィックと結果をリアルタイムに可視化できます。
・一貫したポリシー適用
インテントベースのポリシーが、すべてのサービスとユーザーに一律に適用され、死角が排除されます。
Sovereign SASEにより、クラウドへの依存を「回避」しながら、クラウドネイティブアーキテクチャによる成果を実現できます。
FortiSASE Sovereign:フォーティネット セキュリティ ファブリックを介したプライベートSASE
FortiSASE Sovereignは、お客様がプライベートインフラストラクチャ内にフル機能のSASEサービスを展開するために、即座に利用開始できるフォーティネットのプラットフォームです。FortiOSを基盤として構築され、フォーティネット セキュリティ ファブリックに深く統合されているので、ZTNA、SWG、CASB、FWaaS、セキュアSD-WANを提供します。
オンプレミスでホストされる場合も、コロケーション施設でホストされる場合も、FortiSASE Sovereignは企業やサービスプロバイダーに以下の機能を提供します。
・データレジデンシー要件とプライバシー規制への厳格なコンプライアンスの維持
・ユーザーの近くでのトラフィックインスペクションによるパフォーマンスの最適化
・ユーザー、サイト、サービス間にわたるポリシーの統一
・統合オーケストレーションによる運用の合理化
妥協は一切ありません。お客様の環境、お客様の条件で、フルスタックのセキュリティを実現できます。
SASEを再考:ネットワークに主権を組み込む
Sovereign SASEの出現は、より広範な変化を反映した動きです。多くの組織が、もはやパブリッククラウドを任意の選択肢とは見なさず、条件付きで利用するものと捉えています。
規制、リスク許容度、運用戦略により、主権の制約を尊重しながらSASEの柔軟性を提供するソリューションへの需要が高まっています。
FortiSASE Sovereignを使用することで、コンプライアンス要件、アーキテクチャの好み、リスク態勢に完全に沿ったセキュアなアクセスエッジを構築できます。能力を損なうことなく、制御を取り戻しましょう。
Fortinet Sovereign SASEの詳細と、サードパーティのクラウドに依存することなく、独自のインフラストラクチャ内でフルスタックのセキュリティとコンプライアンスを実現する方法を、こちらでご覧ください。
Sovereign SASEに関するFAQ
Sovereign SASEとは何ですか?
Sovereign SASEは、SASEスタック(ZTNA、SWG、NGFWなど)を組織のインフラストラクチャ内に完全に導入するデプロイメントモデルです。これにより、すべてのデータをローカルに保持し、コンプライアンスを維持します。
SASEを必要とするのはどのような組織ですか?
規制産業(行政、金融サービス、ヘルスケア、防衛)の組織や、データレジデンシー / プライバシー / 制御を必要とする組織は、Sovereign SASEの恩恵を受けることができます。
Sovereign SASEは従来のSASEとどう違うのですか?
従来のSASEは、クラウドベースのPOPを介して配信されます。Sovereign SASEは、サードパーティのクラウド処理を避け、お客様のインフラストラクチャ内で実行されます。
FortiSASE Sovereignにはどのような特長がありますか?
FortiSASE Sovereignは、フォーティネットのフルSASEスタックと、統合オーケストレーション、エンドポイント統合、ファブリックベースの可視性を組み合わせ、お客様が所有する環境内ですべて実現します。