クラウドサービスやテレワークなどに対応したリアルタイムデータ保護と脅威防御
場所やデバイスを問わず、クラウドサービスやWebサイト、プライベートアプリにアクセスする際に、比類のない可視性によるリアルタイムデータ保護と脅威防御を提供
近年、クラウドサービスの利用が進んでおり、今後はより一層の利用が進むと考えられています。
クラウドサービスは、大きく社内 OA 系業務( O365 などのメールやファイル保管・共有)で用いる SaaS 、ビジネスや業務システムの基盤 仮想サーバやネットワークなどデータセンター の IaaS、 PaaS があります。 クラウド利用が進むことにより、システムやアプリケーション、データは社外に置かれることとなり、従来の社内ネットワークを守るセキュリティアーキテクチャでは対策では難しく、クラウドサービスやリモートワークに対応した総合セキュリティ対策(SASE:Secure Access Service Edge)がより重要となります。
SASE ベンダーである Netskope は、クラウドセキュリティプラットフォームとしてクラウド利用における様々な課題を解決いたします。
ネットワークセキュリティ対策における具体的な課題
クラウド利用が増える近年の状況においては、以下のような課題が発生します。
これまでの境界防御による外部の脅威に対するセキュリティ対策では、もはや防ぐことができず、社内 / 社外を問わず一貫したセキュリティ対策が必要となってきます。
クラウドサービスにおける課題
- 企業認可以外のSaaS利用(シャドーIT対策)
- 個人アカウントでのクラウドサービス利用
- セキュリティチェックの運用対応(IaaS環境の制御、設定チェック、評価)
インターネットアクセスにおける課題
- 集約型構成におけるトラフィック増加に伴うインターネットアクセス通信遅延
- リスク判断が難しいwebサイトへのアクセス
- Web経由でのマルウェア感染
リモートアクセス利用における課題
- テレワークの急激な増加によるVPN機器増強などの運用負荷の増大
- VPN機器への攻撃やマルウェア感染した端末が社内ネットワークへ入り込むセキュリティリスク
- VDIやDaaS等でのテレワーク対応によるコストの増大
クラウド利用やリモートアクセスにおける働き方を前提としたクラウドセキュリティプラットフォーム
- Gartner 社の Magic Quadrant(CASB) で4年連続 Leaders 評価
- データセキュリティを重視し、DLP 機能に強み(日本語対応)
- 米国を代表するベンチャーキャピタル SEQUOIA 社から 3 億ドル以上の出資
- SLA 99.999 %の高可用性を提供 ※1
- 多数のセキュリティとコンプライアンスに関する認証を取得
- 他製品との柔軟な連携が可能
SASE ※2 を目指したロードマップ
※2 Secure Access Service Edge(読み方:サッシー)とは?
・NW機能とNWセキュリティ機能をクラウド上で一括(1社で)提供
・中核機能:SD-WAN、CASB、Cloud SWG、ZTNA、FWaaS(対応予定)
セキュリティ・サービス・エッジ(SSE)※ のリーダーの1社として位置
Netskope 社は 2012 年に設立された新興企業ですが、すでに数多くの顧客を獲得しており、最大規模の顧客では 100 万ユーザー単位で利用されています。
また幅広いクラウドベンダーとのパートナーシップも積極的に展開しており、Office 365 を提供するマイクロソフト社からは「 Gold Cloud Productivity Competency 」の認定を受けています。
※ セキュリティ・サービス・エッジ(SSE)は、SASEアーキテクチャに不可欠な一連のセキュリティサービスであり、ユーザーエクスペリエンスを低下させることなく、クラウドのユーザーや保存データを保護します。
Netskope ソリューション
Netskope は、「ユーザーとクラウドサービスの間に設けられた、複数のセキュリティポリシーを適用するためのコントロールポイント。ここでクラウドサービス利用の可視化、制御を行う。」というコンセプトに基づいたソリューションです。
CASB
- プロキシや FW のログからシャドーITを検出可能
- SSL 通信を復号し、通信を可視化
- クラウドサービス側でログ提供をしていない場合も Netskope でログ取得が可能
CASB- Cloud Access Security Broker -
キャスビー(CASB)は、「ユーザーとクラウドサービスの間に設けられた、複数のセキュリティポリシーを適用するためのコントロールポイント。ここでクラウドサービス利用の可視化、制御を行う」というコンセプトに基づいたソリューションです。
CSPM
- API 接続した IaaS 上のリソースを継続的に監査可能
- 事前定義/カスタムコンプライアンスルール違反を特定し、管理者へ通知
- CASB と同じ管理コンソールで CSPM 機能を利用可能
CSPM- Cloud Security Posture Management -
クラウドセキュリティ態勢管理(CSPM)は、クラウド基盤(IaaS / PaaS)へ API 経由で接続し、サービスの設定状況をチェック・設定の修正を支援するソリューションです。例:インターネットに公開されている仮想マシン / ストレージサービスの検出、ログ取得状況確認
SWG
- 全 WEB 通信(80 / 443)を Netskope 経由で復号し通信を可視化
- クラウドプロキシとして利用するため通信遅延も解消/既存プロキシ代替可能
SWG- Secure Web Gateway -
セキュア Web ゲートウェイ(SWG)は、URL フィルタやアプリケーションフィルタ、アンチウイルス、サンドボックスなどの機能を、クラウド上で提供するサービスです。CASB と一部重複する機能もありますが、主な制御対象は WEB 全体となります。
Netskope では複数の検出エンジンで脅威防御機能としてマルウェア検知 / 遮断を実施します。
WEBサイトのみならずクラウドサービスも解析対象となります。
ZTNA
- 社内 NW 宛て通信も Netskope 経由で接続可能(TCP / UDP1-65535 の通信対象)
- CASB / SWG と同じシングルコンソール/シングル Agent で機能利用可能
ZTNA- Zero Trust Network Access -
ゼロトラストネットワークアクセス(ZTNA)は、SDP(Software-Defined Perimeter)とも呼ばれ、VPN を必要とすることなく企業のプライベートアプリケーションへ接続できるソリューションです。CASB や SWG と同じくクラウド上で提供されるため、VPNの課題であった拡張性やVPN機器自体の脆弱性、運用負荷の問題が解消でき、近年注目されています。
Netskope の導入方法
Netskope のアーキテクチャ(導入構成)は主に「プロキシー型」、「 API 型」、「ログ分析型」の 3 種類あります。 自社の IT 環境や導入目的から構成を検討します。
方式 | Proxy | API | Log Upload |
---|---|---|---|
利用 目的 |
リアルタイムでのアクセス制御 | クラウドサービスのデータ分析、制御 | 既存機器のログをもとにしたシャドーIT可視化 |
対象 データ |
Netskopeを経由する通信データ | クラウドサービス上の保存データ | ネットワーク機器のログデータ |
構成 イメージ |
Netskope の導入ユースケース
クラウド利用状況とリスクを見える化したい
- 何がどう使われているかわかっていない
- 部署ごとやユーザーごとに勝手なアプリを使いだして企業向けの品質でないものも多い
- 類似アプリの利用による無駄なコスト
アプリ限定で安全にクラウドを利用したい
- ユーザーや管理者の権限制御ができていない
- 問題のある操作があってもわからない
- 機密情報漏洩のおそれがある
想定外のクラウド利用にもセキュリティ対策したい
- シャドーITのセキュリティ対策ができない
- アプリ連携によってシャドーITが認可アプリに接続されてしまう
- コンプライアンス違反操作と情報漏洩のリスク
導入モデルケース(海外)
- 業界 / ユーザー規模:
- 製造業 / 5万人
- 利用アプリケーション:
- Box, Salesforce, Quickbooks, Akamai
- 導入製品:
- Netskope Active + Netskope Active DLP + Netskope for Box
- 連携製品:
- AirWatch、ArcSight、Vontu、Ping Identity
- 検討のきっかけ
- 未発表製品情報が他社に利用されていた
- シャドーITの把握
- 社員が利用しているクラウドアプリケーションを可視化
- リアルタイムでのクラウドトランザクションに関する収集 、分析
- 詳細情報が必要:デバイスタイプ、ブラウザ、OS、操作内容
- クラウド内の機密データを保護
- Boxを安全に導入 - Boxアップロード済みコンテンツ、およびブラウザや同期クライアントからアップロード中のデータに統制ポリシーを適用
- 知的財産の保護
- SSLを解読した上での転送ファイルチェック
Netskope ご提供機能一覧
基本機能
Risk Insights
ログ解析による可視化/クラウドリスク評価)
Real time Control
クラウドサービスのリアルタイム制御/監査ログ収集
Web Category/URL Filtering
WEB通信を対象としたフィルタリング
Standard DLP
キーワード/正規表現等による基本DLP
Standard Threat Protection
アンチウイルス / EDR連携
Advanced DLP
機械学習等の高度なDLP
Advanced Threat Protection
サンドボックス等高度な脅威防御
UEBA Rule Base
ルールベースの異常行動検知
UEBA ML Base/User Scoring
機械学習ベースの異常行動検知とユーザのリスクスコアリング
オプション
Cloud Firewall
L4ベースのファイアウォール
Remote Browser Isolation
WEB分離・無害化
Netskope Advanced Analytics
ログ延長/高度分析
Additional APIs
認可クラウドに保存されたデータの精査等
GRCS の Netskope 導入支援サービス
クラウドサービスやテレワークなどに対応したリアルタイムデータ保護と脅威防御
GRCSのセキュリティプロ集団がお客様にご満足いただけるようサポートいたします
弊社多数のコンサルティングの知見を応用し、Netskopeを利用したお客様のクラウドサービス運用に特化した支援を提供します。
クラウドサービス関連の利用規程の策定から運用ワークフローの構築まで、幅広くサポートします。
- クラウドサービス運用プロセス定着化支援
- 評価検証から構築・運用まで、ワンストップでサポート
- お客様の環境にあわせた運用アドバイザリーサービス
- レポート作成支援