Gartnerが定義するSSEとは、次のような様々なクラウドベースのセキュリティツールの進化したスタックです。
これらのツールは、SASEアーキテクチャのうちの半分であり、クラウドインフラストラクチャ内のネットワークとセキュリティツールを統合したものです。
全体像を見るために、コアテクノロジー要件の説明を超えてSSE セキュリティで何が起こるべきかを理解しましょう。 テクノロジー業界は、頭文字が溢れています。SSEがただの新たな頭文字の用語とならないためにも、SSEについて説明するときにはSASEとゼロトラストも含めた全体像を語るようにしています。SSEに対する対話を、適切に実装された場合に SSE サービスによって何ができるのかという有用な議論に導きたいと思っています。
初期のサイバーセキュリティは、ファイアウォール、オンプレミスのウェブプロキシ、サンドボックス、SIEM、エンドポイントセキュリティに依存していましたが、これらはクラウド空間には適していません。最近では、ますます多くのデータがネットワーク境界の外側に移動し、クラウドトラフィックを読み取る能力を持たないファイアウォールの手の届かないところに移動しています。これに、企業ネットワークに接続するエンドポイントの数が増えているBYODが加わります。全体として、企業データの監視が極めて信頼性の低いものとなってしまうのです。
たとえば、非常に人気のあるChatGPTアプリなどの 生成型AIを安全に使用するには、リアルタイムのユーザーコーチング、アップロードされるもののデータ保護、およびアプリケーションアクティビティの制御を可能にするアプリケーションコネクタが必要です。
SSEプラットフォームが、クラウドでデータを安全に保つというこの新しい世界でセキュリティ解決すべき点をうまく整理すると、いくつかの原則が見えてきます。
SSEコンポーネント#1: セキュリティはさまざまなソースからのデータを追跡する必要がある
現在では、従来のウェブプロキシやファイアウォールが理解できない、また実際に見ることすらできないトラフィックがたくさんあります。ユーザーはどこにでもいて、アプリは複数のクラウドにあり、どこからでもデータにアクセスしています。これを考えると、データが移動する先々を追跡するセキュリティの検査ポイントが必要になってきます。そして、その検査ポイントでデータの追跡が譲れないのであれば、その検査ポイントがクラウド上にあることで、そのメリットをユーザーに届けてアプリに配信できるようにすべきである、ということです。
SSEコンポーネント#2: セキュリティはクラウドトラフィックをデコードして分析できる必要がある
クラウドトラフィックのデコードとは、ウェブプロキシやファイアウォールができないAPI JSONトラフィックを、セキュリティが見て解釈できるようにすることを意味します。
SSEコンポーネント#3: セキュリティは適応型データアクセスを提供する必要がある
単に誰が情報にアクセスできるかを管理するのではなく、ユーザー自身、操作しているデバイス、アクセスしているアプリ、アクティビティ、アプリのインスタンス(企業と個人)、データの機密性、ジオロケーションや時間帯などの環境信号、存在する脅威などの多くの要因に基づいて、継続的かつリアルタイムにアクセスやポリシー制御に移行する必要があります。これらはすべて、データにアクセスしようとする際の状況をリアルタイムで理解するためのものです。
SSEコンポーネント#4: セキュリティによってネットワーク速度が低下することはない
ユーザーはデータをすばやく取得する必要があり、ネットワークは信頼できるものでなければなりません。セキュリティが原因でアクセスや操作性が低下すると、生産性が低下し、ネットワークの速度や信頼性のためにセキュリティ管理を危険な状態にさらしてしまいます。これは、セキュリティコントロールをクラウドに移行するのと同じくらい簡単だと思うかもしれませんが、それほど単純ではありません。最終的にクラウドは、インターネットという汚れた場所を通過することになり、ルーティングや露出において様々な問題を引き起こす可能性があります。そこで、エンドユーザーから目的地まで、スムーズで効率的な経路を確保するために、プライベートネットワークが活躍するのです。
詳細情報: CASBとは
これらすべてのニーズのために、従来の境界は消えてしまい、検査ポイントを移動する必要があります。 SSE アーキテクチャは、その検査ポイント、つまり、クラウド内かプライベート アプリケーション内かにかかわらず、データにアクセスする場所と方法に可能な限り近づく多くの分散検査ポイントを提供します。
これは、セキュリティやインフラストラクチャをどのように設計するかに深い意味があり、なぜ今、SSEやSASEが必要なのかを整理する必要があるのです。例えば、セキュリティ費用の90%がオンプレミスに重点を置いたセキュリティで、50%のアプリと90%のユーザーがオフプレミスである場合、セキュリティはすでに輪ゴムのように引き伸ばされていると考えられます。オンプレミスモデルから、そのために設計されていない他のすべてのものにセキュリティを引き込もうとすると、ビジネスに緊張が生まれ、最終的には輪ゴムが切れて、セキュリティが破られることになるのです。それではうまくいきません。
また、上記の4つの原則の中で、最後の原則がネットワークを参照していることにお気づきでしょう。これまで、セキュリティの問題を解決するために、ネットワークに関する会話があまりに多かったのですが、それは、データがネットワーク上にあり、そのネットワークは安全であると想定することが多かったからです。しかし今では、データは私たちのネットワーク上にはなく、ユーザーも私たちのネットワーク上にはいません。だからといって、ネットワークセキュリティが必要なくなるわけでも、アクセス制御などの重要性が薄れるわけでもありません。これは、境界線があいまいになっていることを意味しており、それを考慮する必要があります。
Netskope SSEサイバーセキュリティを使用すると、インターネット検査ポイントが適切に配置され、クラウド、Web、およびデータの検査機能が統合されます。そして重要なことに、これらの検査機能はすべてアトミックに起動されます。順番もしく1つではなく同時に機能するのです。Netskopeの SSE セキュリティ機能と、それらが SASE アーキテクチャでどのように機能するかについて詳しく知りたい場合は、 Netskope Security Cloudの概要をご覧ください。Netskope SSE、およびセキュアアクセスサービスエッジのセキュリティ半分を構成する個々の SSE コンポーネントについてご紹介しています。
ソリューション概要: Netskope Security Service Edge (SSE)
ブログ: Netskope リアルタイム脅威保護と AV-TEST の結果
電子書籍: SASEアーキテクチャの設計 For Dummies
Netskope SSEは、高度なクラウド対応の脅威から保護し、あらゆるクラウド、あらゆるアプリ、あらゆるユーザーにわたってデータを保護します。シングルパスアーキテクチャにより、高速なユーザーエクスペリエンスと簡素化された操作を実現。Netskope One Security Service Edgeは、クラウドとデータのセキュリティを最優先します。
最新のレポートでは、Netskopeが実行能力とビジョンの完全性において最上位の位置付けである理由をご確認いただけます。
また、次の内容を知ることができます。
本レポートで、当社が今回の位置付けとなった理由と、SSEがお客様の組織に何をもたらすのかをご確認ください。
Back
