Security as a Service (SECaaS)とは

クラウド コンピューティングにおけるSecurity as a Serviceとは

クラウド コンピューティング環境では、管理者はITインフラストラクチャーの展開、WebアプリケーションやAPIの構築などを行うためにインスタンスのプロビジョニングを実施します。サイバーセキュリティの分野では、SECaaSはSECaaSプロバイダーと連携して1つ以上のセキュリティ ツールを展開する情報セキュリティ部門を意味します。これらのツールをオンプレミスではなく、クラウド経由で展開することで、組織は包括的かつきめ細かいセキュリティを低コストで利用できます。

通常、このようなプロバイダーはセキュリティ評価を実施して、どのサービスが必要かを確認します。この目的を達成するために、組織は通常、複数のプロバイダーを利用する必要があります。これは、セキュリティ専門家の対処が必要な分野が多岐にわたるためです。たとえば、ウイルス対策、マルウェア、またはフィッシング対策をサービスとして提供している企業は、アプリケーションのセキュリティを目的とした脆弱性スキャンすら実行しない場合があります。

Security as a Serviceのメリットと課題

組織がオンプレミスのソフトウェアの代わりにSaaSを通じて自社アプリケーション アーキテクチャーをアウトソーシングしている理由は多くあります。SaaSアプリはインターネット経由でアクセスするため、ユーザーの場所を問わず、より優れた可用性とアクセシビリティーを提供します。また、ベンダーがクラウド内で継続的にアップデートできるため、初期費用が少なく管理もシンプルです。さらに重要なポイントとして、SaaSはスケーラブルであるためユーザーを追加する場合もサブスクリプションを調整するだけで済みます。

メリット

Security as a Serviceには、これ以外にも多くのメリットがあります。

ユーザーに追従するポリシー

本社のネットワーク上で働くユーザーも、カフェや空港のWi-Fiを使用して接続するユーザーも、同一レベルのセキュリティとデータ保護が必要です。クラウド サービスでは、ユーザーがどこに接続してもビジネス ポリシーが適用されます。接続元のユーザー、アクセスしているアプリ、使用中の暗号化プロトコルにかかわらず、すべての接続を検査して保護します。

可視性の向上

クラウド セキュリティでは、すべてのトラフィック、使用中のアプリケーション、侵害されたIoTデバイス、ブロックされた脅威やポリシー違反などをリアルタイムに可視化できます。セキュリティ情報とイベント管理(SIEM)ソリューションのように、統合クラウド ソリューションでは、ファイアウォール、サンドボックス、セキュアWebゲートウェイ、高度な脅威対策、情報漏洩防止、帯域幅コントロールなどのすべてのアクティビティーを一元的に把握できます。

脆弱性の削減

最近のサイバー犯罪者はデータ センターの従来型セキュリティではユーザーを保護できないことを理解しており、モバイル ユーザーを攻撃のターゲットとして、モバイル デバイスを企業環境攻撃への足掛かりとするようになっています。すべての接続を保護できない場合、ネットワーク全体が攻撃に対して脆弱になります。Security as a Serviceは、ネットワーク外のユーザーや、クラウド アプリやオープン インターネットに直接接続するユーザーによって生まれる企業セキュリティ内のギャップを解消します。

スケーラビリティーの向上

従来型のネットワーク セキュリティ モデルにはスケーラビリティーが欠如しており、アジャイルではないことは明らかです。デジタル環境におけるシステム変更には手間も時間もかかりますが、一方で、クラウド セキュリティのスケーラビリティーはほぼ無限です。トラフィックの一時的な急増にも容易に対応し、パフォーマンスに影響することなく、暗号化されたトラフィックも含むすべてのトラフィックを検査します。ユーザーやサービスだけでなく、オフィスの追加もほぼ瞬時に完了し、アプライアンスのように容量不足に陥ることはありません。

課題

「データ センターがすべての中心」というネットワークとネットワーク セキュリティの従来のアーキテクチャーは時代遅れになっており、デジタル ビジネスのニーズを阻害する要因となっています。上記で述べたように、SECaaSには多くのメリットがある一方で、それに伴う課題も存在します。

• 従来型のハードウェアからの移行：クラウド セキュリティのメリットは多岐にわたりますが、従来型のセキュリティからクラウドを導入するまでの移行期間中、組織には脆弱性が残される恐れがあります。
• 説明責任(または説明責任の欠如):共有責任モデルでは、クラウド サービスの問題の責任をプロバイダーと顧客の両方で分担します。SECaaSの導入時にセキュリティの問題が発生した場合、誰が責任を負うかを議論したところでその結果は変わりません。
• 設定ミスのリスク：これは説明責任とも関連しますが、クラウド データ侵害の最大の要因が設定ミスであることを踏まえると、注意すべき課題といえます。部門またはクラウド プロバイダーがプロビジョニング中に誤った設定をした場合、結果として問題が生じる恐れがあります。

SECaaSの機能

Security as a Serviceの技術は、オンプレミスのソリューションにはない独自の機能を提供します。

• 自動化の潜在能力：クラウドはハードウェアによって制限されず、継続的に改善できるため、クラウド セキュリティ アーキテクトはロジックやスキーマを実装して特定の機能を自動化し、管理者、脅威ハンター、SecOpsチームなどの業務負荷を軽減することができます。
• IoT/OT保護の改善：従来型のセキュリティは、IoTやOTに接続されたデバイスやマシンなどから出入りするデータの保護など、最新のデータ保護のニーズに合わせて拡張できません。一方、SECaaSは、組織でより多くのデータが作成されても、それに応じて拡張することができます。
• ゼロトラスト機能：ゼロトラスト セキュリティは、クラウドで提供されるアーキテクチャーを通じてのみ実現できます。ゼロトラストでは、ユーザーの場所やサイン インするデバイスに関係なく、セキュリティ ポリシーがユーザーに適用されますが、従来型のアーキテクチャーではこれは不可能です。

クラウドへの移行にSecurity as a Serviceが必要な理由

Gartnerは、The Future of Network Security Is in the Cloudで、「企業のデータ センターは、ユーザーやデバイスのアクセス要件の中心ではなくなった」と指摘しています。このレポートではさらに、ネットワークとセキュリティのモデルは、すべてのユーザーがネットワーク上にあり、すべてのアプリケーションが安全なデータ センターに保管されていた開発当時から比べると、事実上正反対になっていると述べています。具体的に、現在の状況は以下のようになっています。

• データ センターへのユーザー トラフィックよりも、クラウド サービスへ向かうユーザー トラフィックの方が多い
• 社内ネットワーク内よりも、ネットワーク外での業務の方が多い
• ローカルでホストされているアプリケーションよりも、SaaSアプリケーションの方が利用されている

従来のネットワークでは、セキュリティとアクセスを制御するために、すべてのトラフィックが中央のデータ センターを経由するという複雑な構成のため、ユーザー エクスペリエンスが大きく損なわれていました。Microsoft 365やWorkdayなどのクラウド アプリケーションは、ローカル インターネット ブレイクアウトによる直接アクセスを前提に設計されています。

ハイブリッド ワーカーの場合、エクスペリエンスの問題はさらに深刻になります。これは、仮想プライベート ネットワーク(VPN)を使用して、ネットワーク上のセキュリティ スタックを介してトラフィックをルーティングし、クラウドの宛先にのみ送信する必要があるためです。

このモデルでは、ユーザーをセキュリティに合わせる必要がありますが、クラウド配信型のモデルであれば、セキュリティの方をユーザーに合わせて提供することができます。

Security as a Serviceの例

Cloud as a Serviceを通じて提供できるセキュリティ技術の一部を以下で紹介します。

• セキュアWebゲートウェイ：安全でないインターネット トラフィックが組織の内部ネットワークに入るのを防ぐことで、Webセキュリティを改善します。
• Firewall as a Service:マネージド サービスを介して高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供することで、トラフィックを保護します。
• 情報漏洩防止(DLP):企業ネットワーク上のデータを監視および検査し、サイバー攻撃による重要なデータの流出を防ぎます。
• サンドボックス：統合されたファイル行動分析を通じて、ゼロデイ脅威と高度な標的型攻撃(APT)に対するセキュリティの追加レイヤーを提供します。

Security as a Serviceプロバイダーの選び方

市場に出ている効果的なクラウド セキュリティ製品を探す際、考慮すべき点がいくつかあります。

• SASEアーキテクチャー上に構築されているか。Gartnerは「セキュア アクセス サービス エッジは、総合的なWAN機能と包括的なネットワーク セキュリティ機能を組み合わせた新しい製品群である」と述べています。これは、効果的なクラウド ネイティブなセキュリティ プラットフォームには不可欠な要素です。
• ハイブリッド ワークを保護できるか。SECaaSは柔軟性が求められる現代の仕事環境で十分な効果を発揮しますが、場所や使用するデバイスに左右されることなく従業員を脅威から確実に保護できるのは、ハードウェアに縛られた仮想マシン上ではなく、クラウド内に構築されたアーキテクチャーを持つプロバイダーのみです。
• ユーザー エクスペリエンスを維持、改善できるか。クラウド サービスを選ぶ際の最優先事項がセキュリティであることは当然ですが、特にハイブリッド ワークが普及した現代においては、ユーザー エクスペリエンスを低下させないことも重要です。真のクラウド ネイティブなプラットフォームは、優れたユーザー エクスペリエンスを提供するだけでなく、これらのユーザー エクスペリエンスの継続的なモニタリングも実施します。
• 真のゼロトラストか。Gartnerは、2025年までにゼロトラストがVPNに取って代わると予測しています。それを受けて、多くのセキュリティ ベンダーが「ゼロトラスト」をうたう製品を提供していますが、真のゼロトラストをクラウドから直接提供するベンダーはZscalerのみです。

Zscalerのソリューション

Zscaler Zero Trust Exchange™は、GartnerのSASEアーキテクチャーに関するビジョンに基づいて構築されたエンタープライズ グレードのセキュリティ クラウドで、より高速で安全なユーザー エクスペリエンスを提供するクラウド ネイティブなセキュリティ プラットフォームです。

世界中の150か所以上のデータ センターにより、場所を問わずすべてのオフィスまたはユーザーが高速かつ安全な接続を利用できます。Zero Trust Exchangeは、検査が困難なTLS/SSLであっても、ユーザーのトラフィックの需要に合わせて弾力的に拡張します。Zscalerはピーク時に2,000億件を超えるトランザクションを処理し、17万5千件の独自のセキュリティ アップデートを日々実行しています。Zscalerのクラウドで脅威が検知された場合、他のすべてのクラウド ユーザーは数秒以内にその脅威から保護されます。

Zero Trust Exchangeは、以下を実現します。

• アプリケーションをZero Trust Exchangeの後ろに配置することで、発見や標的型攻撃を防止し、攻撃対象領域を排除。
• ネットワークにアクセスすることなく、ユーザーとアプリケーションとの直接接続を確立することで、脅威を分離してラテラル ムーブメントを防止。
• クラウド アプリケーションへの直接接続を確立し、接続を効率的に管理および最適化することで、ユーザー エクスペリエンスを改善。
• VPNや複雑なファイアウォールのルールを必要とせず、導入と管理を簡素化することで、コストを削減し、複雑さを軽減。