「Prisma Access」で実現する、死角なしのSASEソリューション　リモートで働く時代のサイバーセキュリティ環境とは

全方位のSASEソリューション「Prisma Access」

青柳貴大氏：お世話になります、テクマトリックス株式会社の青柳と申します。本日は「全方位のSASEソリューション」と題しまして、「Prisma Access」のご紹介をさせていただきます。

まず弊社についてのご説明となります。弊社は主に、L4・L7のネットワークセキュリティデバイスの、ディストリビュータービジネスを生業としております。そのなかで、Palo Alto Networksのビジネスにおきましては、販売実績、サポートの品質、そして新しいビジネスの取り組みを評価されて、2年連続「Distributor of the Year」をジャパンで獲得しております。

次に、Palo Alto Networksについてご紹介させていただきます。当初は次世代ファイアウォールのパイオニアとして知られておりまして、現在はクラウドとエンドポイントを含めた、エンタープライズのセキュリティ業界のナンバーワン企業として、名実ともに評価されています。

そんなPalo Alto Networksが提供しております「Prisma Access」というサービスの説明について、進めさせていただきます。

まず全体像のお話になるんですけども、現在Palo Alto Networksは3つの製品群を持っています。それぞれ「STRATA」「PRISMA」「CORTEX」と呼ばれております。

今日説明するのは「PRISMA」という、クラウドのセキュリティに関連する製品群の中に位置するPrisma Accessの、Next-Generation Firewall-as-a-serviceについて説明していく流れになります。

クラウド型次世代ファイアウォールの全容

一言で申し上げますと、Prisma Accessというのはクラウド型の次世代ファイアウォールになります。

イメージとしてはこのようなかたちになっておりまして、Palo Altoがクラウド上に次世代ファイアウォールというものを仮想的に持っております。こちらのファイアウォールに対して、お客さまの拠点からサイト間のVPN、もしくはモバイル端末からリモートアクセスで接続していただきます。このクラウドファイアウォール上で、いろいろなセキュリティ機能のフィルターだったりポリシー制御をして、最終的に宛先に通信を流すような経路になります。

このPrisma Accessを使う上で必要な、主なコンポーネントが3つございまして。1つ目がPrisma Access。こちら、実際に仮想ファイアウォールにつなげにいくためのVPNライセンスになります。拠点からつなぐ場合は帯域数、モバイルからの場合はユーザー数で課金いただくようなイメージです。

次に「Cortex Data Lake」と呼ばれる、ファイアウォールのログをクラウド上に保管するサービスがございます。こちらはログの容量の単位で課金いただくようなイメージです。

最後にPrisma AccessとこのCortex Data Lakeを統合して管理するための、「Panorama」というライセンスを購入いただくようなイメージになります。

このクラウドのファイアウォールというのは、お客さまにとってはゲートウェイになるわけなんですけども、その利用可能なゲートウェイのロケーションが、グローバルで100個以上あります。

こちらは標準の機能として100個以上お使いいただけるものでございまして、日本に関しては右下の2ヶ所がございますので、こちらご自由に選択いただくようなイメージになります。

オンプレの次世代ファイアウォールと同等の機能を有する

次に、気になる機能ですね。基本的にはオンプレの次世代ファイアウォールと同等のものが使えるとお考えください。

Palo Altoがもともと得意としている次世代ファイアウォールのアプリケーションの可視化・識別はもちろんのこと、あとはゼロデイマルウェア対策、こちらサンドボックス機能を有した「WildFire」と呼ばれるものなんですけども、1ヶ月で7億以上の未知の検体を検出しておりまして、それに関するシグネチャーを5分間隔で配信しているというところで、ゼロデイの対策には非常に有効な機能になっております。

またこれを利用する時にはVPNでクラウドファイアウォールにつなぐようなイメージになるんですけども、そのクラウドにVPNをつなぐ時によくあるニーズ、ソリューションというのも一覧でカバーしています。

特にグローバルで使うお客さまや、スケーリングを気にされるお客さまがいらっしゃるんですけども、そこもちゃんと対応・カバーできるようなかたちになっています。

あとハードウェアを撤廃するというところで、運用面での比較になるんですけども、やはり運用性が上がる。

特にスケールアップが簡易的にできる、すぐに拡張できるというところだったり、あとはOSのバージョンアップ等、こちら側もメーカーで対応します。そのあたりの運用負担が減るというところで、かなりメリットが大きくなっています。

以上のことから、こういったキーワードで最近はお引き合いをいただくようなイメージが多いです。

「Prisma Access」だからできる3つのこと

次にキモの部分になるんですけども、Prisma Accessだからできることについてご説明させていただきます。

主に3つあると考えています。1つ目が、すべてのポート・プロトコル・アプリケーションへ完全対応しているという点。2つ目が、占有の仮想インスタンスとグローバルIPアドレスを提供しているという点。3つ目が、CASB製品やEDR製品と連携できるという点です。

まず1つ目の、すべてのポート・プロトコル・アプリケーションに完全対応しているという点からブレイクダウンしていきます。ユーザーさまによって、さまざまな通信を利用されているので、一部の通信だけ見ればいいということはなく、すべての通信・プロトコル・ポートに対して、一貫したアプリケーションの可視化・制御をすべきだと考えてらっしゃると思います。

Prisma Accessはそこの制限・制御なく、3,300以上のアプリケーションの識別と可視化が可能です。従いまして、ポート・プロトコルの制限なく、アプリケーション識別を一貫して行いたい、それを実現したいというユーザーさまにおすすめできるポイントです。

2つ目に、ユーザーごとの占有インスタンスとグローバルIPを提供しているという点になります。お客さまの中には、利用されているクラウドサービスによって、例えば他社とリソースを共有する、その場合にグローバルIPを共用されるといったことによってリソースの影響があったり、グローバルIPアドレスが共有されることでネットワークの運用に制限が出る、というケースがあると思います。

そんな中で、Prisma Accessは専用のリソースおよびグローバルIPを提供します。なので他社テナントの利用状況に影響を受けない、安全で安定したSASE環境を実現できるというところで、おすすめができます。

3点目ですね。強みとしてはCASB製品・EDR製品と連携ができるというポイントになります。冒頭に申し上げた製品群で「PRISMA」というクラウドに関わる製品群があったと思うんですけども、こちらがユースケースごとの製品別の表になります。

例えば「Prisma SaaS」というCASBに特化した製品があるんですけども、このPrisma AccessとPrisma SaaSを連携させることによって、CASB機能もしくはレポーティングの強化をすることができます。

すべてのデータ通信・保管を国内で完結できるように

次にEDR製品との連携イメージです。また別の製品群で「CORTEX」というブランドがあるんですけども、そこの「Cortex XDR」という製品を使っていただくことで、エンドポイントのデータとPrisma Accessからのネットワークのデータをログ保管領域にまとめて保管して、そこで相関分析することも可能です。

なのでクラウドゲートウェイだけではなくて、エンドポイントもまとめて面で見るという、オンプレを含めた全体のセキュリティ強化を実現されたいお客さまにとって、とても良いポイントになります。

続きまして、Prisma Accessの最新のアップデート情報についてお伝えいたします。

クラウドの保管サービスでありますCortex Data Lakeというものが、日本リージョンを開設いたしました。今まではこの領域についてEUかUSしか選べなかったんですけども、現在JPも選べるようになっています。

これによってゲートウェイだけではなく、ログの保管領域も日本国内にできるようになる、つまりすべてのデータ通信・保管を国内で完結できるようになりました。データレジデンシーだとか、いろんなポリシーが厳しいお客さま、業界のみなさまにも安心してご利用いただけるようになっております。

ポイントはインターネットブレイクアウト

次におすすめ利用ケースと導入事例について説明いたします。

おすすめの利用ケースとして、1つ目、インターネットブレイクアウトというポイントがあります。

今よくある構成だとも思うんですけども、1つのデータセンター・本社、出口を集約してインターネットに接続するというお客さまから、クラウド環境の利用に伴って、その出口の逼迫だったり、パフォーマンスの限界が来ているという声を聞くことがとても多いです。

それに対してPrisma Accessであれば、このようにセキュリティのレベルを下げることなく、Prisma Access経由でインターネットに接続させてあげることができるので、一極集中による帯域圧迫を解消できます。あとはデータセンター・本社につなぐためのVPNコストを削減できるというところで、利用されるお客さまがいらっしゃいます。

Panoramaライセンスで一元管理が可能

次に、オンプレからクラウドへの安全なシフトというところの構想で、ご利用されるケースがございます。今お聞きいただいているみなさまに関しましても、「SASEへの移行を進めたいんだけど、すでにオンプレの環境があるので、一度に移行するのは難しい」と。

あとはやっぱりクラウドサービスってどうしてもブラックボックスになりがちなので、一旦は試験的に試したいというお客さまはいると思います。

そんな中、Palo Altoに関しては、そもそもオンプレのファイアウォールも、クラウドゲートウェイのPrisma Accessも持っております。なので、一部のみクラウド化して試験的に使ってみるとか、十分なテスト期間を設けて使うというようなやり方をシングルベンダーでやることができます。

かつ、このオンプレの機器とPrisma Accessというクラウドのサービスを、冒頭に説明したPanoramaという管理ライセンスで一元的に管理することができます。ユーザーさまもいろんなサービスを見る必要がなく、1つのサービスを1つの管理画面で並行しながら見るというところで、安全にシフトすることができます。

十分な準備期間を設けてクラウドへの完全移行ができるところを評価いただき、利用いただくケースがございます。

中長期目線でのSASE利用

3つめの利用ケースとしては、セキュリティの基盤の全体構想についてのちょっと中長期的な目になるんですけども、そこを見据えた起点としてのSASE利用というところでご利用いただくケースがございます。

ゲートウェイのセキュリティ環境の課題だけではなく、エンドポイントだったりSaaS環境、CASB環境というところで、いろんな問題を抱えておられるお客さまがいらっしゃいます。それぞれ領域が違うので、必要とされるナレッジや経験だったり、覚えなきゃいけない仕様だったりがあって、なかなか全体観を通してのレベルアップは難しいです。

Palo Altoであれば、まずPrisma AccessをSASEの起点として入れていただければ、その後は同じシングルベンダーでCASBの製品を入れていただいて、あとはエンドポイントを含めた連携だったりというところで、最終的にエンドポイント・ゲートウェイ・クラウドの全領域を親和性が高い製品同士でまとめ、トータルのセキュリティ基盤の構築ができます。そこが最近特にニーズをいただく利用ケースになっています。

キーワード別の具体的な導入事例

実際の具体的な導入事例をお話しさせていただきます。

（スライドを指して）こちらのお客さまは「海外拠点」というキーワードでお引き合いいただきました。国内・海外の差というところで、ロケーションによらない同一のセキュリティポリシーが設定できないと。特に海外におきましては運用をキープすることが難しいというところで、提案させていただいたのがPrisma Accessになります。

こちらであればロケーションに関係なくセキュリティのポリシーを設定可能です。また、すでにPAを利用されていたので、同様の管理画面での運用をグローバルでできるという部分でご採用いただいたという事例になります。

次が「SSL復号」というキーワードでお引き合いいただいたお客さまです。こちらのお客さまはSSL通信が素通しになっていて、どうにかその復号を図りたいと考えていらっしゃったんですけども。やはりSSL復号の通信って、すごくサイジングが難しい。お客さまによってや、利用されているケースによって負荷が変わったり、あとは性能限界がきた時にもアップグレードしたり機器を変えなきゃいけないので、そういったコストだったり手間を考えて、なかなか復号を実現できていなかった。

Prisma AccessであればもちろんSSL復号を含めていますし、そこのパフォーマンスに対するオートスケーリングができるというところを評価いただいて、最終的に成約をいただいた事例になります。

最後は精密機器のメーカーさんで、従業員は7万名いらっしゃいました。リモートワークを検討する中で、ユーザーさんがここまで多いのでどうやってしたらいいか、というところでお引き合いをいただいた例になります。

既存のネットワーク環境には手を加えたくないというところもありましたし、やはりリモートネットワークで社外にクライアントが出ていくので、社外でのセキュリティ対策も最終的にはしたい。要するにエンドポイントもしたいというところで、ちょっと長期的なビジョンを描いていろいろご提案させていただきました。

その時に、SASE導入はもちろんなんですけども、その後同じベンダー・メーカーでCORTEXといったエンドポイントサービスもご提案できますよ、というところで全体観を評価していただいて、成約いただいた例になります。

サマリーで見る「Prisma Access」導入のポイント

今お話ししたPrisma Accessの製品に関わる部分について、ちょっとサマリーをさせていただきます。Prisma Accessだからできること、というところで3つ挙げました。

1つ目が、すべてのポート・プロトコル・アプリケーションへ完全対応しているという点。あとは占有の仮想インスタンス・グローバルIPアドレスを提供できるという点。3つ目が、同じメーカーでCASB製品・EDR製品・EPP製品と連携できるという点です。

Prisma Accessの最新アップデート情報としては、Cortex Data Lake、クラウドのログ保管サービスです。こちらが日本リージョンを開設できたということをお伝えしました。これによってすべてのSASEの通信、トラフィックデータの補完が日本国内で完結できるようになっております。

最後に、おすすめの利用ケースと導入事例をご紹介しました。おすすめの利用ケースとしてはインターネットブレイクアウト、あとはオンプレミスからクラウドへのシフト。あとは全体観を見据えたセキュリティトータルソリューションの起点としてのSASE導入について紹介いたしました。

実際の導入事例は、海外拠点のポリシーの統一化だったり、あとはオートスケーリングによるSSL復号、あとはリモートワークですね。大規模なユーザーさんですけど、リモートワークでも安心して使っていただくというところの導入事例を紹介させていただきました。

トータルセキュリティ環境の実現を提案していきたい

最後に、IIJグループさまに期待することのお話をさせていただきます。いろいろとPalo Altoのビジネスでご一緒させていただいている中で、ちょうど先週、Palo Altoさんのパートナーサミットというものがございました。JAPACと呼ばれる、日本・アジア地域のSASEビジネスのPartner of the Yearというものを、IIJグローバルさんが受賞されました。こちらはIIJグローバルさんの実績に基づいて、そこが評価されてアワード受賞となったようないきさつになります。

弊社のディストリビューターから見ても、やはりIIJさんは、SASEという言葉が世に出てきた時から先進的にそこの注力をされていたので、今でもこういったSASEビジネスを含めたセキュリティビジネスをする上で、最も信頼させていただいているパートナーさんになります。

そこを踏まえて、ちょっと今後の展望のお話をさせていただきます。当然ながら今日お話ししたPrisma Access、SASEサービスについて、そこのご提案・ご提供をさせていただきたいと思います。やっぱりお客さまはゲートウェイだとか一部分だけじゃなくて、エンドポイントだったりクラウドゲートウェイ、すべてトータルしたセキュリティ環境の実現をお考えかと思います。

まずはPrisma Accessをご提案させていただき、いろいろ入れていただく。そのあと、いろんなSASE、CASBのビジネス等を、弊社は兼ね備えております。そういった全体観からトータルのコンサルを行い、ユーザーさまが安心してビジネスを遂行できるセキュリティ環境のご提供、ご協業をさせていただきたいと考えております。

こちらで私からのご説明は以上となります。どうもありがとうございました。