世界初のSASEソリューション「Cato Cloud」

鈴木富士雄氏:世界初のSASEソリューション「Cato Cloud」について、私、マクニカネットワークスの鈴木よりご紹介させていただきます。よろしくお願いいたします。

私どもマクニカネットワークスは新横浜に本社がございまして、約700名弱の社員がおります。米国と台湾、シンガポールにサイバーセキュリティの子会社を持っておりまして、日本を含めたアジア地域のサイバーセキュリティについて、いろんな生の情報を取得しているところでございます。

今日ご紹介いたしますCato Networksなんですけれども、2017年に国内1次代理店を獲得いたしまして、現在パートナーさま、IIJさま含めて販売させていただいております。

社内にホワイトハッカーがおりまして、「セキュリティ研究センターブログ」というのを出しております。最近のEmotetとか、新しいサイバーセキュリティに対しての解析などもこちらで行っております。最近は日経新聞さんに記事を書かせていただいたり、テレビに出たりしております。

みなさまテレワークをされてらっしゃると思うんですけれども、私どもエンジニアが、そういったテレワークの苦労などもこのブログに書いておりますので、ご覧になっていただければと思います。

それでは今日はCato Cloudの特徴、それからCato Networksのアップデート、Cato Cloudのおすすめ、そしてIIJグループさんに期待することをご紹介させていただきます。

「安全」を「短期間」で「簡単に」

Cato Cloudは、「安全」を「短期間」で「簡単に」行えることが特徴です。そして最近では「セキュリティ疲れ」ですね。ISIDやランサム暴露型ウイルスが話題になっておりますけれども、そういったものに対するサイバーセキュリティは、どんどん新しいものが出てくる。これに対してどう追求していくか、時間はかかるんですけれども、こういったことでちょっと疲れてきてしまうということですね。

そしてなんといってモバイルSASEです。最近Appleの新しいコンピュータが出ましたけれども、非常に小型ながらハイパフォーマンスを誇ると。電池が20時間も持つということで、やはり世の中はリモートがデファクトではないかなと、最近私も思っております。そういったモバイルユーザーも安心してSASEに参加させる。

まずネットワークは「ワンネットワーク」ですね。すべてのネットワークを専用回線よりも安価に、SD-WAN機能で構築できるというところです。そしてなんといってもセキュリティを一元管理できる。さらにワンポリシーですね、グループ全体含めた全社のローケーションを含めたところを管理できるのが、このオールインワンのSASEになります。

“オールインワン”のSASEクラウド

そこでCato Cloudです。クラウドにアクセスするためにはゲートウェイが必要になってきますけども、Cato社ではこの右側にある手のひらサイズのSD-WANのルーターのような箱をご用意しております。これをデータセンターとか本社にカチッとする。これ、セットアップは3分でできます。YouTubeで動画を作りましたので、ぜひご覧になってください。

これをそのままCato Cloudの一番近いアクセスポイントにつなぎますと、通信が可能になります。この通信は、ファイバーケーブル、ADSLやルーター、あと4G、LTEの端末ですね。これは有線でつなぎますけれども、予備の回線として4Gなどを使っていただくこともできるようになっています。

当然ながら会社のネットワークを担う部分なので、Active×Activeといった2回線接続です。ISPのAとB、別のキャリアを使ってアクセスさせていただいて、スタンバイさせていくことも可能になります。

このSD-WAN機能も、ネイティブに内蔵した世界初のSASEになります。今SASEベンダーは、Cloud ProxyやCASB、SDPなどいろいろありまして、SD-WAN機器連携がバラバラだったり別オプションだったりすることありますけども、Catoはオールインワンで入っております。なので社外も社内もすべて、全部1つのSASEのクラウドとしてご提供が可能になっております。

SASEにはSD-WANが必要不可欠と言われています。なぜかと言いますと、情報資産はゼロトラスト・SASEによってクラウドへ出て行ってしまいます。クラウドにアクセスするためにはどうしても回線コントロールが必要になってまいります。

例えば世界中に今60ヶ所、アクセスポイントのような所があります。ここのPoPというポイントを指定して、例えば「Boxの場合はRoute/NATでカリフォルニアの2番に出せ」ということになりますと、日本から行くBoxのアクセスはこのカリフォルニアの2番から出ていくということです。クラウドを使うWANの最適化が可能になっております。

また海外出張ですね。最近はないかもしれませんけども、例えばブラジルに行った場合はブラジルの一番近いPoP、サンパウロのPoPにアクセスして、そこからはCatoのフルメッシュのバックボーンを使います。以前ですと国際回線をかけて東京のVPNのサーバーに入ってきたりと、非常に高いコストがかかっていました。これが、現地のカフェなどに行って無料のWi-Fiでつないでいただければ、そこで安全に仕事ができる。こういうかたちでコストカットできるというメリットがございます。

SASEでデジタルフォーメーションを最適化

デジタルトランスフォーメーションが最近話題になっています。「DX」と言われてますけれども、これを最適化するということです。Cato、SASEを使ってデジタルフォーメーションを最適化するということですね。

今日みなさんお使いのZoomもいわゆるデジタルフォーメーションです。会場に行かなくても、こうやってセミナーを受けられる。このBoxというファイルの共有サービスを行った場合に、これはIIJさまからのデータなんですけれども、中国から日本へ送るときにスループットが最適化されます。

中間の国内では50メガのファイル転送がタイムアウトしちゃってるわけですけれども、Cato Cloudを使いますと25secで、日本とのスループットは200パーセント向上する。また米国から日本ですと、例えば海外出張に行った場合に現地の動画を送りたいという場合、日本とのスループットがだいたい177パーセントアップということになります。これよって、クラウドを使ったデータ処理が最適化されるというメリットがございます。

ボタン2回でハッカーのアタックをブロック

そして、セキュリティ疲れですね。これはちょっと動画をお見せいたしますけども。

(動画再生)

Catoのクラウドにアタッカー、つまりハッカーとターゲットがいるとします。ハッカーはハッキングツールを使いまして社内で暴れます。会社の情報を盗むと。(動画を指して)これはWannaCryですね、いわゆるランサムウェアを仕掛けているところです。

そして、ハッカーがアタックのコンピュータを見つけまして、そこに入ってハッキングツールを仕掛けます。ハッキングツールは外部からハッキングのモジュールを呼んできて、合体させてアクセスが始まるわけですね。

乗っ取ったターゲットのコンピュータのProgram Filesを見て、そのあとInternet Explorerを見つけます。Internet Explorerがあった場所を見つけて、そこでハッキングツールでInternet Explorerを起動して、C2サーバーといういわゆるハッカーが使うサーバーに対してアクセスをかけます。これが開通しますと、社内情報を持ち出したり、コマンド指令でプログラムを走らせたりといったことができてしまいます。

画面の右側がターゲットの方、被害者ですけれども、このようにC&C通信が開通してしまいました。こういった画面はなかなか見ることはないと思いますけれども、裏でそっとハッカーはこのようにして、いろんな会社の情報を盗み出して持ち去っていくと。で、最近は高額で身代金を要求するということです。

Catoのクラウドでは、管理画面でセキュリティの脅威情報を押すと、こういう感じで…これはアンチマルウェアですね、このボタンをONにします。それから侵入防御ですね、IPS。これもONにします。そうしますと、全世界のPoP、契約上のみなさんのグループのポリシーが一斉に変更されます。

これによって、ハッカーが入ってきて社内で暴れたとしても、外部の通信をこの時点で速攻遮断してしまいます。「oops」「間違ってます」ということで、このハッキングは失敗に終わるわけですね。

この失敗した内容も管理画面で見ていただくことができます。セキュリティのSOCとかに頼まなくても自分たちで見れます。見ていただきますと、その状況ですね。ロンドンの本社がIPSをブロックしました、内容はeternalblueのハッキング、445ポートを止めましたと出てきました。

ご存知のように、この445ポートというのはランサムウェアが暴れ回るポートなんですけれども、これをブロックしてくれたということですね。こういうボタンを、今は2発押すだけで、簡単に処理ができます。

クラウドサービスに必須の運用監視ツール

さて、こちらは運用監視ツールですね。これはクラウドサービスでは必須になってまいります。このCatoのポータル、当然ながらセキュリティも見ているポータルなので、冗長化されたAWS上で稼働しています。当然ながらマルチテナントなので、ほかの会社さんのセキュリティ情報が見えてしまうことはないです。

そしてIncapsulaはDDoS対策のクラウドサービスで、DDoSを食らわないような制御をしております。日曜日に定期メンテナンスをしています。

CatoはSD-WANの機能を持っておりますので、ネットワークの稼働状況を監視することができます。私は前にマクニカの情報システムにいたんですけれども、「ある日突然アプリが動かなくなった」とか「ポータルが重い」というクレームが発生してくるわけですね。これって調べるのが非常に大変な作業なんですけれども。

ネットワークの稼働状況やパケロス、ジッターなどをCato Cloudは全部リアルタイムで見られます。もっとおもしろいのは、先ほどありましたSD-WANのエッジデバイスですね。外部のISPの回線なんですけど、本社につけたルーターのところまでCatoは見てくれます。

そして社員の監視ですね。テレワークであまり監視はされたくないとは思うんですけれども(笑)。アクセスしているドメインや、ユーザー別のアクティビティ、例えば「どの社員がOffice365をどのぐらい使ってるんだ」「夜中にシャドー残業してるんじゃないか」といったこともレポートとして出すことができます。

ゼロトラストモデルを加速させる「Cato Cloud」

このCato Cloudを使うことによってゼロトラストモデルを加速させます。ゼロトラストモデルに移行するときに、ネットワークとセキュリティをSASEで置き換えていただくことになります。

私どもマクニカではベストオブブリードのソリューションを持っております。ゼロトラストアクセスのところは、ネットワークとセキュリティはCato、それからIDaaSのところはOkta、EDRはMobileIronとCrowdStrikeと、最強ですね。そしてSIEMは非常に有名なところですが、SplunkとExabeamで監視をしていただくことで、レポートを作ることができるようになっています。

Catoはクラウドサービスなので、非常に短期間で進めることができます。PoC、パイロット導入も可能です。IIJさまには本当にいつもお世話になっております。モバイルですが、アプリケーションを配布していただければCato Cloudを開通させていただいて、3分でセットアップ終了ですね。そしてデータセンターがある場合には箱を送りますので、カチッとつけていただくだけでソケット自体は3分で開通できますけれども、その他ルーティングの処理をするとだいたい3日かかります。

非常に性能がいいので、これは便利だということで海外拠点にばらまく場合は3ヶ月で、全世界のグループ会社のところにこのソケットやモバイルが届きます。今はヨーロッパとかもありますけども、海外のほうが在宅勤務になってきているケースが多いので、海外のほうで先にモバイルを進めるということもできるようになっています。

FB,TW,Boxに並ぶ、ユニコーンの仲間入り

さて、このCato Networksなんですけれども、資本金202ミリオン、約202億円だったんですけども、先週にはシリーズEということで、さらに新たな出資が入りました。130億円が入りまして、評価は1,000億ということで、Facebook・Twitter・Boxに匹敵するユニコーンです。投資家にとって非常に有望株のユニコーンに入りました。なので、どんどん資金が集まるであろうと思っております。なので今は332ミリオンが資本金です。

CEOはCheck Pointの創業者、要はファイアウォールを作った方ですね。Shlomo KramerがCEO、そしてGur ShatzImpervaですね。WAFの会社と、それから先ほどありましたDDoSのクラウドサービスを作った者が創設者です。つまりセキュリティとクラウドのスペシャリストが興したのが、このCato社です。

2015年にスタートした会社で若いので、まだ数は少ないですけどお客さまは650社あります。モバイルユーザーが増えておりまして20万、それから拠点およびクラウドインスタンスで7,000拠点を、このクラウドで動かしております。

当然ながらのクラウドのSOC Type2、それからGDPR、ISO27001は取得済みでございます。セキュリティも万全でございます。あとは東京にもCato Networks株式会社がございます。

ニューノーマルはテレワークがベースになる

アップデート機能としましては、まずクライアントレスのSDPです。いわゆるモバイルとかCatoにアクセスする場合に、企業内ポータルだけですけども、エージェントなしでブラウザベースで社内アプリにアクセスができるようになります。

ユーザー別に、営業マンであれば営業マンだけのポータル系とか、経理の方は経理用のポータルアプリケーションのアイコンがあって、これにアクセスさせるということができます。このポータルにアクセスした時に、強制的にCato Cloudで接続される、もしくはPCを起動したら強制的にCatoにアクセスさせるという設定も可能になります。

Catoにはゲーム会社さまや大手製造業のお客さまがいます。非常にデータが大きいお客さまがいらっしゃいまして、要望として出てきたのがソケット同士、さっきのルーター同士でトンネリングしちゃうということですね。あえてCatoのクラウドを回避させて、ビッグデータとか画像データをそのままバックアップとかでコピーしてしまうといった機能があります。IoTなども最近工場で出てきてますので、こういったデータも直送させることができます。

こちらはThe Power of the Cloudですね。最近やっぱりクラウドサービスはすごいなと思いましたけれども、スケールアウトすることですね。WHOがコロナのパンデミックを発表したのが、東日本大震災とちょうど同じ3月11日でしたけれども。アクセスが300パーセントもバーストしても、Catoのクラウドはまったく落ちずに使えました。当然セキュリティ事故もありません。そして、そのまま数が減らないんですね。なのでニューノーマルはテレワークがベースじゃないかと考えております。

それから今年、グローバルPoPとして大阪ができました。それから台湾とペルーも。これは関係ないかもしれませんけど(笑)。こういったPoPがどんどん世界中に追加されていきます。なので、いつでもどこでも、一番近いとか安い回線費用で、このCato Cloudを使っていただくことが可能になります。

Cateが選ばれる理由は「コスト」と「処理能力」

おすすめ機能として、まずMDR。セキュリティ疲れやセキュリティ人材不足などがありますので、Cato社が有人監視のサービスをしております。定期レポートの発行と、それから各企業向けの脅威情報のチケットがあります。国内のお客さまですけれども、全世界のサイバーセキュリティが一元管理できる。そしてグローバルを含めたグループ全社の問題発生が適時に把握できるという。つまりスピードアップですね。やっぱりサイバーセキュリティはスピードが重要です。

費用対効果ですが、なぜSASEを選ぶかといいますと、専用線からインターネット回線にリプレイスすることで、3分の1の費用削減となります。それから国内大手サービスは150拠点ですけども、この全部のネットワークの機械を設定するのは大変ですね。これがもういらなくなります。

それから、これがやっぱり多いですがテレワークになりましたので、役員から命令で「早くテレワークやれ」と。ただしセキュリティはちゃんとしてくれ、ということでCatoに飛びつかれまして2,000名、最近だと5,000名のお客さまが1ヶ月で開設されました。非常に感謝いただいています。

そしてこれもお客さまが選んだ理由なんですけども、コスト、セキュリティ、処理能力ですね。左側にありますように、お客さまの重要度はSLA、処理能力、VPN。中国のVPNは遅くなります。セキュリティは9点。やはりコストの評価点が高い。それからリモート接続ですね。重要度は低かったんですけれども、実はここで喜ばれたというのがあります。国内実績は当時なかったんですけれども(笑)、コストや処理能力でCatoを選んでいただきました。

国内導入企業も、あらゆる企業でSASE移行しております。JUKIさまもOffice 365を導入しましたけど、問題が出てきますので、グローバル40拠点・2,000ユーザーのためにCatoを入れていただきました。HISさまはご存知のように海外に営業所がありますので、ここも含めたモバイル対応として、1,000万円の費用削減をしていただいています。

その他に製造業さまですね、モバイルユーザーが多いところです。それから国内だけなんですけども、モバイルの6,000ユーザーを集約したいということで、製造業のお客さまも。みなさんが知っているような名前のある会社さまが、このCatoを導入しております。

コロナ禍を生き延びるための「SASE」

IJJグループさまに期待することですが、やはりIIJ Omnibusがあることです。これ、実はCatoとVPNでつながります。なので国内はOmnibusで。私は昔、ちょっとIIJ GIOにお世話になりましたけれども、こういった国内クラウドのIIJ GIOさんのようなものとつないでいただく方法があります。

海外の現地法人は、これも別のお客さまでIIJさまのフランスにお世話になったことありますけども、しっかりと日本のお客さまを海外でサポートしていただけます。海外現地法人を持つお客さまは、ぜひこのCatoをご提供いただきたいなと思っております。

続いて、Withコロナですね。結局まだコロナは止まない。今日も都内で自粛の話が出てきています。ハイブリッドワークスペースと最近言われてます。一応オフィスはあるんですけども、自宅でもどこでも仕事ができると、本社と自宅のどこでも同じ環境が使える。テレワークが常態化しちゃうわけですね。

次が入国制限現地。機械のセットアップができないので、入国制限ある国に対しては先ほどのソケットをつけていただけば完了。そしてオリンピックですね。たぶんやるのかもしれませんけど、来年の夏にまたやってきますので、そのテレワーク対応。それから海外のお客さまもリモートでつなぐと思います。

それから経産省のデジタルトランスフォーメーションレポートですね、「2025年の崖」という言葉がありますけれども、みなさんクラウドを使っていただかなければいけない。それから人材不足で、ここに対して早めにSASEで守っていただいて、対応していただくと。

それからローカル5Gがやってきます。ローカル5Gは基地局が会社に持てますので、いわゆる社内LAN環境がもういらなくなるということですね。みんな5GでCatoにつないでしまえば、そのぶんネットワーク費用も下がるということになります。

そしてBCP、事業継続計画ですね。地震・大雨・大雪もあると思いますけど、その時でもどこでも仕事ができるということですね。(スライドを指して)私の友人もサハラ砂漠で仕事をしていましたけれども(笑)。砂漠でも端のほうに行くと回線が飛んでいるということで、実際に仕事して見せていました。どこでも仕事できるということですね。

今新聞を賑わしてますけども、業績悪化とコスト見直しがあります。業績が悪化してきますと、みなさんいろんな方法を取らなきゃいけないです。赤字の会社も出てきておりますけども、コロナの中ではそういったところに耐えていかなきゃいけないと思います。コストの見直しとして、このSASEをご検討いただけないかと思います。

つらい時期がみなさんもあると思いますので、その時はぜひ卓球でもやって過ごしてください。「IIJ 卓球台」で検索しますと、非常に心をうるおす記事が出てきます(笑)。みなさん、このコロナ禍をがんばって生き残るため、SASEをご検討いただければと思います。

Cato CloudにつきましてはIIJさまにぜひお声がけいただきまして、PoC、パイロット運用していただければと思います。本日は短い間でございましたが、ご清聴誠にありがとうございました。