さまざまなセキュリティインシデントが繰り返し報じられている中、一般企業が取り組むべきセキュリティ対策としては、やはり基本的な部分を着実に実行することが最善だろう。2019年、クラウド時代の本格的な到来と歩調を合わせるように、米Gartnerが新しいセキュリティアーキテクチャーのコンセプトとして「SASE(Secure Access Service Edge)」を提唱した。
それから5年が経過し、今ではすっかり定着した印象のSASEだが、現状はどのようになっているのか。2019年とは何が変わったのだろうか。SASEの現状について、この分野のリーディングカンパニーの一社と目される米Netskopeの創業者 兼 最高技術責任者(CTO)のKrishna Narayanaswamy(クリシュナ・ナラヤナスワミ)氏に聞いた。
SASEの始まり
2019年にGartnerがSASEというコンセプトを定義したことは広く知られているが、Narayanaswamy氏は「実際には、SASEの取り組みはNetskopeを創業した2012年から始まった」と語る。当時はSASEという言葉はなかったが、そのベースとなるアイデアとしてまず同社が取り組んだのは「SaaSアプリケーションの保護」だった。
米Netskope 創業者 兼 CTOのKrishna Narayanaswamy氏
同氏は「当時はまだ『Microsoft 365』もなかった頃で、GoogleやSalesforce、そのほか幾つかの企業がSaaSに取り組んでいたくらいだった。Netskopeの最高経営責任者(CEO)となるSanjay Beri(サンジェイ・ベリ)氏と私はJuniper Networksで働いていたが、当時セキュリティに取り組んでいたJuniperやCISCO、Symantec、McAfeeといった企業はどこもSaaSには注意を払っていなかった。これらの企業は依然として旧来型のファイアウォールやウェブプロキシなどを手掛けていたので、われわれはSaaSアプリケーションに可視性を提供できれば事業機会があると思った。2012年の時点で『今後ますます多くの企業/組織がクラウドに移行するはずだ』と予測していたためだ」と振り返る。
Narayanaswamy氏らが最初に取り組んだのは「SaaSアプリケーションの可視化」という課題であり、その解決策として「クラウドに対するプロキシを提供する」ことが適切だと考えたという。当時、同じ課題に取り組む競合他社も存在したが、同じアプローチを採った企業はほかになく、この点がNetskopeの独自性になった。
SaaSアプリケーションに可視性を与え、リアルタイムにコントロールするには、そのための機能を作り込んだプロキシが必要という結論に至ったものの、ユーザー企業の多くはその時点でさまざまなベンダーが提供するウェブアクセスのためのプロキシをデータセンターに導入済みであり、新しく別のプロキシを導入するアイデアは簡単には受け入れられなかった。
「しかし、MicrosoftがOffice 365の提供を開始すると状況が変わった。ユーザー企業のデータはクラウドに移行し始め、ユーザー企業はMicrosoftやGoogleとの間での責任共有モデルについて考える必要に迫られ、ユーザー企業がクラウド上のデータを保護する手段を講じる必要があると理解されるようになった。そこで、Netskopeが企業のデータを保護する新たなレイヤーを提供できることも理解されるようになった」と同氏は語った。
もちろん、複数プロキシの並列がユーザー企業にとって好ましい状況ではないことに変わりはないため、さまざまなプロキシの機能が統合されることもその時点で予測できたという。そこでNetskopeは、2017~2018年ごろにこれらの機能の統合を実現し、「Next Generation Secure Web Gateway」(NGSWG:次世代型セキュアウェブゲートウェイ)と呼ぶことにした。のちにGartnerがSASEを発表したが、その意味することはNetskopeのNGSWGとほぼ同じであり、同社はSASEという言葉が生まれる前にSASEを具現化する製品を完成させていたといえる。
SASE誕生から現在までの進化の歴史
2019年にSASEという用語が定義され、同社のソリューションにも注目が集まり、同社はSASEのリーディングカンパニーの一社として認知されるようになった。ITの世界では決して短いとはいえない5年という年月が経過した現在、同社はどのような取り組みを行ってきたのか。
Narayanaswamy氏は「次にわれわれが取り組んだのは新世代のゼロトラストフレームワークを組み込んでいくことだ。SASEの頭脳に相当するのがゼロトラストアーキテクチャーにおけるポリシーエンフォースメントであり、SaaSアプリケーションはもちろん、プライベートアプリケーションやウェブサイトへのアクセスなどに対しても一貫したポリシーエンフォースメントを実現するには、Netskopeとしてもゼロトラストにフォーカスすると同時にデータ保護にも注力する必要があると考えた。データの漏えいなどが重大な懸念事項となりつつあったからだ」という。
SASEとゼロトラストはそれぞれ別の文脈で語られることも多く、一般的には密接な関連はあるもののそれぞれ独立した概念として理解されているように思われるが、同氏の視点ではSaaSアプリケーションやそのデータを保護するために必要な要素技術として不可分のものとして捉えていると感じられた。
SASEはセキュリティサービスとネットワークサービスを一体にしたネットワークセキュリティのコンセプトと説明され、具体的なコンポーネントとしてCloud Access Security Broker(CASB)、Secure Web Gateway(SWG)、Firewall-as-a-Service(FWaaS)、Zero Trust Network Access(ZTNA)やSD-WANなど、さまざまなコンセプトを統合した形で実現されるものと考えられる。では、Netskopeはこれらのコンポーネントの統合についてどのように考えているのだろうか。
Narayanaswamy氏は「GartnerがSASEフレームワークを説明する際にCASB、SWG、FWaaS、ZTNAなどさまざまなコンポーネントを挙げたことから、ベンダーの中には『われわれもこうしたコンポーネントを持っているので、SASEも持っているといえる』と主張するところが出てきたが、私はSASEにはこれらのコンポーネントを単に集めた以上のものが必要だと考えている」と語る。
同氏は、NetskopeのSASEソリューションの特徴として「全てがクラウドで提供される」ことを挙げた。これは単にソフトウェアがクラウド上で提供される以上の意味を持つ。Narayanaswamy氏は「SASEはサービスであり、アプリケーションではない」と強調した。一般的なアプリケーションはユーザーからのアクセスを受け付け、何らかの処理を行って結果を返す動作を行う。アプリケーションがユーザーアクセスの「目的地」なのに対し、SASEはSaaSアプリケーションに向かうユーザートラフィックを中継する「通過点」として機能する。
同氏は「一般的なパブリッククラウドのアーキテクチャーは『目的地』として設計されており、『通過点』として利用するには最適な環境とはいえない。競合他社では『Amazon Web Services』『Microsoft Azure』『Google Cloud Platform』といった環境上にSASEを構築しているが、これはユーザーから見るとパフォーマンス面で満足できるものにはならない。Netskopeはトラフィックを中継することに最適化した独自の環境を構築するために多額の投資をしている」とその差を説明した。
同氏は「コンポーネント間の密接な連携」も特徴として挙げた。各コンポーネントが独立して動作していては、SASEとして充分な機能を実現しない。Netskopeはゼロトラストポリシーエンジンを中心として各機能が密接に連携することで、SASEとしての一体化されたサービスを実現している。この点も、単なるコンポーネントの寄せ集めとは一線を画すポイントだ。
AI技術の活用
現在では、生成AIをはじめとするAI技術が社会のさまざまな領域に多大な影響を及ぼすようになってきている。Netskopeでもさまざまな形でAIの活用に取り組んでいるという。Narayanaswamy氏は、NetskopeでのAI/機械学習(ML)への取り組みは10年以上にわたり、特にデータ保護/脅威保護への活用に注力していると語った。
具体例として、同氏はパスポート画像の検知に特化したMLモデルを構築した例を紹介。パスポートや運転免許証をスキャンして画像データ化すると、重要な個人情報を大量に含んだ画像データが出来上がるが、従来のData Loss Prevention(DLP)技術ではこうした画像を機密情報として保護対象にすることは困難だ。同社はかつて光学文字認識技術(OCR)でこの問題を解決しようと取り組んだが、良い結果が得られなかったそうだ。
一方、現在ではさまざまな機密情報が画像データの形で流通するようになりつつあり、スマートフォンなどの普及によって大量の写真イメージを簡単に生成して送信できるようにもなっていることから、問題はより一層深刻化している。
そこで同社ではAI/MLを活用した画像分析で機密情報を検知する技術の開発に取り組み、前述のパスポートや運転免許証の画像イメージだけでなく、PCのスクリーンショットや機密性の高いテーマに関する会議の際に使われたホワイトボードを撮影した画像なども対象として機密情報が含まれていないかどうかを検知できるようになったという。
同様の技術の応用で、ウェブサイトのページのイメージからフィッシング詐欺に使われているサイトを見分けることもできるという。そのほか、画像関連では機密情報を画像データの内部に埋め込み、人間が見ても分からないような形に変換して流出させる手法もあるが、こうした機密情報を含む画像データに関してもAIで検出することが可能だという。
現在特に注目を集める生成AIに関しても、生成AIに対する問い合わせの過程や学習データという形で機密情報が漏えいしてしまうリスクが懸念されているため、同社はデータ保護対策の一環として生成AIのリスクを踏まえた対策を行っている。同時に、ユーザーインターフェース(UI)として生成AIを活用し、自然言語による対話形式でシステムの操作やセキュリティ対策の実行などを行うことで多くのメリットが得られるため、こうした形での活用も進めているという。
別の形のAIの活用としては、ユーザー/エンティティーの行動分析(User and Entity Behavior Analytics:UEBA)も同社にとって重要な領域となっている。例えば、普段日本国内で働いているはずのユーザーがある日突然海外からアクセスしてきた場合にはアカウントの乗っ取りが疑われる、業務には直接関連しないはずの機密データの大量ダウンロードを始めた場合には内部犯罪の可能性も考える必要がある。こうした「いつもと違う怪しい振る舞い」を迅速に発見して手遅れになる前に対処するのはまさにAIの得意とするところで、Netskopeでもこの分野の取り組みは積極的に行われているとのことだ。
最後にNarayanaswamy氏は、現在Netskopeが最も重視するコア技術として「ゼロトラストポリシーエンジン」と「データ保護技術」を挙げた。ゼロトラストというコンセプトに基づいてクラウド/SaaSへのアクセスを保護するのは同社の創業時点からの一貫した取り組みであり、今後も継続的にこの分野の強化を続けるという。
同氏が言う「データ保護」には、一般にDLPが対応するような情報漏えい対策も強く意識されている点が特徴的だ。企業活動がクラウドベースにシフトした結果、大量のデータがクラウド上で作成され、保存されるようになっている。一般的なデータ保護対策と言うと、バックアップ/リストアなどのデータ喪失に対する備えと不正アクセスの防止対策が思い浮かぶが、同氏が挙げたデータ保護技術には、画像データの中に機密情報が含まれていないかを検知するなど、データの内容に踏み込んでトラフィックを制御する技術も含まれている。
現在繰り返し深刻な被害を生んでいるランサムウェア攻撃でも、暗号化による「データ破壊」に加え、現在では機密データを盗み出す「データ漏えい」が大きな被害を生んでいる。こうした状況を考えれば、NetskopeがAIなどのさまざまな先端技術を活用して効果的なデータ保護対策の確立に取り組んでいることは、ユーザー企業にとっても大きな意味のあることだといえそうだ。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.