Sase

©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Innovation-Leading Company
SD-WAN+Security=SASE
entity based securityに関して
作成日；2020年07月03日
日商エレクトロニクス株式会社
セキュリティ事業本部
坂口武生,CISSP,CISA

1©NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
SASE（Secure Access Service Edge）とは
2019年にGartnerが提唱
The Future of Network Security Is in the Cloud,30 August 2019
SASEは、
WAN機能（SD-WANなど）と
ネットワークセキュリティ機能（SWG、CASB、FWaaS、ZTNAなど）を組み合わせたサービス
［ゼロトラストネットワークアクセス（ZTNA）はSASEの一部という捉え方］

SASE普及の背景
VPN問題/セキュリティとパフォーマンス
Zero Trustの普及
インターネット/ローカル・ブレイクアウト
識別・認証・認可の強化

Zero Trustの考え方に関して
社内
社内の
延長線
DC Cloud
インターネット
ネットワークセキュリティ
エンティティセキュリティ
ExpressRouteなどの
仮想プライベート
クラウド接続
Cloud
データの保存先、処理される場所はどこに存在するか？アクセス方法は安全か？
データへのアクセス・処理・保存が安全な場所・境界内で行われたが、境界が曖昧になり境界防御が限界
Office
エンティティ社外
VPN
専用線
閉域網
エンティティ
インターネット Cloud
Office
エンティティ

Zero Trustの考え方に関して
 データの保存先、処理される場所が社内から社外に分散・データがクラウド含めた分散傾向にある
アクセス方法も多様化（ユーザーや端末、アプリ・API）
 アクセスルートがExpressRouteなどの仮想プライベートクラウド接続/閉域網ではなく
インターネット経由
 社内ネットワークセキュリティからエンティティセキュリティ/エンドポイントにシフト
 （極論セッション毎に最小権限を都度、適切且つ正しく付与するため）
識別・認証・認可の徹底が求まられるためPKI含めたID基盤の重要性が増す
所謂、境界防御では駄目、社内は安全ではない、全てを信頼できないとかは本論ではない
例えば社内でNAC・検疫の仕組みがないのであれば、Zero Trustだからといって接続する
デバイスのセキュリティレベルをチェックして是正させるプロセスは不要であり、
またクラウドだからといってオンプレと対比してDLPの実装も不要、、、
※一方で攻撃は多様化、高度化されているためレベルアップは必要

「境界防御」から「エンティティ」セキュリティへ（資産データの分散）
 資産データへのアクセス方法・処理・保存が安全な場所である社内インフラ/境界内で従来行われたが、
境界が曖昧になり境界防御が限界となっている。組織のネットワークはモバイル、リモートワーキング、
クラウドサービスの利用により多くのサイトにまたがっているため物理的な接続に焦点を合わせるのではなく、
データが保存および処理される場所、または攻撃者がデータに干渉する機会がある場所について考える必要が
ある。エンティティ・・・ユーザが使うデバイス（PC,Tablet,Smartphone etc）
Home,Hotel etc
SaaS
Head Office
Cloud Proxy PaaS/IaaS
IDaaS
Branch Office
エンティティ
M365 etc
Azure etc
ERP etc
ローカル
ブレークアウト
エンティティ
Internet Or SD-WAN
Wi-Fi,4G/5G
Internet
境界防御/FW,IPS,Filter etc
CloudSecurity
CASB,CSPM
MFA/多要素認証
識別・認証・認可
ネットワーク
セキュリティ
Internet
Service

SASE Components
 SASEコアコンポーネント；
SD-WAN、SWG、CASB、ZTNA、FWaaS
 推奨される機能；
WebアプリケーションとAPIの保護、Web分離、DNS、
ネットワーク・サンドボックス、データ・コンテキストのためのAPIベースのSaaSへのアクセス、
管理されたデバイスと管理されていないデバイスのサポート
 オプション機能；
Wi-Fiホットスポット保護、ネットワーク難読化/分散、レガシーVPN、
エッジコンピューティング保護（オフライン/キャッシュ保護）

 コアコンポーネント；
SD-WAN、SWG、CASB、ZTNA（ゼロトラストネットワークアクセス）、FWaaS/EPP/EDR
People/Identity security（IAM）
Security visibility and analytics/振る舞い検知、SIEM
 推奨される機能；
WebアプリケーションとAPIの保護/Workload・Application security（CSPM）、Web分離、
DNS、ネットワーク・サンドボックス、
データ・コンテキストのためのAPIベースのSaaSへのアクセス/Data security（DLP）、
管理されたデバイスと管理されていないデバイスのサポート（MDM/態勢管理）
Security automation and orchestration/SOAR
 オプション機能；
Wi-Fiホットスポット保護、ネットワーク難読化/分散、レガシーVPN、
エッジコンピューティング保護（オフライン/キャッシュ保護）
コンポーネント・ロードマップ

SASE Vendors
 Akamai
 Cato Networks
 Cisco
 Cloudflare
 Forcepoint
 Fortinet
 McAfee
 Netskope
 Palo Alto Networks
 Proofpoint
 Symantec
 Versa
 VMware
 Zscaler

Hybrid Security PoC ラボ
SASE/Zero Trustの実験場を提供

ご参考；
最低限実装すべきサイバーセキュリティ施策とロードマップの指標
サイバーセキュリティ経営ガイドライン
実践状況の可視化ツールβ版
NISTサイバーセキュリティフレームワークに基づいた
NSA’S Top Ten Cybersecurity Mitigation Strategies
英国のナショナルサイバーセキュリティセンター
NCSC 10 steps to cyber security
1. リスク管理体制
2. ソフトウェア管理
3. 最新のハードウェアセキュリティ機能を活用する
4. アカウント管理と特権管理
5. システムと構成管理および復旧を計画する
6. ネットワークセキュリティー
7. 脅威評価サービスを統合する
8. インシデント管理
9. リムーバブルメディアコントロール
10.ユーザー教育と意識向上
 日本、米国、英国のサイバーセキュリティのレギュレーションからサイバーセキュリティの
ベストプラクティスをステップバイステップで実装するための１０のドメイン
日本
米国
英国

ご参考；
オフェンシブな診断メニュー
ペネトレ
• 攻撃者にどこを狙われるのか？
• 設定不備含めた対策として
不十分な部分を明確化
• マルウェアを踏んだ後、
CSIRT/SOC側のディフェンス
能力診断
• 最近はVPNリモートアクセスに
対するペネトレの需要が多い
アクティブフォレンジック
• フォレンジック可能な状態で
あるかどうかの診断
• 重要なサーバ、経営層の端末、
資産データに対して攻撃により
何をされたのか？侵入経路は？
そのターゲット以外の影響は？
をフォレンジックできる状態に
あるかどうかを診断
• ログ取得の不備、そもそもログ
が生成できない、トレーサビリ
ティの対応度合いなど

ご清聴いただきまして有難うございます。
cyber_security@nissho-ele.co.jpお問い合わせ

Sase

More Related Content

What's hot (20)

Similar to Sase (20)

More from Takeo Sakaguchi ,CISSP,CISA (20)

Sase