Netskope SASE Summit 2023 ~SASEってなんだっけ~
Preface
7月下旬、Netskopeのオフラインイベントに参加いたしました。(下記写真はCountry ManagerのJinさんと、SE Managerの小林様と、イベント後に撮っていただきました。)
私生活の都合でイベントからルポ公開までにかなりのラグがあり、鮮度が落ちてしまった点、申し訳なく存じます。
Robert Waltersの先輩で現在Netskopeでセールスとして活躍される麻美利さんの「Netskopeが変わった場所でイベントを実施されるよ!」というLinkedInポストを見かけ、ついついお邪魔してしまいました。
豊洲の映画館で開催されたイベントですが、到着するやいなや「伊藤さん!」とお声掛けいただいたと思ったら、いつもお世話になっているSales Managerの曽我部様でした。
まさかマネージャーの方がこんなところでお出迎えをされているとはゆめゆめ思わず、びっくりすると同時にNetskopeのフランクなカルチャーを改めて垣間見た気がします。
そして上映スクリーンに到着するや否や、最前列から「ア!ユリじゃん!」と声がし、見るとCountry ManagerのJinさん(以降 大黒様 と記す)がいらっしゃいました。400名以上が参加したイベントで、どうやってあの薄暗い中で私を認識できたのだろうか、、、といまだに不思議に感じております。
いちサプライヤーである私をこんなに温かく迎えてくださっているところからも、Netskopeのお客さんはとても大切にされているのだろうなという印象を抱きました。
本稿ではイベント内容を踏まえ、Netskopeがいかにいけてるベンダーであるかを①SASEってなんやっけ②NetskopeのValue Proposition③Netskopeユーザーの声という3点をみていきます。
このイベントに関してはいろんな方の先行記事がリリースおりますので、これらの記事とは異なるアプローチを取れるよう頑張ります。
先行記事
下記のプロが執筆されたSASE Summitに関する記事も併せてお目通しくださいませ。
⚫︎Netskopeエバンジェリスト 大元様による記事 (nパートシリーズ)
⚫︎Netskopeパートナー ネクストモード 里見様による記事 (4パートシリーズ)
⚫︎Netskopeユーザー ココナラ 川崎様による記事
イベントの様子概要
このイベントの大きな特徴として挙げられるのが会場の特異性です。「せっかくだし新しいこと挑戦しようぜ!」と映画館の最も大きいスクリーンの部屋を会場にする決意をしたと伺いました。
映画館という箱だけが特徴かと思いきや、入場チケットやポップコーンの配布があり、映画鑑賞前の高揚感を覚えておりました。
アジェンダは他の方々のレポートにもあるように、CEOからのビデオメッセージに始まり、Country Managerの大黒様、続いてSE Managerの小林様がご登壇された後、ユーザー企業のパネルがありました。
大黒様はセキュリティシーンを取り巻く大きな流れや、SASE導入の道のりの中で企業がつまづきやすいポイントなど、深い知見をお持ちのベンダーだからこそ語れる、導入検討者にとってとても有用な情報を共有されておりました。
小林様は「SASEの'A'」という興味深いタイトルの下、WAN Edge ServicesのうちのSD-WANを中心に取り上げられ、ZTNAと組み合わせる有効性などのお話をされておりました。(SASEというとどうしてもセキュリティ機能が注目されやすい中、面白いスポットライトの浴びせ方をされているなーと感じておりました。)
各講演の詳細は先行記事で詳しくカバーされておりますので、そちらをご参考になさってください。
本稿では、イベントで触れられていた内容やアイディアに増えながら、SASEってなんやったっけと思い出していきます。
①SASE(Secure Access Service Edge)ってなんなんやっけ
まずはSASEについてさらいます。バズワードフェーズを脱却しつつあり、今や多くの企業様で必須のセキュリティインフラと化しているSASEとはなんなのか、改めて振り返ってみましょう。
一文で表現するなら、SASEは「ユーザーにとってインターネットの入り口となるポイント」で動作する、社内ネットワークからインターネットへの安全な通信を実現するアーキテクチャそのもの・製品群を指します。Gartnerが編み出した造語です。
セキュリティ素人からすると、率直に申し上げて何がどう革新的なのかがよくわからないので、噛み砕きを試みます。
(有識者の皆様、伊藤が変なこと申していたらご指摘願います。もっとセキュリティ勉強したいよという同志、ぜひディスカッションしましょう!)
SASE台頭の歴史的背景 - 昔はこうだった篇 -
ITセキュリティは、長く 境界型セキュリティ / ペリメータセキュリティ / Castle-and-Moat (城郭) と呼ばれる、社内ネットワークをまるっと囲うようなアーキテクチャを採っておりました。
かつてのビジネスの営み方を考えると、①仕事そのものや、仕事の生産性向上のためにインターネットを活用していなかったためにトラフィック量がさほど多くなく、②リモートワークやWork from Anywhereを想定しておらず、出社を大前提にしておりました。
それゆえ数少ない社外からのアクセスはVPNを活用することで事足りた時代とも言えるでしょう。その頃は、物理的に存在する社内にあるオンプレにある資産(=データ)をファイアウォール / UTMなどの城壁のような塀で囲い、一度中に入ったら「安全」/ 外は「危険」と単純に区別するのみで差し支えありませんでした。
城壁の喩えでいくと、画像の橋がファイアウォール / UTMにあたり、VPNは「お城の中に入るために地下トンネルを掘る」感覚です。
SASE台頭の歴史的背景 - パラダイムシフトが起きたね篇 -
なぜペリメータセキュリティでは太刀打ちできなくなったのでしょう。背景には下記4点が挙げられます。
①インターネット上で仕事をする・仕事の生産性向上に役立てることが当たり前になった(前項①に呼応)
ご存知のようにITで企業のビジネス課題解決をすることが当然になりました。それだけインターネットが仕事の軸になっている証拠です。
その結果トラフィックが増え、Firewall / UTMに負荷がかかるようになりました。
②仕事をするために出社を要さない、ハイブリッドワークが浸透してきた (前②に呼応)
結果、社外から社内ネットワークへのアクセスが増えたことでいわゆるVPN渋滞が起き、
しかも社内データが物理的な社屋の外に持ち出される機会が増えました。
③クラウドシフトに伴い、社内資産がデータセンターだけでなく、クラウドに上げられるようになった
それゆえオンプレだけでなく、クラウドを守る必要があります。
④漏洩リスクのある社内データが昔より増えて、企業側にとってそれらの管理が難しくなった
とはいえ、それぞれのデータを守る手段を講じねばならなくなりました。
①②のようにビジネスを営むためにネットワークに必要とされるキャパシティが変化し、③④のようにデータの在処・量に関わる変化が起き、負荷に耐えられる安全なアーキテクチャが要されるようになりました。
(イベントでは大黒様は上記のような変容に伴い、攻撃者のつけ入る隙が増え、「リスクの表面積が広がった」とおっしゃっておりました。)
言い換えるなら、この時代に企業が安全な社内ネットワークを実現するには①②のようにネットワークへの負荷の問題、③④のように守る「リスクの表面積」が増えたという障壁・課題を考慮する必要があります。
このように、ビジネスにおいてインターネットが積極的に利活用され、社員・データの在処が可変になった今、ネットワークとセキュリティは併せて考えていくべきものであることが自明でしょう。
SASEは、ネットワーク+セキュリティ、つまり安全な接続をワンプラットフォームで提供する代物です。私はいつもSASEを「ネットワークセキュリティの最新鋭の姿」と形容するようにしております。
ついでにSASEという略称に触れますと、最初のSはSecure、つまり安全性、AはAccess、つまり接続を指すものです。
SASEのE、EdgeはNetwork Edgeに由来します。簡潔に申しますと社内ネットワークの端、冒頭で申し上げた通り「ユーザー・企業にとってインターネットの入り口となるポイント」を指します。
なるほど略称からもSASEは「ギリギリで守ってくれて、安全な接続を支えるソリューション」であることがわかりました。
SASEとは
冒頭SASEは製品群の総称であると申し上げましたが、どんな製品があるのか理解を進めていきましょう。
SASEはGartnerの造語なので、下図でGartnerの定義を見ます。
まず大別すると、ネットワーク機能(WAN-Edge)とセキュリティ機能(SSE/Secure Service Edge)の2つに分けられます。
なおTiktokでの情報収集に目が慣れている方も増えてきたかと存じますので、同内容別フォーマットでご共有しておきます(素人な私は、こちらの方がスッと頭に入ってくるで派です):
SASEというと上記のうちSSE側の製品や、それらを得意とされるベンダーを浮かべられる方が多い印象がありますが、双方ともにSASE実現に必要不可欠な要素です。
SSEの中にはインターネットへの安全な接続を下支えするSWG、VPNに取って代わるZTNA (= SDP / Software Defined Perimeter)などのカッティングエッジでいけてるソリューションがありますが、紙幅(と私のキャパ)の都合上、本稿ではクラウドへの安全な接続を実現するCASB (Cloud Access Secure Broker)にフォーカスして取り上げたいと思います。
Single-Vendor SASEという概念
CASBの話題に入る前に、もう1点, 俯瞰的トピックに言及します。
今年8月、GartnerがSingle-Vendor SASEのMagic Quadrantをはじめて(!)発表しました。
このMQはSASEをワンストップで提供できるベンダーにフォーカスしたものですが、驚くことに、SSEで最も右端に位置し、かつWAN Edge側を補完する形でInfiotを買収することでSASEを完全ワンストップで提供できるようになったはずのNetskopeの名前が見当たりません。真相を解明します。
右:Service Edge (Netskopeが最も右上)
NetskopeがこのMQに掲載されていない理由に言及している記事 を見つけました。
どうやら2023年4月12日時点で、Single-vendor SASEの全製品ライナップの提供準備ができていなかったことに起因しているようです。
いずれにせよ、このSingle-Vendor SASEのMagic Quadrantに名を連ねるのは時間の問題のようです。あーよかった。
よくみるとここに掲載されているベンダーはかなり歴が長く、これまでネットワーク寄りのアプライアンスなど得意領域にしてきたベンダーがほとんどのようです。
併せてそもそもなお話をいたしますと、SASEを1つのベンダーから供給する「シングルベンダーSASE」の考え方は、「マルチベンダーSASEだと各ソリューションにたまに機能重複があって、コストがもったいないから」という課題が浮き彫りになったがために提唱されています。
確かにNetskopeからCASB、ZscalerからSWG、PANWからZTNAなどとマルチベンダーの調達をすると、類似したカテゴリの製品ゆえに、機能にオーバーラップがあり無駄が生じる点は鋭い指摘だなと感じます。
また、Gartnerは、どうやらシングルベンダーSASEが今後主流になると予見しているようです。その流れを先読み?形成?し、今回のSingle Vendor SASE MQを発表をされたような感じがします。
ちなみにSingle-Vendor SASEのMQができる以前よりセキュリティ機能はSSEのMQにまとめられておりますが、もう少し遡るとSWG, CASB, SD-WANなどポイントソリューションごとに発表されておりました。SASE関連のMQの統合が進められていることが看取できます。
参考資料:
CASBとは
まずCASBがどんな風に機能しているかをざっくりと捉えていきます。
CASBの解説記事の大半は用途と実装方式の2点に触れます。本稿も例に違わず、その2点をアプローチしていきます。
なぜ本稿でCASBにフォーカスをするかと申しますと、Netskopeの最初にローンチしたソリューションだからです。この際なのでCASBへの理解をできる限り深める所存です。
参考資料: Netskope CASBローンチ当初のTC記事
(一応歴史の勉強をしてきたので、史料に触れている感覚がしてワクワクしました)
私はプロ野球が好きなのでCASBを野球観戦に喩えると、甲子園球場の警備員さんです。この喩えでは「甲子園球場」は「企業が契約し利用しているクラウドサービスの1つ」にあたります。
甲子園球場の警備員さんは、球場の内外で人の往来を管理します。基本的にチケットの有無や缶ビン類の持ち込みがあるかなどをチェックし、出入り禁止の方々にお引き取りをお願いします。そしてVIPをVIP施設に案内します。
CASBも同様に、企業の設定したポリシーに準拠して、クラウドサービスへのアクセス可否を管理したり、往来するデータをチェックしたり、クラウド上にある機密情報へのアクセスを許可するなどといった、文字通りあらゆるクラウドサービスへのアクセスに対するブローカー機能を担っております。
この喩えは下記次々項でもう少し触れていきます。
次に用途別にCASBの機能を細かく見ていきましょう。
CASBの用途
CASBの活用方法は大きく分けて4つあります:
①可視化
自社端末がどんなクラウドサービスへアクセスしているかをモニタリングできます。イベントでもThe CASBと言われていた、古典的なCASBの活用方法です。
可視化することで、
社員や部門がIT部門を通さないで勝手に使っている、いわゆるシャドーITのクラウドサービスを監視し、怪しいSaaSアプリなどの脆弱性を洗い出すのに役立てられます。
クラウドサービスへのファイルのアップロード/そこからのファイルのダウンロード、そしてアクセス状況といった組織のクラウド利用が把握できます。
例えば私が、会社で許可をされていないのにナイショで翻訳ツールのDeepLを個人契約し業務で使っていたら、CASBによる可視化にてその旨がバレます。その上、CASBがあればシャドーITであるDeepLへのアクセスを遮断することもできます。
なるほど会社の社内資産であるデータが、どのようなSaaSアプリに流れていってるのかを把握できるということですね。
②データ漏洩対策 (DLP)
クラウドサービスに上げられた機密情報を特定・発見し、データ漏洩を防止できます。
また、日頃のユーザー行動パターンから、本来ならばそのデータに用もないはずなのにアクセスしようとするような怪しいユーザーを検出できます。
クラウドサービス上のデータに、その種類・重要度ごとにアクセス制限をかけることも可能です。
例えば、転職を決められたセールスの方、次の職場で使う目的で日曜日の昼間にSalesforceにアクセスしデータを盗むような「悪意あるユーザー」などの内部脅威への対策に役立てられます。
③コンプライアンス
CASBの管理者が設定したポリシーに基づいて、クラウドサービス上のデータにアクセスできるユーザーを制限し、そこから別の場所にデータを移すことを禁止できます。
設定するポリシーを、例えばGDPRやその業界のレギュレーションに準拠したものにすることで、しかるべきコンプライアンスを遵守することができます。
また、CASB導入以前に機密データがクラウドにアップロードされている状態を見つけ出すこともできますので、徹底したコンプラ対策が可能です。
GDPR的な例を挙げるなら、リクルーター伊藤が個人のDropboxに弊社ソフトソースのサービスを利用してくださっている方のCVをアップロードすることを防ぐこともできます。
(もちろんGDPRに限らず、必要に応じてポリシーを設定できます。)
④脅威対策 (Threat Protection)
許可していない端末・ユーザーによるクラウドへのアクセスをブロックすることで、脅威をはじくことができます。旧来のペリメータセキュリティ同様の作用ですが、「境界で囲う範囲が狭くなった」ような感覚ですね。
また、クラウドサービスに潜むマルウェア・ランサムウェアの検知・隔離機能も備わってます。
CASBの実装方式
上記に触れたユースケース用途によって、CASBの実装方式が異なります。
なんや細かい話やなと思われるかもしれませんが、イベントでもCASBの実装方式について「インラインとAPIで守る」ことの重要性を繰り返し説かれておりました。CASBを捉えるにあったって抑えておきたいポイントです。
引き続き「CASB=甲子園球場の警備員さん」「甲子園球場=契約しているクラウドサービス」のたとえを交えつつ取り上げていきます。
インライン型
自社端末からクラウドサービスに接続するまでの通信経路内に配置する方式です。
自社端末から、あらゆるクラウドサービス宛の通信を全てチェックするできるため、シャドーIT検出・制御に役立ちます。間に立っているため、怪しいクラウドサービスに何か機密データなどアップロードする前に遮断できるということです。
甲子園球場のたとえで申しますと、インライン型のCASBは、入り口に配置されている、チケット・缶ビン類の持ち込みの確認・出入り禁止の方のお引き取りを願う警備員さんと、駅から球場までの通り道に配置され、誘導・治安維持をする警備員さんが、にあたります。(もしや喩えに無理がある…?)
API型
自社で契約しているクラウドサービスにAPI連携し、API経由で利用状況を取得する実装方式です。
企業が契約しているクラウドサービスの状況を詳細に把握できるため、クラウドにアップロードしたのものを監視するのに用います。シャドーITではないクラウドサービスの利用状況や、そこに上げられたデータの管理に有効です。
甲子園球場のたとえで申しますと、API型のCASBは、球場内でチケットを確認する警備員さんや、巡回するように配置されている警備員さんが、にあたります。
インラインとAPIのどちらかが秀でているというわけではありません。
甲子園球場の警備員さんは外にも中にも必要であるのと同様、インラインとAPIを組み合わせて使うことでCASBのバリューを最大限に享受できるようです。
参考資料
Tiktok風の説明 (ここではCASBがクラブのバウンサーに喩えられております)
記事
インラインとAPIユースケース
②Netskopeはどんな会社なのか
「SASEベンダー」は覇権争い真っ最中ですが、その中でNetskopeは他のベンダーとどう差別化なされているのでしょうか。
日本でビジネスを展開し始めてしばらく経っているので、皆様もオピニオンがあるかもしれません。今回は私の考察をここに展開します。
なおBlackpandaやSwimlaneの記事でも申し上げましたとおり、Netskopeの回し者でもテクノロジーセールスでもなくリクルーターなので、例えばNetskopeのCloud Confidence Indexなどといった細かい製品・サービス特徴は取り上げません。
Data-centric アプローチ
SASEベンダーの中でも、「データを守る」ことへの意識が強い印象があります。
イベント冒頭で放映されたニューヨーク証券取引所とのインタビューで、CEOのSanjay Beriは、Netskopeの競合と比べた時の優位性について ’we converge security and networking, and we protect the most valuable asset of a company, which is your data’ と「データを守ること」を強調して話されておりました。
まさに社内ネットワークとクラウド間におけるデータの流れに着目したセキュリティであるCASBを軸に発展を遂げてきたNetskopeの姿勢は一貫しているなーと感じました。
コンテキストを重んじるセキュリティ
上項を内包する内容ですが、「ユーザーがデータにアクセスする文脈」を重んじている企業だと感じます。
実際イベントにて大黒様はNetskopeを「人・デバイス・データがどこにいても、安全で最適化されたアクセスを提供する会社」であると表現されていました。
後半箇所はまさにSASEが実現する「安全かつ最も効率の良い・快適な接続」を連想させますが、注目したいのは前半箇所「人・デバイス・データ」の箇所です。
イベントでも「ポリシー判断にはフルコンテキストが必要である」ことを強調されておりました。
つまり、アクセスひとつをとっても、アクセスするユーザー・ロケーション・デバイス・時間帯・アクセス先のアプリなどの全ての要素から脈略を整理し、誤解なくその事象を捉えるべきだ、という意識です。
Field CTOのSteve Rileyが「Netskopeの考えるゼロトラストの定義」について話される動画で、ゼロトラストとはコンテキストが大切だという旨を踏まえ、どんな場面でもアクセスごとに 断続的に「これは信頼できるものなのか?」と考え続けること(Continuous Adaptive Trustの意訳)が大切であると話されております。
余談ですが、前職ではグローバルが導入していたコンテキストを鑑みないwebフィルタリングソリューションを導入しており、女性用下着メーカーをクライアントに抱える同僚が企業研究しようとHPにアクセスしたら「不適切である」とブロックされておりました。エンドユーザー視点の感想に留まりますが、コンテキストを踏まえてくれるセキュリティ環境はありがたい限りです。
SASEマーケットにおける位置付け
大枠を見た時、ネットワーク・セキュリティ領域の製品を持つ会社が「SASEベンダー」と名乗るようになる流れは大きく2つあります:
①SASE製品群のうちのいずれかに強みがあるポイントソリューションベンダーが、買収・開発により他のSASEソリューションの手札を揃えていったベンダー
例: Netskope, Cato Networks, Lookout, Cloudflare, Zscaler, etc.
②旧来のネットワークセキュリティベンダーが時代の変容に合わせて製品ライナップを補強する形で、買収・開発を経てSASEの製品展開ができるようになったベンダー
例: Palo Alto Networks, Fortinet, Cisco, Juniper Networks, etc.
Netskopeは①の中でも、元来CASBに強みがあるベンダーです。
同様にCASBに強みを持っていたベンダーでぱっと思いつくものではMcAfeeに買収され、Skyhigh SecurityとしてスピンアウトしたSkyhigh Networksが挙げられますが、Netskopeと同様にCASBという製品カテゴリとともに成長し、発展を遂げてきた独立ベンダーは、管見の限り他にありません。
日本での状況
Netskopeは2016年に日本でのビジネスを開始されましたが、日本法人の成長はかなり「着実」である印象を受けます。
現在日本の在籍人数が40名を超えようとしているところで、スタートアップフェーズから次のステージへ移りつつある会社です。しかし求職者の方にNetskopeの話をすると、思いの外小さい組織であることに驚かれる方も少なくありません。
それだけマーケットで名前が知れ渡っており、皆様の中で大きな存在のベンダーであるのだなーと感じております。
(蛇足かつ超絶主観的ベンチマークですが、外資系ITベンダーは日本法人在籍者~20名で「スタートアップ」、~60とか80名で「中堅どころ」、100名を超えると「かなり大きくなったなー」と感じるものです。)
少し前までのシリコンバレーでは「成長」「グローバル進出」などのキーワードを撒き餌に資金調達することが比較的容易で、その波に乗って日本でも毎月5-10人ぐらいnew hireを迎えているベンダーがありました。
Netskopeの日本法人はそのようなアグレッシブな採用がスタンダードだった頃もあえて無理に規模拡大をしない、地に足をつけたオーガニックな成長をしている点は、リクルーター視点で見た時「従業員を大切にされているなー」と感じる次第です。
③Netskopeユーザー SASE導入の文脈
さて、今回のイベントではユーザー企業がご登壇され、Netskope導入までのストーリーをシェアして下さるコーナーがありました。伊藤の感想を述べていきます。
SASEを検討するきっかけとして「VPN渋滞などの課題からVPNに代わるリモートワーク対策」と教科書通りの内容への言及もありましたが、「上場対策としてのセキュリティ強化の一環で、内部脅威対策をしたいと考えていた」「中期経営計画にセキュリティ強化が盛り込まれているから」などとリクルーターでは到底思いつかない、会社のフェーズを鑑みた検討動機についてのお話は、私にとって非常に学びでした。
セキュリティベンダーのセールスにビジョンセリングのマインドが要される旨が垣間見えました。
またカッティングエッジなセキュリティ製品導入の利点としては下記のような点が挙げられておりました:
・データ漏洩で会社のイメージを下げないように対策ができる点
・ギークなエンジニアのリテンンション
・(ITビジネスをする会社では)最新鋭のテクノロジーを実際に使うことで、その良さを肌で理解できる
特に2点目について、セキュリティ対策が不適切だと離職につながりうる点には思いもよらなかったです。
ソフトウェアエンジニアがセキュリティを気にすることなく快適に開発できる環境を用意できなければ離職リスクにも繋がりうるというのは盲点でした。
セキュリティをアップグレードする理由はたくさんあるのだなあと感じました。
パネルの内容をより詳しく知りたい方は、冒頭で共有いたしました先行記事をぜひご覧ください。
Epilogue
今回のNetskope SASE Summitはミーハー心で参加したものですが、オーディエンスの入りから巷でNetskopeがいかに巷の関心を引き寄せているのか、そしてユーザーパネル対談からNetskopeがユーザーからいかに愛されているのかを肌で感じることができました。あらゆる角度から見ても、いけてるベンダーです。
SASEはセキュリティの文脈で語られることが多いですが、ネットワークの知見を深めてはじめて深い理解が及ぶのだろうなと痛感しました。
(今年に入ってから「もっとネットワークの勉強します!」とあらゆるところで宣言しており、某セキュリティエバンジェリストの方からいろんな書籍をおすすめいただいたものの、とっかかりづらいのが現状です。。。頑張ります。。。)
今回はSASEのソリューションを細かくみていく余裕がなかったので、そのあたりのソリューションや、Netskopeがポートフォリオにお持ちのCSPM・SSPMといったクラウドセキュリティの製品については他日を期します。
この記事が気に入ったらサポートをしてみませんか?