SASE/PrismaAccessはVPN型のサービスなのか？

　パロアルトネットワークス社では「ゼロトラスト」化をクラウドベースで行うソリューションとしてSASE/PrismaAccessを提供しています。PrismaAccessの基本的な利用/接続形態は大きくは以下の2通りです。

■データセンターや拠点のIPsec接続(固定接続）

　国際標準規格に基づいたIPsecトンネルにてセキュアに拠点とPrismaAccessを接続します。

　もしくはZTNAコネクターにて特定のアプリケーションサーバーとの接続する接続の利用が可能です。

■端末からのVPN接続（モバイルユーザ接続）

　端末にGlobalProtectのアプリケーションをインストールし、IPsecもしくはSSL-VPNにてPrismaAccessと接続します。
　もしくは明示的プロキシ(Explicit Proxy)機能にて、GlobalProtectを利用しないSWG方式でも利用もできます。

　PrismaAccessのインフラ内部は基本的に実績のあるPAN-OSが稼働しており、次世代ファイアウォールPAシリーズと同等なアプリケーション識別/制御、各種脅威防御(脆弱性防御/IPS、アンチウィルス、アンチスパイウェア、URLフィルタリング、DNSセキュリティ、WildFireサンドボックス）、CASB/SaaSセキュリティ、DLP（個人情報漏洩対策）などの機能を提供しています。また、ユーザ認証に基づくポリシーベースのアクセス制御も可能です。さらにPrismaAccessはインターネットアクセスと内部アクセスの両方に対して、上記の機能を同等に利用可能であり、すべてのIP通信に対しての「ゼロトラスト」を実現しています。

　一方、世間では「ゼロトラスト」を実現するために、SDP(Software Defined Perimeter)やIAP(Identity-Aware Proxy)などの新しい技術やソリューションが提唱されています。これらの新しい技術が出てくることは良い事ですが、これらの新しい技術を推奨している方々は「VPN」と比較し、「VPNはもう古い」という否定的に説明し、PrismaAccessもVPNベースなのでゼロトラストにはならないような情報を発信していますが、これは完全な誤解を生み、市場やユーザを混乱させてしまっており、検討すべき「本質」を見失わせてしまっているケースがあるようです。

　確かに単純な「VPN装置」の場合、VPN接続後は内部ネットワークへすべての通信を通してしまうため、内部への不正アクセスや攻撃、さらに本来アクセスすべきではないアプリケーションやサーバーへのアクセスができてしまうため、別途内部ネットワークでゼロトラストを実現するための装置やソリューションは必要です。
　しかし、PrismaAccessは、IPsecやSSL-VPNの「VPN技術」は接続技術としては使っていますが、PrismaAccessインフラ自身が「ゼロトラスト」を実現するための機能を提供しており、PrismaAccessを経由する通信に対しては「ゼロトラスト」を実現するための機能を提供できます。従いまして、PrismaAccessは確かにVPN接続で利用するクラウドサービスではありますが、十分にゼロトラストを実現することができるサービスです。また、GlobalProtectのアプリケーション自身が端末のネットワークアクセスに対する制御や自動的/強制的にVPN接続させたり、Windows Updateやアンチウィルスなどに対する検疫ができ、検疫条件違反の場合にはポップアップで端末利用者に警告メッセージを表示したりでき、端末自身もセキュアに保つためのHIP機能もあります。さらにAdd-OnのADEM機能を利用することで、アプリケーション利用品質の可視化ができ、もしモバイルユーザのアプリケーション利用品質に問題がある場合、その原因の特定のための各種メトリックも表示できます。ADEMについては、こちら→https://www.paloaltonetworks.jp/sase/adem

　逆に、エージェントを利用しないWebプロキシベースのソリューションでは、端末に対する制御ができず、またWeb通信以外の可視化や脅威検知および防御ができないため、「ゼロトラスト」の観点でセキュリティ面で十分であるとは言えません。また、インターネットアクセスに対するソリューションと内部アクセスのソリューションが分かれているソリューションも多くあり、導入やポリシー設計が煩雑になるケースや、内部アクセスに対するトラフィックの可視化や脅威防御ができないソリューションもありますので注意が必要です。

　最近のセキュリティ業界ではIT特有の3文字や4文字略語が蔓延し、また、「ゼロトラスト」という言葉が独り歩きししていまっています。そのため、十分に理解できないまま検討が本質的ではない内容になっていたり、様々な製品を組み合わせてゼロトラスト環境を構築することで、無駄な投資が含まれたり、また抜けが出てきたりするリスクもあります。さらに、多くの製品を導入すると、運用負担が大きくなり、実質運用できなくて、ゼロトラストとしてのメリットが少なくなってしまうケースもあると思います。

　「ゼロトラスト」化は、今後のITインフラの構築時の要件としては非常に重要であることは間違いありませんが、ゼロトラストは概念であり、何のためにどのような実装を行うべきかを理解して検討すべきです。複数の製品やソリューションを組み合わせた複雑なゼロトラストの場合、IT利用者に使い勝手が悪くなったり、運用者から見ても負担が増え、結果として「ゼロトラスト」化することで生産性が下がる要因になりかねません。

　PrismaAccessは機能面、性能面、利便性などにおいて非常にバランスが取れた優れたクラウドサービスです。

また、経済産業省のISMAP認定も取得済みですので、安心してご導入いただけるクラウドサービスです。

是非「ゼロトラスト」化を検討される場合には、PrismaAccessもご検討ください。