WEBINAR 事務局
2023年9月27日7 分
こんにちは、IIJA Webinar 事務局です。
2023年7月20日に開催したIIJAウェビナー『ネットワークとセキュリティの課題を一挙に解決するCato SASE Cloud:5つの活用例と情報漏えい対策』の講演から、Cato SASE Cloudの5つの活用例をキャッチアップしました。
SASEやCato SASE Cloudに興味はあるけれど、自社の課題を解決できるソリューションだろうか? SASEをすでに導入している企業は何に困ってSASEを選択したの? という疑問にお答えします!
こんなご相談をいただきます。
「オフィスでは、高機能なファイアウォールを置いてセキュリティを確保しているものの、ワークフロムホームのユーザや出張者はセキュリティ面が心配です。」
オフィスの外にいると、オフィスに具備されている色々なセキュリティ機能が効かない状態になります。(ワークフロムホームのユーザや出張者用に別のセキュリティ設備を用意していない場合)
Cato SASE Cloudは、クラウド側にセキュリティ機能があるので、Cato SASE Cloudにつながっていれば、オフィスにいてもオフィスの外にいても同じセキュリティ機能が使えます!
一方で、ワークフロムホームのユーザや出張者がオフィスの外からCato SASE Cloudへ接続を忘れたり、めんどうくさがったりしてそもそも「接続」をしないということが考えられます。
そんな状況においては、Cato SASE Cloudの「Always On (いつもつなぐ)」という機能で、強制的にVPN接続をさせることができます。ユーザがPCを起ち上げた瞬間から、Cato SASE CloudへVPNで接続された状態になり、いちいち、ユーザが接続操作をする必要がありません。さらに、社内リソースに対するアクセスだけでなく、インターネットにアクセスする場合でもCato SASE Cloudのセキュリティ機能を確実に使わせることができます。
Cato SASE Cloudは、確実にセキュリティをかけたいというニーズに対して、セキュリティを強制しつつ、ユーザの使いやすさを損なわないアプローチが可能です。
こんなご相談をいただきます。
「業務時間中に、業務に関係のないウェブサイトを見たり、フィッシング詐欺に気づかずに悪意のあるウェブサイトに行ってしまうユーザがいます。」
業務に集中してほしい、ということはもちろん、気づかないうちに悪意のあるウェブサイトを開いてしまい、ウイルスやランサムウエアに感染してしまう、ということは避けたい事象です。
Cato SASE Cloudにはウェブフィルタという機能があります。ウェブフィルタはセキュアウェブゲートウェイの機能のひとつで、ユーザがアクセスするウェブサイトのなかで、条件によってアクセスさせないようします。
ウェブフィルタはアドミン担当者(IT担当者)の設定が面倒ではないか?と、不安に思われるかもしれませんが、アクセスさせる・させないをあらかじめ決められた「カテゴリ」を選ぶだけで設定できます。このカテゴリに含まれるウェブサイトはクラウドで常に更新されているため古くなることはありません。
また、たとえばお酒を扱う会社では、一般的にはアクセスをブロックしたい「アルコール関連」に分類されるウェブサイトへ、業務上アクセスする必要があるかもしれません。
そんな時は、お酒を扱うマーケティングや営業部門ではアルコール関連のコンテンツを見せるようにし、HRなどの部署ではアルコール関連のコンテンツを見せないように、ユーザや部署単位で特定のカテゴリのアクセス許可ができるようになっています。
ウェブ閲覧の保護は、Cato SASE Cloudのウェブフィルタ機能で、カテゴリによるフィルタを、ユーザのニーズに合わせて細やかに適用することができ、業務に支障のない運用が可能です。
こんなご相談をいただきます。
「Microsoft 365のメールアカウントが乗っ取られて、メールの盗み見などされてしまいました。よい対策はありますか?」
Microsoft 365へのアクセスを「特定のIPからのアクセスのみ許可する」ことで、メールのアカウント情報を (不正に) 得た第3者が、まったく別のネットワークからアクセスした場合に、アクセスを許さないことができます。
このIP制限は、Cato SASE CloudのIPを予約することで、実現します。
Microsoft 365へのアクセス時のソースIPアドレス指定は、オフィスに設置されたファイアウォールへリモートVPN接続してから、Microsoft 365へアクセスさせる、という構成でも実現できます。
しかし、この方法では、Microsoft 365へのアクセススピードが遅くなってしまいます。Cato SASE Cloudなら、指定したPoPからMicrosoft 365へアクセスしに行くので、アクセススピードを保てます。さらにPoPを冗長化することもできます。
このMicrofost 365へのアクセス時のIPアドレス制限は、多くのお客様に利用されています。設定が簡単に行えて、オフィスユーザ・リモートユーザの両方で同じように利用できる点が評価されています。
Cato SASE CloudではMicrosoft 365だけでなく、他のさまざまなサービスに対してもソースIPアドレスでの制限が可能です。
こんなご相談をいただきます。
「日本に出張した社員に、常にVPNをつないで仕事するように指示したら、インターネットが遅くて使い物にならないと言われてしまいました。なにかよい対策はありますか?」
常にVPNをつなぐ場合は、出張先の日本からアメリカにアクセスして、そこからインターネットへアクセスするため、通信はどうしても遅くなってしまいます。Cato SASE Cloudなら、オフィスの所在するアメリカではなく、出張先の最寄りの(Cato SASE Cloud) PoPから入り、最寄りのPOPからインターネットへ直接出ていきます。そのため、アクセススピードが速い! これをローカルPOPブレークアウトと呼んでいます。
Microsoft 365へのアクセスを特定のIPアドレスに制限する (指定したPOPの固定IPアドレスから通信するようにする) 機能を上記で紹介していますが、ルールを作っておいて (たとえばM365のみなど) 特定通信だけを固定IPアクセス経由に設定することができます。
北米でCato SASE Cloudを契約していても、日本に出張したユーザは日本のPoPを使うことができます。インターネット・クラウドの快適な利用は、Cato SASE Cloudの最寄りのPOPに自動でアクセスする機能やローカルPOPブレークアウトによって実現可能です。
こんなご相談をいただきます。
「外部ベンダーにVPNのIDを付与したのですが、社内のファイルサーバにはアクセスさせたくないんです。決まったWebアプリだけ使わせることはできますか?」
Cato SASE Cloudでは、ユーザごとにファイアウォールのポリシーを設定することができるので、この設定でアクセス先を指定することができます。または、ユーザをグループ分けして、そのグループに対してポリシーを割り当てて指定することもできます。
外部ベンダー等へアカウントを発行する際には、メールアドレスを使った「招待制」で、招待後はセルフサービスで準備を完了することができます。
さらに、Cato SASE Cloudへの接続には「多要素認証」機能を使うことができます。Cato SASE Cloudが自前で多要素認証機能を提供しており、簡単にMFA(多要素認証)を実現します。
外部ベンダーが自社のPCを使っている場合、そのエンドポイントのセキュリティ対策が心配、という声もあがりそうですが、Cato SASE Cloudのデバイスポスチャー機能で、接続PCにアンチウィルスが稼働していることを確認してからアクセスを許可できます。
外部ユーザへの安全なアクセス許可は、Catoの細かなアクセス制御や、簡単に使える多要素認証、デバイスポスチャー機能で実現することができます。