政府情報システムにおけるクラウドサービスのセキュリティ評価制度であるISMAP(Information system Security Management and Assessment Program)について、2023年3月のクラウドサービスリストの更新で、弊社のSASE(Secure Access Service Edge)ソリューションであるPrisma Accessが追加されました。
ISMAPクラウドサービスリスト
https://www.ismap.go.jp/csm?id=cloud_service_list
SASEを提供するサービスのリスト入りは初となり、ISMAPクラウドサービスリストでは唯一のSASEソリューションとなります(2023年3月時点)。
ISMAPの管理基準ではガバナンス基準、マネジメント基準、管理策基準の3種類から構成され1200を超える評価項目があり、対象のサービスがセキュリティ基準を満たしているか第三者機関によって監査が行われます。
引用:政府情報システムのためのセキュリティ評価制度(ISMAP)について(内閣官房・総務省・経済産業省)
政府情報システムに関するクラウドサービスの調達は、ISMAPクラウドサービスリストに掲載されているクラウドサービスの中から選択することが原則とされていますが、民間企業においても政府情報システムレベルのセキュリティ基準を満たすクラウドサービスリストとして参照可能なものとなっています。
SASE(Secure Access Service Edge)とは?
SASEは2019年に米国の調査会社Gartner社によって提唱されたセキュリティフレームワークで、統合されたネットワークアクセスとセキュリティをクラウドサービスとして提供するものです。
従来のネットワークはデータセンターを中心としたアーキテクチャを採用していたものが多く、以下のような課題があります。
・Microsoft 365等のSaaSアプリケーションの普及や、パブリッククラウドの採用によるデータセンターのインターネット回線の逼迫に迅速に対応することが難しい
・働き方の変化によるリモートワークの増加によって、リモートアクセス装置の負荷上昇による遅延等の発生に迅速に対応することが難しい
SASEを採用し、データセンター中心ではなく、クラウドを中心としたアーキテクチャに変更することで、これらの課題を解決することが可能になります。
・インターネット回線の逼迫
→データセンター経由ではなく、拠点から直接クラウドに接続することで負荷を分散
拠点からのアクセスで、より帯域が必要となった場合にはライセンス追加等で対応
・リモートアクセス装置の負荷上昇
→クラウドサービスを使用したリモートアクセスとすることで、リモートアクセス接続数が増加した場合には処理ノードのオートスケールで対応
包括的なセキュリティを提供するSASEソリューション “Prisma Access”
Prisma Accessはクラウド上でPalo Alto Networksが提供するセキュリティを提供するサービスとして、2017年からサービス提供を行っています。
SASEの提供形態は大きく分けてネットワーク型とプロキシ型が存在しますが、Prisma Accessはそのどちらにも対応し、併用することが可能となっています。
ネットワーク型とプロキシ型の違い
| ネットワーク型 | プロキシ型 | |
| 制御(セキュリティチェック)可能なプロトコル | 全てのプロトコル | Web系のみ |
| サービスへの接続方法 | 拠点ルータからIPsec、リモート環境の場合はエージェントを使用してSSLまたはIPsec | 端末へのPACファイルの適用、拠点ルータからGREやIPsec |
| 拠点間通信の制御 | 対応可 | 対応不可 |
Prisma Accessをご採用頂くメリットは以下の通りです。
セキュリティ専業メーカーが提供するネットワークセキュリティ
Prisma Access上でトラフィックを処理するノードは、弊社のファイアウォールで動作するPAN-OSを使用しているため、様々なネットワークセキュリティを適用することが可能です。
現在のオンプレミスのネットワークでIPSやサンドボックス製品を運用されている場合、Prisma Accessを使用することでそれらを巻き取ることが可能となり、以下のメリットが発生します。
・管理/運用コストの削減
・管理コンソールの統合
・問い合わせ窓口の一本化
また、URLフィルタリングやアクセスログの取得を目的にプロキシサーバを導入している場合、Prisma Accessのネットワークセキュリティ機能で賄うことができるため、プロキシサーバ及びPACファイル運用の廃止をご検討頂くことも可能です。
各種ネットワークセキュリティそのものの有効性という観点でも、他社クラウドサービスと比較してPrisma Accessは第三者機関によって高い評価を得ています。
専有リソース提供による高い独立性
SASEを提供するクラウドサービスの中には、クラウド上のリソースを複数の契約者で共有する形でサービス提供を行っているものが存在します。
そういった形でのサービスの場合、ある契約者が大量にトラフィックを流した場合等に、他の契約者のサービス利用に影響を与える可能性が存在します。
Prisma Accessではご契約頂いたお客様向けに専有のリソースを提供する形でサービス提供を行っています。
他の契約者のトラフィックの影響を受けないことはもちろんですが、拠点または端末からのトラフィックがPrisma Accessを経由してインターネットに出る際のグローバルIPアドレスについても、ご契約頂いたお客様に専用のIPを提供する形となるため、SaaSアプリケーションのホワイトリストに該当のIPを登録頂けます。
Prisma AccessをWANとして使用することによる拠点間通信の制御
Prisma AccessはSASEをネットワーク型として提供することができるため、各拠点を結ぶWANのような形で使用することが可能です。
インターネット向けだけではなく、拠点間通信に対してもセキュリティチェックを行うことができるため、ネットワーク内部の脅威に対しても対処が可能です。
まとめ
今回のISMAPクラウドサービスリストの更新により、Prisma Accessは日本政府に認定されたSASEソリューションとなりました。
CASBやDEMなど、本ブログでは記載しきれていない可視性を向上させるアドオンも多数用意がございます。
SASEの導入をご検討される場合には、ぜひ弊社までご相談ください。