Gartnerは、2023年の「Gartner® Magic Quadrant™ for Security Service Edge(SSE)」」レポートにおいて、Cloudflareの実行力とビジョンの完全性を評価しました。当社のCloudflare Oneプラットフォームの一部であるCloudflare Zero Trustソリューションが、このレポートで認められたわずか10社のベンダーのうちの1つであるとお伝えできることを大変嬉しく思っています。
今年の「Gartner® Magic Quadrant™」レポートで選ばれた10社のうち、Cloudflareは唯一新規に加えられたベンダーでした。本レポートにおける当社の位置づけや、Cloudflare Oneを利用したお客様の声については、こちらをご覧ください。
また、SSE領域における最初の製品の発売日から見ても、Cloudflareは最も新しいベンダーとなります。クラス最高のZero Trustアクセス制御製品であるCloudflare Accessを発売してから5年弱が経過しました。それ以来、何百もの機能をリリースし、さらに十数種類の製品を出荷して、包括的なSSEソリューションを構築してきました。1万以上の組織が、組織のデータ、デバイス、チームを安全かつ高速に保つために、このソリューションを信頼しています。私たちがこれほど迅速に対応できたのは、今日すでにインターネットの大部分を保護し、高速化している同じネットワークの上にCloudflare Oneを構築したためです。
当社のSSEサービスは、世界最大のいくつかのインターネットプロパティにサービスを提供するのと同じサーバー、同じ拠点で提供されています。世界最速のDNSリゾルバー、Cloudflareのサーバーレスコンピューティングプラットフォーム、世界中のトラフィックをルーティングして高速化する機能など、既存の利点を組み合わせました。このようなレポートでは当社は目新しいかもしれません。しかしCloudflare Oneを選択したお客様は、新興プロバイダーに賭けているわけではなく、すでに何百万もの送信先と何十億人ものユーザーを保護しているネットワークによって実現した、業界最先端のソリューションを選択しているのです。
今週、Gartnerから評価されたことを光栄に思うとともに、今日私たちが可能にしたお客様の成果を大変嬉しく思っています。とはいえ、私たちはこれで終わりではなく、さらに速く前進するのみです。
セキュリティサービスエッジとは?
セキュリティサービスエッジ(SSE)「Web、クラウドサービス、プライベートアプリケーションへのアクセスを保護するものです。機能としては、アクセス制御、脅威からの保護、データセキュリティ、セキュリティ監視、ネットワークベースおよび API ベースの統合による使用許可制御があります。SSEは主にクラウドベースのサービスとして提供されますが、オンプレミスやエージェントベースのコンポーネントを含む場合もあります。」1
SSE領域は、新たなタイプのセキュリティ問題に直面した組織に対応するために開発されました。数年前まで、チームは自分たちのデバイスやサービス、データの安全を確保するために、「城と堀」のようなものを作って世界から身を隠していました。企業の境界防衛は、文字通りオフィスの壁に相当していました。アプリケーションは、サーバークローゼットや自己管理型のデータセンターで動作していました。企業は、ファイアウォール、プロキシ、フィルタリングアプライアンスをオンプレミスのハードウェアの形式で導入することができました。リモートユーザーは、従来の仮想プライベートネットワーク(VPN)クライアントで物理的なオフィスを経由してトラフィックをバックホールすることで、セットアップには苦労していました。
そのモデルが崩れ始めたのは、アプリケーションがオフィスを離れ始めた頃です。チームは、SaaSツールやパブリッククラウドプロバイダーへの移行を開始しました。もはや、インターネットにつながる一つの経路の流れに、物理的なアプライアンスを置いてセキュリティを制御することはできなくなりました。
一方、ユーザーもオフィスを離れ、自己管理型のプライベートネットワークでは、トラフィックに対応するための拡張性にストレスを感じるようになりました。パフォーマンスと可用性は低下し、コストは増加しました。これは、組織がより多くのトラフィックを転送し、時間を稼ぐためにより多くの応急処置を施したからです。
悪意のあるアクターも進化しました。攻撃はより巧妙になり、古典的なセキュリティ境界線からの移行を悪用するようになりました。レガシーアプライアンスを導入しても、攻撃パターンや攻撃規模の変化には対応しきれませんでした。
SSEベンダーは、そのような課題を解決するためのクラウドベースのソリューションを組織に提供します。SSEプロバイダーは、自社の接続拠点やパブリッククラウドプロバイダーにセキュリティサービスを導入・維持することで、企業がインターネットや社内ツールに接続する前に安全なファーストホップを提供します。ITチームは、何日もかけてメンテナンスしていた物理アプライアンスや仮想アプライアンスを廃止することができます。セキュリティチームは、常に更新されるフィルタリングとポリシーから恩恵を受け、新たな脅威を防御することができます。
SSEの一部の機能では、Zero Trustアクセス制御ルールでユーザーを社内ツールに接続する機能をお客様に提供することで、リモートアクセスの代替を狙います。SSEプラットフォームの他の部分は、Zero Trustの精査を他のインターネットに適用し、企業のオンプレミスのフィルタリングアプライアンスをクラウドベースのファイアウォール、リゾルバー、プロキシに置き換えることに重点を置いています。これは、一元化されたロケーションにバックホールを強制するのではなく、ユーザーに近いデバイスから送信されるトラフィックをフィルターしログに記録します。
SASEについては?
Secure Access Service Edge(SASE)という言葉もご存じかもしれません。私たちはお客様から、「SSE」だけよりも「SASE」の目標についてお話を聞く機会が頻繁にあります。SASEは、SSEの定義を拡張し、保護されるトラフィックの接続性を管理することを含みます。サービスとしてのネットワークのベンダーは、企業がユーザー、デバイス、サイト、サービスを接続することを支援します。SSEプロバイダーが、そのトラフィックを保護しています。
ほとんどのベンダーが、このどちらか一方に焦点を当てています。サービスとしてのネットワーク企業は、ソフトウェア定義広域ネットワーク(SD-WAN)、相互接続、トラフィック最適化ソリューションを販売し、企業の接続性の管理と高速化を支援しています。しかしこれらの企業は、フィルタリングのためにSSEプロバイダーにすべてのトラフィックを送信することによって、その利点を失うことになります。SSEプロバイダーは、ほぼすべての種類のトラフィックに対してセキュリティツールを提供しますが、トラフィックを自分の拠点まで運ぶために、顧客に追加のネットワークサービスを購入してもらう必要があります。
Cloudflare Oneは、シングルベンダーのSASEプラットフォームです。Cloudflareは企業に、包括的なサービスとしてのネットワークを提供し、そこでチームはすべてのトラフィックをCloudflareのネットワークに送ることができ、我々は接続の管理とパフォーマンスの向上を支援します。企業は、既存のハードウェアルーター、ノートパソコンやモバイル端末上で動作するエージェント、物理的および仮想的な相互接続、またはCloudflareの 独自のラストマイルコネクターなど、柔軟なオンランプから選択することができます。
そのトラフィックがCloudflareのネットワークに到達すると、当社のSSEサービスは、接続を管理しルーティングするのと同じ場所でセキュリティフィルタリングを適用します。CloudflareのSSEソリューションは、ホップを追加することなく、高速化したトラフィックに併せてフィルタリングとロギングをお客様に提供します。シングルベンダーのSASEソリューションの価値は、10年以上前にリバースプロキシーを初めて発売して以来、我々が抱いてきた、「セキュリティのためにパフォーマンスを犠牲にする必要はない」、「その逆もまた然り」というこだわりの結果なのです。
では、Cloudflare Oneはどこに適応するのでしょうか。
Cloudflare Oneは、パフォーマンスを犠牲にすることなく、デバイス、アプリケーション、データを保護しながら、企業が必要とするツールに接続します。このプラットフォームは2つの主要コンポーネントで構成されています。SSEを代表するCloudflare Zero Trust製品と、サービスとしてのネットワークソリューションです。本日の発表では、これらの機能を分けて説明しましたが、私たちはこれらの機能がどのように連携しているか説明したいと考えています。
Cloudflareが提供するサービスとしてのネットワークであるMagic WANソリューションは、お客様自身のものとして使用できるように当社のネットワークを拡張するものです。企業は、世界で最も接続性が良く、最もパフォーマンスが高く、最も利用しやすいネットワークを構築するために当社が10年以上にわたって行ってきた投資を活用することができます。チームは、個々のローミングデバイス、オフィスや物理的なサイト、またはネットワークやデータセンター全体を、Cloudflareを通じて他のインターネットや内部の送信先に接続することができます。
私たちは、お客様のトラフィック送信をできるだけ簡単にしたいと考えており、お客様の既存のインフラに簡単に適合する柔軟な「オンランプ」を数多く提供しています。企業は、ローミングエージェントによるユーザーデバイスの接続、Cloudflare Tunnelサービスによるアプリケーションレベルの接続、当社のMagic WAN Connectorや既存のルーターやSD-WANハードウェアからのネットワークレベルのトンネル、もしくは、世界1,600以上の拠点のオンプレミスまたはクラウドインフラストラクチャへの専用接続のための、物理または仮想での直接相互接続を利用できます。パケットが最も近いCloudflareの拠点に到着すると、最適化、高速化、ロギングを提供し、お客様のトラフィックフローを可視化します。
その高速トラフィックを、セキュリティフィルタリングのために追加の仲介者に送る代わりに、Cloudflare Zero Trustプラットフォームは、当社の「サービスとしてのネットワーク」機能と同じ場所(通常は全く同じサーバー上)でSSEセキュリティフィルタリングを提供することができます。企業は、どのようなSSE機能を有効にするかを選択し、時間をかけてセキュリティ体制を強化することができます。
Cloudflare OneとSSE機能のセット
Cloudflare One内部のセキュリティ機能は、あらゆる規模で運用する企業に対し、包括的に網羅したSSEを提供します。お客様は、ユーザーのトラフィックを数ミリ秒のうちにCloudflareのロケーションへ送信するだけで、あとはCloudflare Zero Trustがすべて処理します。
Cloudflare One SSEの機能
Zero Trustアクセス制御
Cloudflareは、独自のリソースをホストして管理するチーム向けに、Zero Trust VPNの代替となるものを提供します。お客様はCloudflareのネットワーク内にプライベートネットワークを構築し、より従来型の接続を実現したり、エージェントなしで契約者にアクセスを拡大することができます。Cloudflareのネットワークでは、ユーザーの接続方法や接続先の種類に関係なく、管理者がリソース単位またはグローバル単位できめ細かいルールを構築できるようにします。チームは、1つまたは複数のIDプロバイダー、デバイスポスチャー入力、その他の信号源を組み合わせて、ユーザーがいつ、どのように接続できるようにするべきかを決定できます。
組織は、CloudflareのIDプロキシをログインフローに導入することで、この種のZero Trustアクセス制御ルールを、ホスティングを制御しないSaaSアプリケーションに拡張することも可能です。既存のIDプロバイダーを使い続けながら、デバイスポスチャー、国、多要素認証などの追加チェックを重ねることができます。
DNSフィルタリング
CloudflareのDNSフィルタリングソリューションは、世界最速のDNSリゾルバーで動作し、個々のデバイスや世界最大のネットワークの一部から送信されるDNSクエリをフィルタリングしてログに記録します。
ネットワークファイアウォール
オンプレミスのハードウェアファイアウォールやクラウドベースの同等製品を維持している組織は、Cloudflareを通じてトラフィックを送信することで、そのボックスを非推奨とすることができ、当社のサービスとしてのファイアウォールがトラフィックをフィルタリングしてログに記録します。当社のネットワークファイアウォールは、L3-L7フィルタリング、侵入検知、脅威インテリジェンスフィード、およびその他のSSEスイートとの直接統合を備えています。セキュリティチームは、容量や冗長性の計画、スループットの制限、手動でのパッチやアップグレードなど、従来のハードウェアのような悩みを抱えることなく、高度なポリシーを構築することが可能です。
セキュアWebゲートウェイ
CloudflareのSecure Web Gateway(SWG)サービスは、ユーザーがどこで勤務しているかに関係なく、ユーザーに近いCloudflare PoPでトラフィックを検査、フィルター、ログ記録を行います。SWGは、ハードウェアや仮想化サービスを追加することなく、危険な送信先に向かうHTTPリクエストのブロック、ウイルスやマルウェアのスキャン、その他のインターネットへのトラフィックルートの制御が可能です。
インラインのクラウドアクセスセキュリティブローカーおよびシャドーIT
SaaSアプリケーションの普及は、チームのコスト削減に貢献しますが、ITチームやセキュリティチームが選択した以外のツールをユーザーが好むこともあり、現実的なリスクもあります。Cloudflareのインラインのクラウドアクセスセキュリティブローカー(CASB)は、従業員がSaaSアプリケーションを意図したとおりに使用できるようにするためのツールを管理者に提供します。チームでは、個人アカウントへのログインを制限するテナント制御ルール、承認されたSaaSアプリケーションへ特定の種類のファイルアップロードのみを許可するポリシー、承認されていないサービスの利用を制限するフィルターなどを構築することができます。
Cloudflareの「シャドーIT」サービス は、ユーザーのインターネットへのトラフィックをスキャンしてカタログ化し、ITチームやセキュリティチームがSaaSアプリケーションの不正使用を検出・監視できるようにします。例えば、ユーザーが資料をアップロードできるのは、承認されたクラウドストレージだけであることを確認できます。
API駆動型クラウドアクセスセキュリティブローカー
Cloudflareの強大なパワーとなるのは私たちのネットワークですが、最悪の攻撃は、データが移動しないところから始まることがあります。SaaSアプリケーションを採用したチームは、どこからでも仕事の成果物を共有し、共同作業を行うことができますが、その便利さゆえに、ミスや悪意ある者による深刻なデータ漏洩が起こりやすくなります。
場合によっては、機密情報が記載された文書を、「共有」メニューで間違ったボタンを選択し、過剰に共有してしまうケースがあります。お客様の連絡先が書かれたスプレッドシートが、ワンクリックでインターネット上に公開される可能性もあります。他の状況では、社内コンプライアンスに違反していることに気づかず、個人アカウントでレポートを共有してしまうケースもあるようです。
データ漏洩の可能性がどのように始まったかにかかわらず、CloudflareのAPI駆動型CASBは、お客様のチームが使用するSaaSアプリケーションを常にスキャンし、設定ミスやデータ損失の可能性を探ります。検出されると、CloudflareのCASBは管理者に警告し、インシデントを修復するための包括的なガイドを提供します。
データ損失防止
Cloudflareのデータ損失防止サービスは、トラフィックをスキャンして潜在的なデータ損失を検出しブロックします。管理者は、社会保障番号やクレジットカード番号など、あらかじめ用意された一般的なプロファイルから選択したり、正規表現を使用して独自の基準を作成したり、既存の Microsoft Information Protectionラベルと統合したりすることができます。
リモートブラウザ分離
Cloudflareのブラウザ分離サービスは、ユーザーからわずか数ミリ秒のデータセンターで、当社ネットワーク内のブラウザを実行し、Webページのベクトルレンダリングをローカルデバイスに送信します。チームメンバーは最新のブラウザを使用でき、他のアプローチとは異なりインターネットをインターネットとして感じることができます。管理者は、不明な送信先のみを分離するか、または外部委託先にエージェントレスのワークステーションを提供することを選択して、サイトをその場で分離できます。セキュリティチームは、コピーアンドペーストや印刷のブロックなど保護の追加が可能です。
SSEを超えるセキュリティ
SSEの目標について相談されるお客様の多くは、初日からその種のすべてのセキュリティサービスを採用する準備ができていません。その代わりに、重要なSSEの目標と便宜的な差し迫った問題を抱えていることが多いようです。それはそれでいいのです。お客様がどこでその工程に取り掛かろうとも、私たちが対応します。その工程は、現在のSSEの定義から少し外れた解決しにくい問題から始まることもあります。私たちは、そのような分野でも支援いたします。
SSEモデルが防ごうとする攻撃の多くは電子メールから始まりますが、これは従来型のSSEの定義から外れるものです。攻撃者は、特定の従業員または従業員全体をターゲットに、今日のメールプロバイダーが提供するデフォルトのフィルタリングでは見逃してしまうフィッシングリンクやマルウェアを送り込んできます。
DNSフィルタリングやSWGフィルタリングのようなSSEの機能を適用する必要に迫られる前に、受信トレイでこうした攻撃を阻止できるよう、お客様を支援したいと考えています。Cloudflare Oneには、メールプロバイダーに関係なくチームを保護するために、Area 1製品を通じた業界最先端のメールセキュリティが含まれています。Area 1は、SSEにバンドルされたスタンドアロン型のソリューションではなく、Cloudflare Zero Trustの機能とArea 1が一緒になることで、より効果的に機能します。例えば、不審なメールは隔離されたブラウザでリンクを開くことができ、ITヘルプデスクのチケットを増やすリスクなしに、徹底的な防御のセキュリティモデルをお客様に提供することができます。
Cloudflare Oneのお客様は、当社のアプリケーションセキュリティスイートである、Gartner認定のCloudflareのもう一つのプラットフォームを利用することもできます。WebアプリケーションファイアウォールやDDoS軽減サービスなど、業界をリードするCloudflareのアプリケーションセキュリティ機能を、Zero Trustセキュリティ機能と並行して導入することが可能です。チームは、ボット管理アラート、API保護、高速キャッシングをワンクリックで社内ツールに追加することができます。
Cloudflareを選ぶ理由
1万を超える組織がCloudflare Oneを信頼し、企業の接続とセキュリティ確保に役立てています。Cloudflare Oneは、世界最大のIT組織である米国連邦政府から、当社の無料プランを利用する何千もの小規模グループまで、チームの保護と高速化に貢献しています。数ヶ月前、私たちはCIO Weekの一環として、Cloudflare Oneを選択する理由をお客様にお聞きしました。彼らのフィードバックは、いくつかの一貫したテーマに従っていました。
1) Cloudflare Oneは、より完全なセキュリティを提供します
ほぼすべてのSSEベンダーが、従来の「城と堀」モデルに比べれば向上したセキュリティを提供していますが、それはハードルとして低いものです。私たちは、Cloudflare Oneのセキュリティ機能をクラス最高のものにするために構築しました。業界をリードする当社のアクセス制御ソリューションは、お客様のビジネスの原動力となるツールに誰が接続できるかを制御するために、より多くの組み込みオプションを提供します。
MicrosoftやCrowdStrikeなどの主要なIDプロバイダーやエンドポイント保護プラットフォームと提携して、市場のどの製品よりも優れたZero Trust VPNの代替製品を提供します。アウトバウンドフィルタリングの面では、すべてのフィルタリングオプションが、当社の脅威リサーチ専門チームであるCloudforce Oneによって収集・管理された脅威インテリジェンスのうえに成り立っています。
2) Cloudflare Oneは、あなたのチームをより迅速にします
Cloudflare Oneは、世界最速のDNSリゾルバーで開始することにより、インターネットに接続する最初の瞬間からエンドユーザーアクセスを高速化します。エンドユーザーはこれらのDNSクエリを送信し、当社で人気の高いコンシューマーフォワードプロキシに信頼を寄せる数百万人のユーザーからのフィードバックに基づいて最適化された、安全なトンネルを介して接続を確立します。サイト全体が、さまざまなトンネルオプションを通じて、世界3,000の大規模ネットワークの中で最高速の接続プロバイダーであるCloudflareのネットワークに接続しています。
Cloudflareは、純粋な接続プロバイダーと競合し、自らを評価します。Zscalerのような純粋なSSEプロバイダーと比較した場合、ユースケースに応じて38%から59%と大幅にパフォーマンスを上回っています。
3) Cloudflare Oneは、管理がより簡単です
Cloudflare Zero Trust製品は、ほぼすべての機能をカバーする無料プランを提供している点で、SSE市場において特徴的な存在です。インターネット上のセキュリティは、誰でも、どんな予算でもアクセスできることが望ましいと考え、50人までのグループには、これらのサービスを無料で提供しています。
その結果、私たちは使いやすい製品を作ることに成功しました。企業向けにのみ販売し、大規模なシステムインテグレーターに導入を任せる他のSSEプロバイダーとは異なり、私たちはどのチームでも展開できるようなソリューションを作る必要がありました。IT専門部門を持たない人権団体から、脆弱性の心配をせずに構築により多くの時間を割きたいと考える新興企業まで、幅広いチームに提供しています。
また、管理者が直感的なダッシュボードだけでなく、より多くのオプションを望んでいることも承知しています。私たちは、Cloudflare Oneのすべての機能を管理するAPIサポートを提供しています。また、ピアリングレビューによるConfiguration as Codeの管理オプションを必要とするチームのために、Terraformプロバイダー を維持しています。
4) Cloudflare Oneは、最も費用対効果の高い包括的なSASE製品ですCloudflareは、毎日何百万ものWebサイトをインターネット上で配信し、保護する責任を負っています。その大量のトラフィックをサポートするために、私たちは、拡張性とコスト効率向上のためにネットワークを構築する必要がありました。
大企業の社内ネットワークのトラフィックは、そこそこ人気のあるインターネットプロパティの量に(まだ)匹敵するものではありません。これらのチームがCloudflare Oneにトラフィックを送信する際は、当社のアプリケーションサービス事業を支える同じハードウェアと同じデータセンターを使用して、セキュリティとネットワーク機能を適用しています。その結果、当社は、既存ネットワークへの投資によって可能となった価格帯で、あらゆるチームへの包括的なセキュリティの提供を支援することができるのです。
5) Cloudflareは、お客様の単一の統合セキュリティベンダーになることができます
Cloudflare Oneは、業界アナリストのレポートで評価された、最も新しいCloudflareプラットフォームの一部に過ぎません。2022年、GartnerはCloudflareを、WebアプリケーションおよびAPIの保護(WAAP)のリーダーに選出しました。SSEの課題を解決するためにCloudflareを選択したお客様は、同じベンダーからクラス最高のソリューションを追加する機会を得ました。
DDoS攻撃対策、CDN、エッジコンピューティングからボット管理までのサービスにおいて、お客様に成果を提供するCloudflareの能力を、独立系アナリスト企業の数十社が評価し続けています。
今後の展開は?
Cloudflare Oneを選択したお客様は、ビジネスを減速させることなく、企業の最も機密性の高い側面を保護する当社のネットワークを信頼しているのです。過去5年間に、無料プランの小規模チームから フォーチュン500社および 政府機関まで、当社をベンダーとして選択してくださった1万以上の組織に感謝いたします。
本日の発表は、Cloudflare Oneの勢いを加速させるものです。私たちは、お客様が自らのミッションに集中するために必要な、セキュリティと接続機能の次の波を構築することに焦点を当てています。私たちは、より多くの組織を支援するために、より速く進み続けるつもりです。私たちと一緒にその旅を始めてみませんか?こちらまでご連絡いただければ、当社からご連絡させていただきます。
Gartner、「Magic Quadrant for Security Service Edge」、アナリスト:Charlie Winckless氏、Aaron McQuaid氏、John Watts氏、Craig Lawson氏、Thomas Lintemuth氏、Dale Koeppen氏、2023年4月10日。
......
1https://www.gartner.com/en/information-technology/glossary/security-service-edge-sse
GARTNERはGartnerの登録商標およびサービスマークで、Magic Quadrantは米国内外におけるGartner, Inc.ないしその関連会社の登録商標です。ここでは許可を得たうえで使用しています。無断転載を禁じます。
Gartnerは、調査報告書で言及したいかなるベンダー、製品、サービスも推奨しているわけではなく、技術ユーザーに対して最高評価またはその他の認定を受けたベンダーのみを選ぶよう勧めているわけでもありません。Gartnerの調査報告書は、Gartnerのリサーチ部門の見解を示したものであり、事実の表明と解釈されるべきではありません。Gartnerは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。