このダイナミックで分散化された環境では、リモートユーザーと支店ユーザーの両方が、アプリケーションの最高のパフォーマンスを体験し、アプリケーション、データ、インターネットへの安全なアクセスを確保することが重要です。このようなネットワークとセキュリティのニーズに対応するために、企業は運用を複雑にし、管理上の課題を生じさせ、コストを増加させる多地点ソリューションに頼らざるを得ません。企業は従来の製品中心のソリューションから、統合されたサービスとしてのモデルへの移行を模索しています。
Aryaka Unified SASEは、ネットワークとセキュリティをサービス型(オールインワン)ソリューションに統合し、企業のインフラ の近代化を支援します。このソリューションにより、企業はネットワーク、セキュリティ、アプリケーション、ユーザーの構成、管理、 監視を、各機能ごとに個別に分散型シングルポイントソリューションに頼ることなく、単一の管理コンソールで実行することが できます。Aryaka Unified SASEソリューションの大きな特徴は、シングルパス・アーキテクチャを採用している点です。このア ーキテクチャにより、企業は包括的な検査と処理を実行しながら、特定のデータパケットを1回だけ検査することができます 。このアプローチにより、個々の機能を個別に処理した場合に生じる攻撃対象領域が縮小され、レイテンシが最小限に 抑えられます。
Aryakaは、企業がオンプレミスとリモートユーザーの両方のニーズを満たすことができるハイブリッド展開ソリューションを提供する統合アーキテクチャを構築しました。ワークロードとユーザーに対するセキュリティの適用は、エッジアプライアンスで直接行われます。すなわち、サイトユーザーの場合はAryakaネットワークアクセスポイント(ANAP)、リモートユーザーの場合はAryakaPOPで適用されます。さらに、企業は、導入と問題解決を24時間365日体制で個別に対応する、当社の統合ライフサイクル管理サポートとマネージドサービスをご利用いただけます。Aryakaは、将来的にさらなる機能と特徴を追加する予定ですが、それらはすべて当社のシングルパスアーキテクチャにシームレスに統合されます。
Aryaka SmartSecure NGFW-SWG(次世代ファイアウォール-セキュ アウェブゲートウェイ)戦略は、企業が従来のマルチベンダーのネットワーク およびセキュリティサービスを単一ベンダーの統合プラットフォームに置き換 えることを可能にするものです。主な焦点は、以下の2つの異なるユースケ ースに示されています。
最初のユースケースは、サードパーティのセキュリティベンダーが提供する企業の既存のオンプレミスファイアウォールを、ネイティブに構築されたAryakaソリューションに置き換えることです。これを実現するために、Aryakaは、一連のセキュリティポリシーエンジンに共通のフレームワークを適用する、ソフトウェア定義型広域ネットワーク(SD-WAN)アーキテクチャの上に、専用のセキュリティスタックを構築しました。
多くのベンダーは、セキュリティ検査のためにトラフィックをPOPにトンネルする必要があります。Aryakaは、オンプレミスユーザーのためにANAP自体でトラフィックを検査することができます。ポリシーエンジンは次世代ファイアウォールとセキュアウェブゲートウェイ(NGFW-SWG)のセキュリティ検査を行い、必要な場合にのみトラフィックが意図した宛先に送信されるようにします。LANインターフェースから開始された接続については、インバウンドおよびアウトバウンドのトラフィックの両方が、SSL適用前および適用後のデータフローの両方について徹底的に検査されます。この使用事例では、インターネットブレイクアウトはANAPで発生します。
2つ目のユースケースは、企業のクラウドベースのセキュアインターネットアクセス(SIA)またはセキュアウェブゲートウェイ(SWG)のベンダーを、POPとANAPの両方でネイティブに構築されたAryakaのセキュリティスタックに置き換えることです。AryakaNGFW-SWGは、インターネット経由の脅威からウェブベースおよびSaaSアプリケーションのユーザーを保護します。
当社のPOP中心のクラウドサービス提供により、Aryakaは、Aryaka VPNaaSクライアントを使用して企業リソースやクラ ウドアプリケーションにアクセスするリモートユーザーに、POPから直接包括的なセキュリティを提供します。これにより、クラウ ド・アズ・ア・サービス・モデル内でANAPを持たない本社や支社からの直接接続に安全な接続性を確保します。このよう なシナリオでは、インターネットブレイクアウトはPOPで発生します。ANAPとPOPの両方が同一のセキュリティスタックをホ ストし、最新のインターネット経由の脅威から企業ユーザーとワークロードを保護します。これにより、ユーザーが社内またはリ モートにいるかに関わらず、一貫したユーザーエクスペリエンスが保証されます。ユーザーライセンスは、プライベートアクセスユー ザーにNGFW-SWGセキュリティサービスを提供するために使用されます。
次の図は、AryakaのPOPとANAPにおける分散型ポリシー施行を示しています。セキュリティスキャンはサービスエッジで実行され、オンプレミスとリモートユーザーの両方を保護します。
Aryakaのシングルパスアーキテクチャは、パケットが複数のセキュリティ処理段階を経る必要がなく、レイテンシが発生したり処理要件が増大したりすることもないため、ネットワークおよびセキュリティポリシーをシングルパスで処理します。パケットは一度だけ処理され、パケットフロー全体でTLS検査は1回のみ実行されます。
当社の管理インターフェースであるMyAryakaは、すべてのネットワークおよびセキュリティサービスに対して、ダッシュボード、分析 、可視性、管理、およびモニタリングを提供します。 すべてのセキュリティエンジンからほぼリアルタイムで収集されたテレメトリ は、セキュリティインシデント、脅威管理、およびパフォーマンスに関する洞察を提供します。 直感的なインターフェースを使用す ることで、企業は複数の管理コンソールを切り替えることなく、セキュリティポリシーの自己管理やアクセス制御の作成を柔軟 に行うことができます。
当社の統一制御プレーンは、ネットワーク機能とセキュリティ機能を組み合わせ、ANAP、POP、またはその両方において一貫したポリシーの適用を実現します。これにより、企業のユーザーはどこにいても保護されます。
分散型データプレーンにより、最寄りのPOPおよびANAPエッジでポリシーを適用することができ、ソースにより近い場所でセキュリティを適用することが可能になります。ANAPの後ろにサイトユーザーを持つ企業の場合、ネットワーク、セキュリティ、アプリケーション処理はANAP自体で実行されます。ANAPを持たないプライベートアクセスユーザーや企業サイトの場合、トラフィックは、世界6大陸の95%のビジネス人口にリーチする、40ヶ所以上のグローバルに分散したハイパースケールPOPの1つで処理されます(中国を含む)。
従来のポリシー管理のアプローチでは、すべてのセキュリティポリシーを1つの複雑なテーブルに格納していました。このアプローチでは、設定が複雑でエラーが発生しやすく、ユーザーエクスペリエンスが低下し、ポリシー管理が煩雑になり、セキュリティ侵害のリスクを高める複雑なトラブルシューティングが必要になります。ポリシー管理に対するモジュール式のマルチテーブルアプローチでは、脅威からの保護、レピュテーションサービス、アプリケーションおよびユーザーベースのアクセス制御など、それぞれ異なるセキュリティ機能を持つ複数のセキュリティエンジンが含まれています。各セキュリティ機能には、独自のポリシー設定、一致基準、ポリシーアクションが用意されています。このアプローチにより、企業はメンテナンスの容易性、運用の簡素化、およびTLS、SSL以前のトラフィック、SSL以降のトラフィックに対してきめ細かいポリシーを作成できる柔軟性を享受することができます。
Aryaka SmartSecure 次世代ファイアウォール – セキュアウェブゲートウェイ( NGFW-SWG)
Aryaka SmartSecure マルウェア対策アドオン
Aryaka SmartSecure侵 入防止システム(IPS)アド オン
Aryaka SmartSecure Cloud Access Security Broker (CASB) アドオン
NGFW-SWGは、Aryaka SASEソリューションの不可欠なコンポーネントです。これは、ネイティブに構築された使いやすい 管理ソリューションであり、次世代ファイアウォールとセキュアWebゲートウェイのセキュリティサービスを単一の統合サービスに 組み合わせたものです。Aryaka SmartSecure NGFW-SWGの主な目的は、インターネット由来の脅威や進化するサ イバー脅威からユーザーを保護することです。これは、ユーザーのトラフィックを傍受し、ネットワークトラフィックにさまざまなセキ ュリティ制御を適用することで実現します。Aryaka SmartSecure NGFW-SWGは、LANインターフェースから発信され た接続に関連するインバウンドおよびアウトバウンドのトラフィックについて、データペイロードの実際のコンテンツを徹底的に 調査するディープパケットインスペクション(DPI)を実行します。
オプションのAryaka SmartSecure Anti-Malwareサービスは、既知のマルウェア、ウイルス、ファイルベースの脅威を検知す ることで、インバウンドおよびアウトバウンドのトラフィックに対する企業のセキュリティを強化する追加の防御レイヤーを提供し ます。Anti-Malwareセキュリティエンジンは、既知のマルウェアのシグネチャとパターンをデータベースに照らし合わせ、DPI(ディ ープ・パケット・インスペクション)を実施してネットワークトラフィックを評価します。一致するものが見つかると、そのイベントはロ グに記録され、さらに詳細な分析が行われます。
オプションのAryaka SmartSecure IPSサービスには、WANインターフェースのインバウンドトラフィックとLANインターフェースのア ウトバウンドトラフィックを検査するセキュリティエンジンが含まれています。この暗号化および非暗号化トラフィックは、ユーザー のトラフィックを傍受し、データパケットにさまざまなIPSポリシーを適用するシグネチャベースの検出メカニズムを使用して、悪意 のある侵入行為がないか継続的に監視されます。支店およびリモートユーザーは、トロイの木馬、ワーム、シェルコードの悪用、 アドウェアなど、53のカテゴリーにわたる潜在的な侵入行為から保護され、監視されます。
NGFW-SWGと連携して、Aryaka SmartSecure CASBは、ネットワークを通過するSaaSアプリケーションのトラフィックを 保護し、ポリシーを適用します。SmartSecure CASBは、ディープパケットインスペクション、きめ細かいアクセス制御、単一の 可視化画面を使用して、アプリケーショントラフィックを検出し分類し、管理対象および管理対象外のアプリケーションアク ティビティを判断します。支社や遠隔地のユーザーは、許可されていないクラウドアプリケーションによるセキュリティの脅威から 保護されます。
支店およびプライベートアクセスユーザーには、サイトおよびユーザーライセンスを通じて、Aryaka SmartSecureのすべて の機能が利用可能になります。Aryaka SmartSecure CASB、Aryaka SmartSecure Anti-Malware、Aryaka SmartSecure IPSは、中国本土とその他地域(ROW)の2つの地域でアドオンサービスとして提供されています。企業 は必要に応じて、いずれか一方または両方のオプションを選択できます。Aryakaは、セキュリティサービスが進化するにつ れて、追加機能を提供していく予定です。
Aryaka SmartSecure
NGFW-SWG
Aryaka SmartSecure マルウェア対策アドオン
Aryaka SmartSecure侵入防止システムアドオン
Aryaka SmartSecure CASBアドオン
Aryaka SmartSecure NGFW-SWG、アンチ マルウェアアドオン、IPSアドオン、およびCASB アドオン
| 機能 | 説明 |
| 1.Aryaka SmartSecure NGFW-SWG | |
|---|---|
| ドメインの評判 | 7億5,000万以上のドメインのレピュテーションスコアを使用して、悪意のあるドメインからユ ーザーを保護します。HTTPトラフィックの場合、ドメイン名はHTTPヘッダーから抽出されま す。HTTPSトラフィックの場合、ドメイン名はSSL/TLSハンドシェイク中の「Server Hello」メ ッセージから抽出されます。 |
| URLの評価 | 320億以上のURLに対するレピュテーションスコアを使用して、悪意のあるURLへのアクセスからユーザーを保護します。 |
| IPレピュテーション | 43億以上のIPアドレス(すべてのIPv4と使用中のIPv6を含む)に対するIPレピュテーション判定(GoodまたはBad)を使用して、ユーザーが悪意のあるIPアドレスへのアクセスを制限します。 |
| カテゴリー別フィルタリング | 包括的なウェブカテゴリーをグループ化し、これらの事前定義されたカテゴリーに基づいてトラフィックを許可または拒否するポリシーを適用することで、ポリシー管理を簡素化します。 |
| カテゴリベースのフィルタリングアプリケーションベースのアクセス制御(基本CASB) | AryakaのインラインCASBは、ディープパケットインスペクション(DPI)を使用してネットワークトラフィックとアプリケーションを識別および分類し、その後、発見された承認済みおよび未承認のアプリケーションにアクセス制御を適用します。 |
| DNSフィルタリング | DNSクエリと応答を検査し、ドメインとIPのレピュテーションスコアに基づいて特定のウェブサイトへのアクセスを許可または拒否します。ポート53に非DNSプロトコルのメッセージが到着した場合、そのパケットは自動的に破棄されます。 |
| ウェブアクセス制御 | HTTPとHTTPSの両方のトラフィックに対するHTTPヘッダーの照合を含め、SSL後のトラフィックに対するアクセス制御を提供します。HTTPヘッダーは、セキュリティポリシーが参照できる再利用可能な資産として保存できます。 |
| ネットワークアクセス制御 | SSL 以前のトラフィックに対するアクセス制御を提供します。トラフィックは許可、拒否、ま たはその後のすべての処理エンジンにスキップさせることができます。 |
| アイデンティティおよびアクセス管理(ユーザーベースのアクセス制御) | 企業がサードパーティのアイデンティティプロバイダー(IdP)に接続したり、AryakaをIdPと して使用したりできます。サポートされているIdPは、Enterprise LDAP、オンプレミスAD、 Okta、Azure AD、およびAryaka DBです。Azure ADとOktaは、SAMLとOIDC認 証標準に基づいています。IdPは、認証と承認のためにユーザーをキャプティブポータルに リダイレクトします。認証されていないユーザーは、カスタマイズされたブロックページにリダイ レクトされます。 |
| 機能 | 説明 |
| 2.Aryaka SmartSecureマルウェア対策アドオン | |
|---|---|
| マルウェア対策 | 既知のあらゆる種類のマルウェアを検知し、オンプレミスおよびクラウドのエッジでマルウェアを削除することで、防御のレイヤーを追加し、帯域幅を解放します。Aryakaは、エッジを最新の脅威インテリジェンスで常に更新し、新たな脅威の拡散を効果的に阻止します。 |
| ファイルベースの脅威からの保護 | ファイルの内容をスキャンし、ダウンロード中またはネットワーク上を転送中のファイルの評 判に基づいてバイト単位で動的に判断します。 ファイル名、プラットフォーム、暗号化に 関わらず、ファイルを一意に識別するフィンガープリントとして、業界標準のMD5ファイル ハッシュが使用されます。 高速ファイル処理により、エンドユーザーの体験に影響を与 えません。 |
| アンチウイルス(AV)保護 | 脅威インテリジェンスデータベースから自動的に更新される侵害指標(IOC)とシグネチャを参照することで、ウイルス感染を防止します。 |
| 3.Aryaka SmartSecure侵入防止システムアドオン | |
|---|---|
| 署名ベースの検出 | シグネチャベースの検出機能を使用して、暗号化および非暗号化トラフィックの悪意のある侵入行為を、WANおよびLANインターフェースで継続的に検査します。デジタル資産に被害が及ぶ前に、潜在的な脅威をブロックします。 |
| パケット異常検知 | 署名に基づいて、期待される基準からのプロトコルの逸脱を特定し、システム管理者に通知して修正を促します。 |
| 共通脆弱性識別子 (CVE) 保護 | 既知の脆弱性や悪用を緩和することで、企業の攻撃対象領域を縮小します。 |
| コマンド&コントロール(ボットネット)保護 | C2サーバーとの通信とボットネット活動を検知し、ブロックすることで、内部資産を保護します。 |
| DoSおよびDDoS攻撃からの保護 | 署名ベースの検知とレート制限メカニズムを使用して、DoSおよびDDoS攻撃から企業ネットワーク資産を保護し、ダウンタイムを防止します。 |
| 機能 | 説明 |
| 4.Aryaka SmartSecure CASBアドオン | |
|---|---|
| シャドーITの発見 | 従業員が使用している承認されていないクラウドアプリケーションや許可されていないクラウドアプリケーションを発見し、監視します。 |
| きめ細かいアクセス制御 | アプリケーション、ユーザー、ユーザーの活動、カテゴリー、組織、スイート、場所などに基づいて、クラウドサービスへのユーザーアクセスを制御します。 |
| クラウドアプリケーションの可視性 | 認可済み、未認可のクラウドアプリケーションを表示する集中管理ダッシュボード。 |
| 柔軟な導入オプション | オンプレミスおよびクラウド上のアプリケーションとポリシーの柔軟な制御と強制。 |
| マルチテナント制の制限 | あるテナント(企業または事業部門)に属するデータが、別のテナントからアクセスできないようにします。 |
| 5.Aryaka SmartSecure NGFW-SWG、マルウェア対策アドオン、CASBアドオン、IPSアドオン | |
|---|---|
| SSL/TLSの検査と復号 | 動的証明書生成機能を使用して、暗号化および非暗号化トラフィックにおける攻撃を 検知します。個人識別情報(PII)の機密性に応じてパケットを選択的に復号するオプ ションも用意されています。暗号化トラフィックにおける異常をより正確に検知するために 、TLS 検査機能を使用してパケットを復号します。検査が完了すると、パケットは再び暗 号化されます。 |
| 集中管理 | 分散したネットワークおよびクラウドリソース全体で、一貫性のあるSD-WANおよびセキュリティポリシーを定義できます。 |
| リアルタイムの脅威に関する洞察 | Aryakaの統合コンソールを使用して、ネットワークおよびアプリケーションのセキュリティイベントと脅威に関する洞察の可視性と観測性を実現します。 |
| セキュリティレポートおよび分析 | 設定可能な期間における企業の脅威の状況に関する包括的な要約レポートとグラフを提供します。 |
| 警告 | セキュリティイベントを管理者に通知し、迅速なインシデント対応を実現します。 |
| ログ記録 | デバッグ目的で、イベントに関する有用な情報を含むセキュリティログを作成および更新します。 |
| セルフサービス | MyAryakaのユーザーインターフェースでセキュリティポリシーを柔軟に設定し、自己管理できる機能を提供します。 |
| クラウドアプリケーション検出 | 従業員が使用している未承認または無許可のSaaS型クラウドアプリケーションを特定し、監視する。 |
*Aryakaのセキュリティサービスは、今後も進化を続け、より多くのサービスが追加される予定です。
NGFW-SWG、アンチマルウェア、CASB、およびIPSサービスには、異なる導入ニーズに対応する2種類のライセンスがあります。サイトライセンスとユーザーライセンスです。サイトライセンスは、特定の場所でNGFW-SWG、アンチマルウェア、CASB、およびIPSサービスを有効にするために使用します。ユーザーライセンスは、リモートユーザーに対してNGFW-SWG、アンチマルウェア、CASB、およびIPSサービスを有効にするために使用します。
| セキュリティサービス | 前提条件 | 購読時の権利 |
| NGFW-SWG* | Aryaka SD-WAN または Aryaka SmartSecure-Private Access | Aryaka SD-WAN または Aryaka SmartSecure-Private Access |
| マルウェア対策アドオン | Aryaka SD-WAN または Aryaka SmartSecure-Private Access およ び NGFW-SWG | FWaaS、NGFW-SWG、およびマルウェア対策アドオンセキュリティ機能 |
| IPSアドオン | Aryaka SD-WAN または Aryaka SmartSecure-Private Access およ び NGFW-SWG | FWaaS、NGFW-SWG、アンチマルウェア、 IPS アドオンセキュリティ機能 |
| CASBアドオン | Aryaka SD-WAN または Aryaka SmartSecure-Private Access およ び NGFW-SWG | FWaaS、NGFW-SWG、アンチマルウェア、 CASB、IPS アドオンセキュリティ機能 |
*NGFW-SWGのサイトライセンスは、サイトライセンス(XS、S、M、M+、L、XL、BYO)と同じレベルで提供されます。
グローバル、スケーラブル、フレキシブル
いつでも、どこでも、あらゆるユーザーに包括的なセキュリティを提供します。40以上のPOPにより、Aryakaは企業の成長や需要の変化に対応し、独自の業務ニーズに適応することができます。
ワンベンダーによるエンドツーエンドの接続
Aryakaのサービスとしてのソリューションで、ネットワークおよびセキュリティサービスの一元窓口を維持します。
どこでも一貫した保護
共通のセキュリティポリシーの枠組みのもとでネットワークとセキュリティを連携させることで、社内勤務者とリモート勤務者の両方に均一なセキュリティを提供します。
操作の簡便性
Aryakaの統合管理コンソールであるMyAryakaを使用することで、マルチベンダーのネットワークおよびセキュリティソリューションの展開と維持に必要な複雑性、オーバーヘッド、トレーニングの削減を実現できます。
優れたユーザーエクスペリエンス
データの送受信中および保管中のセキュリティを確保しながら、アプリケーションへの高速かつシームレスなアクセスを実現します。
低い総所有コスト(TCO)
複雑で常に変化する脅威の環境において、複数ポイントのハードウェアおよびソフトウェアソリューションのサイジング、購入、インストール、アップグレード、パッチ適用、管理の負担を排除することでコストを削減します。
Aryakaは、妥協することなくパフォーマンス、俊敏性、シンプルさ、セキュリティを実現するように設計・構築された唯一のSASEソリューションである、統合SASEをサービスとして提供する業界のリーダーであり、その先駆者です。Aryakaは、お客様独自のSASE導入状況に合わせて、ネットワークとセキュリティ環境のシームレスな近代化、最適化、および変革を可能にします。Aryakaの柔軟な配信オプションにより、企業は導入と管理に好みのアプローチを選択できます。フォーチュン100にランクインする企業を含む数百社ものグローバル企業が、クラウドベースのソフトウェア定義型ネットワーキングおよびセキュリティサービスとしてAryakaを利用しています。Aryakaの詳細については、www.aryaka.comをご覧ください。