ニュース

ソフォス、ゼロトラストネットワークアクセスを実現する「Sophos ZTNA」を発表

アクセスレイヤに向けたネットワークスイッチ製品も紹介

  • 高橋 正和

2022年2月10日 06:30

 ソフォス株式会社は9日、リモートアクセスなどでのゼロトラストネットワークアクセス(ZTNA)を実現する製品「Sophos ZTNA」を発表した。また、1月19日には、アクセスレイヤのネットワークスイッチ製品「Sophos Switch」を発表している。

 2つの製品とも、ソフォスの既存製品、特にクラウド統合管理のSophos Centralとの統合を特徴としている。

 この2製品および今後のロードマップについて、2月9日に記者説明会が開催された。

ソフォス株式会社 セールスエンジニアリング部 シニアセールスエンジニア 鈴木貴彦氏

Sophos Centralで統合管理できる「Sophos Switch」

 Sophos Switchは、組織などの中のネットワークをコア/アグリゲーション/アクセスに分けたときのアクセスレイヤに向けたネットワークスイッチだ。「エンドポイントやアクセスポイントに近いところに位置する」と、ソフォス株式会社 セールスエンジニアリング部 シニアセールスエンジニア 鈴木貴彦氏は言う。

 ベースインターフェイスがGigabit Ethernet(GbE)ポートの「100シリーズ」と、ベースインターフェイスが2.5GbEポートの「200シリーズ」の2シリーズから構成される。さらにその中で、ポート数とPoE給電能力によって分かれており、全10種類(現在8機種リリース済み、2機種は5月リリース予定)がある。

 Sophos Switchの特徴は、クラウド上の統合管理コンソールである「Sophos Central」から管理・運用が可能なことだ。ファームウェアのアップデートも自動で実行される。なお、Sophos Central以外にローカル環境でもGUI/CUIで管理できる。

 今後Sophos Switchにおいて、エンドポイントのインシデント対応を自動化するSynchronized Securityとの連携も計画されていると鈴木氏は説明した。

Sophos Switchの特徴
Sophos Switchの代表的なモデル

クライアントがSophos Intercept Xと統合された「Sophos ZTNA」

 Sophos ZTNAは、リモート環境から安全かつ効率よくリソースへアクセスするための製品だ。これまでの組織内部のネットワークとインターネットとを分けることによる境界防御に頼らず、ユーザーと対象リソースとの間のアクセス権限を検証する「ゼロトラストネットワークアクセス(ZTNA:Zero Trust Network Access)」を実現する。

 Sophos ZTNAはZTNA製品の中で、エンドポイント保護ソリューションのSophos Intercept Xや、XDR(Extended Detection and Response)製品のSophos XDR、脅威ハンティング・検出・修復のSophos MTR(Managed Threat Response)などのソフォスのソリューションとの統合を特徴とする。これにより、ユーザーからデバイス、対象のアプリケーションまでエンドツーエンドの保護を提供するとしている。

 Sophos ZTNAは大きく分けて、アクセスするエンドポイント側の「ZTNAクライアント」、アクセス先のリソース側のゲートウェイとなる「ZTNAゲートウェイ」、クラウド上で管理するSophos Centralの3つからなる。

 ZTNAクライアントはWindowsとMacに対応し、Sophos Centralからデプロイできる。また、ZTNAクライアントはSophos Intercept Xのクライアントと統合され、1つのエージェントでZNTAクライアントとエンドポイントセキュリティの機能の両方に対応する。

 ZTNAゲートウェイは、VMware ESXiとAWSに対応する。認証のIdPは、Azure ADまたはOkta。

Sophos ZTNAの構成
Sophos ZTNAの差別化要因

 鈴木氏は記者説明会においてZTNAについて、リモートワークやクラウド化といった背景を説明。さらにVPNの問題として、境界防御+VPNではVPNにログイン後はネットワーク内に自由にアクセスできてしまうことや、VPNの脆弱性を狙った攻撃などを挙げた。

 そして、ZTNAを大きく「サービス起動型」「エンドポイント起動型」の2種類に分類した。サービス起動型は、ユーザーからのすべての通信をZTNAプロキシに集約して処理するもので、新興企業の製品に多いという。一方のエンドポイント起動型は、対象リソースに近いところにZTNAゲートウェイを置き、ユーザー側は対象リソースにアクセスするときだけZTNAゲートウェイを経由する。

 鈴木氏は2種類の方式について「それぞれ良しあしがある」とした上で、Sophos ZTNAはエンドポイント起動型に分類されると説明した。

ZTNAを大きく「サービス起動型」「エンドポイント起動型」の2種類に分類

クラウド型のZTNAaaSやSophos Firewallでの対応も予定

 最後に、Sophos ZTNAをはじめとする、ソフォスのリモートアクセスのロードマップも鈴木氏は説明した。

 今年の予定としては、サービス型のZTNA「Sophos ZTNA as a Service(ZTNAaaS)」が紹介された。ZTNAゲートウェイをリソース側ではなくSophos Cloudエッジに置くもので、先ほどの2種類のZTNA方式でいうと「サービス起動型」に相当する。

 鈴木氏はZTNAとZTNAaaSの関係について、「ZTNAはクラウド利用を最小限にとどめたいお客さま向け、ZTNAaaSはクラウド利用で利便性を高めたいお客さま向け」と説明した。

 そのほか今年の予定としては、Azure、Hyper-V、Nutanix、GCP、Android、Appleといった対応プラットフォームの拡大が挙げられた。

 その先のロードマップとしては、認証のIdPサポートの拡大や、Sophos FirewallでのZTNAゲートウェイ対応などが語られた。

Sophos ZTNA関連のロードマップ
Sophos ZTNA as a Service(ZTNAaaS)