// シス担のミカタ
ゼロトラスト・SASE

Palo Alto Prisma Access ぱろあると ぷりずま あくせす

SASEゼロトラストクラウドセキュリティSD-WANZTNAPalo Alto Networks
Palo Alto Prisma Accessについて教えて

簡単に言うとこんな感じ!

クラウドでまるごと動くセキュリティの「お城」だよ!テレワーク中の自宅PCも、海外拠点も、全部このお城を通じてインターネットに出入りさせることで、どこからアクセスしても会社と同じセキュリティルールが適用される仕組みなんだ!

Palo Alto Prisma Accessとは

Prisma Accessは、サイバーセキュリティ大手の**Palo Alto Networks(パロアルトネットワークス)が提供する、クラウドネイティブSASE(Secure Access Service Edge:サシー)**プラットフォームです。従来は社内に物理的なファイアウォールやVPN装置を置いてセキュリティを担保していましたが、Prisma Accessではそれらの機能をすべてクラウド上に移し、世界中どこからでも同一のセキュリティポリシーを適用できます。

テレワークの普及やクラウドサービスの利活用が進む現代では、「社内にいれば安全」という前提が崩れています。Prisma Accessはゼロトラスト(Zero Trust)の考え方——「誰も最初から信頼しない」——をベースに設計されており、ユーザーの場所・デバイス・アクセス先にかかわらず、常に検査・認証を行います。

実務上は、「全国の営業拠点のVPN装置を廃止してPrisma Accessに統合したい」「テレワーク社員のセキュリティを本社と同水準にしたい」といった課題に対する解決策として選定されるケースが多くなっています。

Prisma Accessが提供する主な機能

Prisma Accessは複数のセキュリティ・ネットワーク機能を1つのプラットフォームに統合しています。

機能カテゴリ主な内容従来の代替品
ZTNA(ゼロトラストネットワークアクセス)認証済みユーザーにのみ必要なアプリを公開VPN装置
SWG(セキュアウェブゲートウェイ)WebアクセスのURLフィルタリング・マルウェア検査プロキシサーバー
CASB(クラウドアクセスセキュリティブローカー)SaaSサービスの利用状況監視・制御専用CASB製品
FWaaS(ファイアウォール as a Service)次世代ファイアウォール機能のクラウド提供物理・仮想FW
SD-WAN拠点間ネットワークの最適化・可視化専用WAN装置
DLP(データ損失防止)機密データの社外流出を検知・遮断専用DLP製品

覚え方:「Prisma=プリズム=光を分けて検査」

プリズムが光をスペクトルに分解するように、Prisma Accessも通信を細かく分解してアプリ・ユーザー・コンテンツ・脅威の各レイヤーで検査します。「全部バラして調べる」イメージで覚えましょう。

提供形態と接続方式

接続パターン:
  ① モバイルユーザー  ─→ Prisma Access クラウド ─→ 社内システム / インターネット
  ② 拠点(支社など)  ─→ Prisma Access クラウド ─→ 社内システム / インターネット
  ③ 本社データセンター ←─ Prisma Access クラウド(リモートネットワーク接続)

歴史と背景

  • 2017年以前:Palo Alto Networksは物理・仮想ファイアウォール製品(PA シリーズ)で知名度を確立
  • 2018年:Prisma の前身となるGlobalProtect Cloud Service(GPCS)をリリース。クラウド型VPN・FWaaSの走り
  • 2019年:製品ブランドをPrismaに統合。Prisma Access・Prisma Cloud・Prisma SDWANとして体系化
  • 2020年:新型コロナウイルスによるテレワーク急増で需要が爆発的に拡大。VPN代替としての採用が急増
  • 2021年Gartner Magic Quadrant for SSE(Security Service Edge)でリーダー象限に初選出
  • 2022年以降:AI/MLを活用した自動脅威検知・ADEM(自律型デジタルエクスペリエンス管理)機能を追加。Cortex XDRとの統合も強化
  • 2024年〜AI-Powered SASEとして生成AIを活用したポリシー自動生成・インシデント要約機能を実装

SASE・SSEの中でのPrisma Accessの位置づけ

SASEという概念の中で、Prisma Accessがどの機能を担うか、競合製品と比べるとどう違うか整理します。

SASE構成要素とPrisma Accessの対応

SASE = SSE(セキュリティ) + SD-WAN(ネットワーク) SSE(Security Service Edge) ZTNA ゼロトラストネットワークアクセス SWG セキュアウェブゲートウェイ CASB クラウドアクセスセキュリティブローカー FWaaS クラウド型次世代ファイアウォール DLP データ損失防止 SD-WAN(ネットワーク) 拠点間WAN最適化 帯域制御・経路最適化 可視化・管理 ネットワーク状態の一元管理 Prisma Access が統合提供 ↑ SSE 全機能 ↑ SD-WAN = SASEを1製品で実現 Palo Alto Networks提供

主要SASE製品の比較

製品提供元強み注意点
Prisma AccessPalo Alto NetworksFW機能の深さ・グローバルPoP数ライセンス体系が複雑
Zscaler ZIA/ZPAZscalerプロキシ型SWGの実績SD-WANは別製品
NetskopeNetskopeCASB・DLPの精度FW機能は弱め
Cisco+ Secure ConnectCisco既存Cisco環境との親和性後発でSASE統合は発展途上
Cloudflare OneCloudflare低コスト・CDN連携エンタープライズ向け機能は限定的

関連する規格・RFC

規格・RFC番号内容
RFC 8446TLS 1.3:Prisma Accessが通信暗号化に使用
RFC 7296IKEv2:IPsecトンネル確立プロトコル(拠点接続で使用)
RFC 8986SRv6:SD-WANの経路制御で活用される新技術

関連用語

  • SASE — ネットワークとセキュリティをクラウドで統合するアーキテクチャの総称
  • ゼロトラスト — 「誰も最初から信頼しない」セキュリティの考え方
  • ZTNA — ゼロトラストを実現するネットワークアクセス制御技術
  • SD-WAN — ソフトウェアで拠点間ネットワークを最適化する技術
  • CASB — クラウドサービスの利用を監視・制御するセキュリティ機能
  • SWG — Webアクセスをリアルタイムで検査するゲートウェイ
  • FWaaS — クラウド上で提供されるファイアウォールサービス
  • SSE — SASEのセキュリティ機能に特化したフレームワーク