Check Point Harmony SASE|世界最大級ベンダーが提供するハイブリッド型クラウドSASE|機能・構成例・ライセンス解説
アサヒビールホールディングスをはじめ、近年は 「VPN機器の脆弱性放置」「サプライチェーン経由のラテラルムーブメント」 による大規模インシデントが相次ぎ、リモートアクセスの根本的な見直しが急務となっています。
Check Point Harmony SASE は、世界有数のサイバーセキュリティ専業ベンダー Check Point Software Technologies(イスラエル本社・1993年設立)が提供する、クラウド型 SASE(Secure Access Service Edge) ソリューションです。「Private Access(ZTNAによる脱VPN)」 と 「Internet Access(ハイブリッド型 Web 保護)」 の2コンポーネントを、ユーザ単位の月額ライセンスで提供します。
本記事では、Check Point Harmony SASE の機能・アーキテクチャ・3つの構成パターン・ライセンス体系・対応OS・主な制約事項まで、商品パンフレットに基づいて整理します。なお、本製品をベースにアクトが提供する商用サービス 「Webセキュリティ Plus(サイバーセキュリティお助け隊2類)」 もあわせてご紹介しています。
Check Point Harmony SASE とは
Check Point Harmony SASE は、Check Point Software Technologies が提供するクラウド型 SASE ソリューションで、リモート/拠点ユーザのインターネットアクセスと社内アプリへのアクセスを、1つのプラットフォームでセキュアに統合します。同社が築き上げた世界最大級の脅威インテリジェンス基盤 ThreatCloud AI を活用し、未知のマルウェアやゼロデイ攻撃にもリアルタイムで対応します。
🌐 Check Point Software Technologies について
- 1993年イスラエル本社設立、世界最大規模のサイバーセキュリティ専業ベンダー(1997年日本法人設立)
- 現在のファイアウォールにおける標準技術 「ステートフル・インスペクション」を発明した会社
- NGFW・クラウドセキュリティ・エンドポイント保護・モバイルセキュリティを統合管理コンソール(Infinity Portal)から一元運用
- 世界中の数百万センサーから脅威データを収集する ThreatCloud AI による高度な脅威防御
⚡ Check Point Harmony SASE の3つの差別化ポイント
SSL インスペクション・URLフィルタリング・マルウェア対策を端末側エージェントで処理し、クラウド転送による遅延を回避。”ローカルブレイクアウト” を実現。
エージェント/エージェントレス(ブラウザ)両対応で、社外から社内アプリへのセキュア接続を実現。サイト間VPNもフルメッシュZTNAで置き換え可能。
Infinity Portal から Harmony SASE の設定・ログ閲覧に加え、Harmony Email & Collaboration など他の Check Point 製品も統合管理。
なぜ「脱VPN/SASE」が必要なのか
従来型のリモートアクセス VPN には、現代の脅威環境に対応しづらい3つの構造的リスクがあります。
| VPNのセキュリティリスク | 概要 | Harmony SASE による軽減 |
|---|---|---|
| 社内NWの不正侵入 | リモート端末が乗っ取られると VPN 経由で社内ネットワーク全体に侵入されるリスク | 最小アクセス権限で 許可されたアプリのみに接続を限定(ラテラルムーブメント防止) |
| 通信パフォーマンスの低下 | VPN ゲートウェイがボトルネックとなり業務効率が低下 | ID 属性・端末状態を継続評価し、動的に通信制御。ハイブリッド検査で低遅延 |
| アタックサーフェスの露出 | インターネット公開の VPN 機器は常に外部スキャン・脆弱性攻撃の標的 | ZTNA コネクタはインバウンド開放不要 → アタックサーフェスを消去 |
📌 国内インシデント参考事例
VPN 起点の大規模インシデントは枚挙にいとまがありません。カプコン(2020年・最大39万人分情報流出)、つるぎ町立半田病院(2021年・電子カルテ約2か月停止)、大阪急性期・総合医療センター(2022年・8.5万件患者データ暗号化)、アサヒグループHD(2025年・受注出荷停止/約11.5万件流出) など、いずれも「VPN 機器の脆弱性放置」「サプライチェーン経由のラテラルムーブメント」が共通の侵入経路です。アサヒビールホールディングスは再発防止策として「リモートアクセス VPN 装置の全面廃止」を公表し、業界全体に脱 VPN の流れが加速しています。
2コンポーネントの構成と主な機能
Check Point Harmony SASE は 「Internet Access」(インターネット向けの保護)と 「Private Access」(社内アプリへのZTNA)の2つのコンポーネントで構成され、個別利用・双方利用とも可能です。
🌐 Internet Access の主な機能
| 機能名 | 概要 |
|---|---|
| SSL インスペクション | HTTPS を復号化し、暗号化通信に隠れる脅威を可視化(Windows / macOS) |
| マルウェアプロテクション | ファイル・通信内容をリアルタイムスキャンし、既知マルウェアを水際でブロック |
| URL フィルタリング | Web サイトをカテゴリごとに分類し、業務に不要/危険なサイトへのアクセスを制限 |
| DNS フィルタリング | 名前解決の段階で危険な宛先への接続をブロック(ハイブリッドライセンス必要) |
| 送信元 IP 固定 | 場所を問わず同じ IP アドレスで送信・接続できる機能(ハイブリッドライセンス必要) |
| アプリケーションコントロール | URL だけでなく利用中の Web サービス(アプリ)を識別して制御 |
| アンチ Bot /URL レピュテーション | ThreatCloud AI が「危険度高」と評価した宛先(C&Cサーバ等)への接続を即遮断 |
| サンドボックス | 未知のウイルスをクラウド上の安全な仮想環境で実行・解析 |
| テナント制御 | M365/GWS の自社テナント以外へのアクセスをブロックし情報漏洩を防止 |
| データ損失防止(DLP) | ブラウザ経由のアップロード/ダウンロードファイルを検査して情報漏洩を防止 |
※ ハイブリッド検査:SSL インスペクション/URL フィルタリング/マルウェアプロテクションは端末側エージェントで処理し、クラウド転送なしで通信をインターネットへ直接転送(ローカルブレイクアウト)。DNS フィルタリング・送信元 IP 固定はクラウド側で処理。
🔐 Private Access の主な機能
| 機能名 | 概要 |
|---|---|
| VPN as a Service | ポート・プロトコル・プラットフォーム種別を問わず、社外から社内アプリへセキュア接続 |
| アプリケーションアクセス(エージェントレス) | BYOD・委託先 PC などエージェント未導入端末からブラウザで Web/RDP/SSH/VNC に接続可能 |
| デバイスポスチャチェック | OS バージョン・証明書・実行プロセス・AV 状態・ディスク暗号化等の条件を満たした端末のみ接続許可(20/40/60 分間隔で再評価) |
| クラウドファイアウォール | L4 ファイアウォールで社内/社外宛通信を制御 |
※ アプリケーションアクセスでは、曜日・時間・IP アドレス・国などで接続元を制御可能。多要素認証(MFA)にも対応。
構成例(構成A/B/C)
オンプレミスの FortiGate(VPN機能)等からの置き換えをベースに、Check Point Harmony SASE を活用した3つの代表的な構成プランがあります。必要なセキュリティレベルとコストに応じて段階的に拡張できます。
| 構成 | 概要 | 含まれる機能 |
|---|---|---|
| 構成 A | 脱VPN構成 従来 VPN を ZTNA で置き換える最小構成 |
Private Access(VPN as a Service/デバイスポスチャ/アプリケーションアクセス/クラウドファイアウォール) |
| 構成 B | 構成A + Internet Access (Essentials) 基本的な Web セキュリティ機能を追加 |
構成 A の全機能 + マルウェアプロテクション + URL フィルタリング + SSL インスペクション + DNS フィルタリング |
| 構成 C | 構成A + Internet Access (Premium) 高度な Web セキュリティ機能まで実装 |
構成 B の全機能 + アプリケーションコントロール + アンチ Bot/URL レピュテーション + サンドボックス + テナント制御 |
※ 社内リソースと Check Point クラウド環境との接続は、専用コネクタ(WireGuard Connector)を配置し、インバウンドのポート開放を不要にしたセキュアな構成が標準です。本番導入前にコネクタによるアプリケーション接続検証(PoC)が推奨されます。
ライセンス体系とエディション比較
ライセンス単位は 「ユーザ」 単位で、1ユーザあたり最大5デバイスまで利用可能です。Internet Access と Private Access はそれぞれ独立したエディション体系を持ちます。
📋 Internet Access のエディション
Hybrid(端末+クラウド両側で処理)と On-Device(端末側のみで処理)の2系統 × Essentials/Premium/Complete の3階層。
| 機能 | Internet Access Hybrid | Internet Access On-Device | ||||
|---|---|---|---|---|---|---|
| Essentials | Premium | Complete | Essentials | Premium | Complete | |
| SSL インスペクション | ○ | ○ | ○ | ○ | ○ | ○ |
| マルウェアプロテクション | ○ | ○ | ○ | ○ | ○ | ○ |
| URL フィルタリング | ○ | ○ | ○ | ○ | ○ | ○ |
| DNS フィルタリング | ○ | ○ | ○ | − | − | − |
| 送信元 IP 固定 | ○ | ○ | ○ | − | − | − |
| アプリケーションコントロール | − | ○ | ○ | − | ○ | ○ |
| アンチ Bot /URL レピュテーション | − | ○ | ○ | − | ○ | ○ |
| サンドボックス | − | ○ | ○ | − | ○ | ○ |
| テナント制御 | − | ○ | ○ | − | ○ | ○ |
| データ損失防止(DLP) | − | − | ○ | − | − | ○ |
📋 Private Access のエディション
| 機能 | Essentials | Premium | Complete |
|---|---|---|---|
| VPN as a Service | ○ | ○ | ○ |
| アプリケーションアクセス | 20 アプリまで | 50 アプリまで | 無制限 |
| デバイスポスチャチェック | − | 3 Profile まで | 無制限 |
| クラウドファイアウォール | − | ○ | ○ |
動作環境・対応OS・必要要件
💻 エージェント対応 OS
| Windows | Windows 11(ARM プロセッサ非対応) |
| macOS | macOS 13 以降 |
| Linux | Ubuntu 20.04 以降/RedHat 8 以降/Fedora 40 以降 |
| iOS | iOS 15 以降(DNS フィルタリング以外は非サポート) |
| Android/Chromebook | Android 12.1 以降(DNS フィルタリング以外は非サポート) |
🔑 認証連携・グローバル展開
- 対応 IdP:Microsoft Entra ID(旧 Azure AD)/Google Workspace/Okta/Local AD・LDAP
- 認証方式:基本認証(ローカル)/SAML 2.0 SSO/MFA(Google Authenticator 等)
- ユーザ同期:SCIM による自動同期推奨(追加・変更・削除を自動反映)
- リージョン:世界80箇所以上(日本国内は東京・大阪)
- SIEM 連携:Splunk Cloud/Microsoft Sentinel/Amazon S3 へのログ転送に対応
🔧 WireGuard Connector の必要要件
社内リソースと Check Point クラウド環境を接続するためのコネクタです。インバウンドポート開放不要でセキュアな接続を実現します。
| 対応 OS | Ubuntu 22.04 LTS 以上/CentOS 9 or 10/RHEL 9 or 10 |
| 必須パッケージ | curl, dig, software-properties-common(Ubuntu)/curl, bind-utils(CentOS)/iptables-nft-services(RHEL) |
| ハードウェア | ディスク 20 GB 以上/メモリ 2 GB 以上 |
| ネットワーク | 静的内部 IP/ブリッジ接続対応/UDP/8000 アウトバウンド許可 |
主な制約事項(導入前に必ず確認)
本製品の VPN 通信基盤および認証連携(SAML/SCIM)は、インターネット標準規格(RFC)に準拠して設計されています。安定稼働のためのベストプラクティスとして、システムに関わる名称は半角英数字(ASCII 文字)での設計を前提とすることが推奨されます。
| カテゴリ | 制約事項 | 詳細・影響 |
|---|---|---|
| 日本語名称 | 端末ホスト名/ユーザ名のマルチバイト不可 | RFC 1035/1123 に基づき半角英数字(ASCII)必須 |
| 日本語名称 | 認証 ID/グループ名/管理オブジェクトの日本語非推奨 | SAML/SCIM 連携やログ出力時のパースエラーリスク |
| ネットワーク構成 | サブネットマスク変更不可 | 作成後の変更不可。拡張時はネットワーク全体の再作成が必要 |
| SWG ポリシー | Linux 版でのワイルドカード指定不可 | *.example.com 等は不可。完全な FQDN を明示する必要あり |
| 通信 | SMB(ファイル共有)アクセスの遅延 | プロトコル仕様と VPN の相性で HTTP/FTP より遅延が顕著 |
| スキャン上限 | セキュリティスキャンのファイルサイズ上限 | DLP アップロード 16MB/DLP ダウンロード 10MB/マルウェア対策 10MB |
| 認証 | SMS 認証(MFA)の送信上限 | 1時間 10 回まで。超過時はロックアウト(1時間待機 or リカバリーコード) |
| DLP | DLP の対象範囲 | ブラウザ経由のアップロード/ダウンロードファイルのみ。ネイティブアプリ間通信は非対応 |
アクトの「Webセキュリティ Plus」について
Check Point Harmony SASE の 「Internet Access On-Device」 を中核に、株式会社アクトが提供するサイバーセキュリティお助け隊2類サービスが 「Webセキュリティ Plus」 です。本家 Harmony SASE をそのまま使うのではなく、以下のような日本企業向けの導入・運用支援を含むパッケージとして提供されています。
- 日本語サポート:誤検知時の除外設定・トラブルシューティング・障害対応をアクト技術者が日本語で対応(平日 9:00〜18:00)
- 簡易サイバー保険付帯:インシデント時の駆けつけ初動対処費用を損害保険会社が補償
- アクトの技術者による駆けつけ:遠隔対応の可否を踏まえた現地サポート(全国対応/一部地域除く)
- 「データお守り隊(1類)」と組み合わせると、出入口(Web 通信)と端末(EDR+SOC)の両面を網羅する多層防御を構築可能
デジタル化・AI導入補助金の活用も可能
アーデントは 「デジタル化・AI導入補助金」の支援事業者として、Check Point Harmony SASE および Webセキュリティ Plus の導入・申請手続きをトータルでサポートいたします。中小企業・小規模事業者の皆さまは、補助金活用によりライセンス費用の自己負担を大幅に抑えながら、ZTNA/脱VPN へ移行できます。
よくある質問(FAQ)
Q. 既存の VPN を一気に廃止する必要がありますか?
いいえ、段階的な置き換えが可能です。まず構成 A(Private Access のみ)でハイリスクなリモートアクセス用途から ZTNA 化し、運用が安定してから Internet Access を追加する流れが一般的です。
Q. Internet Access の Hybrid と On-Device の違いは?
Hybrid は端末+クラウド両側で処理し、DNS フィルタリングや送信元 IP 固定が利用可能。On-Device は端末側のみで処理し低遅延だが、DNS フィルタリング・送信元 IP 固定は非対応です。固定IP化やDNS フィルタリングが必要なら Hybrid、軽量・低遅延を優先するなら On-Deviceを選びます。
Q. BYOD や委託先 PC でも利用できますか?
はい。Private Access の 「アプリケーションアクセス(エージェントレス)」 機能を利用すれば、エージェントを導入していない端末からブラウザ経由で Web/RDP/SSH/VNC に接続できます。曜日・時間・IP・OS・ブラウザ等の条件で接続元を細かく制御可能です。
Q. 端末ホスト名やユーザ名に日本語を使っていますが大丈夫ですか?
エージェントは日本語のホスト名・ユーザ名をサポートしていません。半角英数字(ASCII)が必須です。Azure AD 連携時のグループ名や管理オブジェクト名についても、SAML/SCIM パースエラーや設定保存エラーのリスクがあるため、日本語は非推奨です。導入前に命名規則の見直しを推奨します。
Q. PoC(事前検証)は必要ですか?
推奨されます。特に WireGuard Connector を経由したアプリケーション接続については、社内アプリケーションの種類・通信プロトコルによって挙動が異なるため、本番展開前に PoC で接続性とパフォーマンスを確認することが標準的なプロセスです。
お問い合わせ
Check Point Harmony SASE の機能詳細・ライセンス見積・PoC のご相談、また「Webセキュリティ Plus」での導入・補助金活用については、お気軽にお問い合わせください。