SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【Check Point】Harmony SASEについて

  1. ホーム
  2. 技術ブログ
  3. Check Point
  4. 【Check Point】Harmony SASEについて
Check Point
2025.09.29

皆さんこんにちは!SB C&Sで Check Point 製品のプリセールスを担当している長谷川です。

今回は、Check PointのSASE製品である、Harmony SASEについて紹介いたします。

SASE製品としては後発にあたりますが、後発らしい柔軟性と使い勝手の良さがありますので、ぜひ参考にいただければと存じます。

Harmony SASEとは

クラウド上でネットワークとセキュリティを統合し、どこからでも安全なアクセスを実現するSASEソリューションです。

SASEを構成するには様々な要素が絡み合いますが、管理画面がシンプルであったり、トンネル接続を双方向で提供されるなど複雑さを軽減した製品となっています。

第三者ベンダー製品との連携を可能としており、本記事ではFortinet社のFortiGateとの連携検証を行っております。

CheckPoint_Harmony_SASE (1).png

Private Access

SASEでは、クラウドサービスを利用するためのアクセスポイントとして世界中に配置されたPoP(Point of Presence)がございます。

このPoPに対してトンネル接続を行い社内やデータセンターなど特定のセグメントにアクセスる方法を Private Accessと呼びますが、Harmony SASEでは様々な方法を提供しています。

ファイアウォールは以下にあるIPSecVPN装置を使い、Harmony SASEに接続することでPrivate Access構成時に外部からのサイバー攻撃の起点となる部分がないといった構成も可能です。

CheckPoint_Harmony_SASE (2).png

フルメッシュネットワーク

Harmony SASEでは、複数あるPoPや各拠点とのルーティングを自動的に構築し、ネットワーク的の運用を簡素化します。

これにより拠点と拠点との接続をPoP経由で行うといった構成も可能となります。

また、基本パッケージで固定IPが提供されるため、クラウドへのアクセスの際にも送信元を制限した構成を行うことが可能です。

CheckPoint_Harmony_SASE (3).png

フルメッシュバックボーン

PoP間の通信BGPを利用しフルメッシュでの経路を実現できます。

CheckPoint_Harmony_SASE (4).png

トンネル接続

Harmony SASEとの接続にはIPSecVPNを利用することが基本ですが、WireGuard, OpenVPNについてもサポートしています。

CheckPoint_Harmony_SASE (5).png

安心の日本国内PoP

Harmony SASEでは、東京と大阪にデータセンターが用意されております。

海外に構築することによる通信遅延なども発生せず、災対としの運用も可能です。

CheckPoint_Harmony_SASE (6).png

検証1

当社ではHarmony SASEについて様々な検証を行っております。

その中でSASE製品でよく差別化されることの多いポイントについてピックアップしました。

まずは、拠点と拠点をPoPを経由しての通信です。

CheckPoint_Harmony_SASE (7).png

Harmony SASEでは、PoPを経由する通信に対する設定は、Private Access >> Firewall で行います。

設定名からも判断つくように、PoPを通過する通信に対し、Firewallのルールを作成するだけで制御が可能となります。

CheckPoint_Harmony_SASE (8).png

IP(L3)とポート(L4)での制御となるため、シンプルなファイアウォール制御だけで実現できます。

CheckPoint_Harmony_SASE (9).png

検証2

あまり実用性はないかもしれませんが、プライベートアクセス先セグメントから、エージェントを導入した端末に対しての通信も可能です。

本検証では、エージェントを導入した端末側にFTPサーバを構築して検証を行っています。

CheckPoint_Harmony_SASE (10).png

ファイアウォールルールでは、あらかじめPoPや端末側に割り当たる仮想IPのセグメントに対し、アクセス許可を追加しておきます。

※本件賞では、10.255.0.0/16 をバックボーンエリアに指定しています。

CheckPoint_Harmony_SASE (11).png

エージェントを導入した端末に対し、動的にIPが割り当たるため、事前にIPを調査します。

CheckPoint_Harmony_SASE (12).png

FTPクライアント(プライベートアクセスセグメント)からFTPサーバ(エージェントを導入した端末)に対しFTPでアクセスします。

動的IPなので実用性は少ないかもしれませんが、統合型エンドポイントなどを導入している場合、何か有効活用ができるかもしれません。

CheckPoint_Harmony_SASE (13).png

Harmony SASEはSSE製品ですので、セキュリティ機能も実装しています。

エージェントの導入が必要ですが、アンチウィルスやカテゴリ型ウェブフィルタなどの機能を利用することができます。

CheckPoint_Harmony_SASE (14).png

eicarをダウンロードした画面になります。

今回の場合はアンチウィルス機能が動作する前に、 Anti-bot機能が動作しアクセスがブロックされています。

もちろん、マルウェアファイルのダウンロードの際にアンチウィルス機能でブロックすることも可能です。

CheckPoint_Harmony_SASE (15).png

PoPを通らない通信でも、エージェントを利用することでログの生成が可能です。

CheckPoint_Harmony_SASE (16).png

検証3

Harmony SASEのZTNAについて検証をします。

ポスチャー(状態)をチェックし、管理者の指定する状態から逸脱した際に、PoPへの接続をブロックすることができます。

今回は、firefox.exe というプロセスを監視し、このプロセスが停止した際の動作を検証します。

なお、ポスチャーチェックは、PoPへの接続段階と、接続後は指定した時間ごとに再チェックを行うことができ、今回は20分毎にチェックを行う設定にしています。

CheckPoint_Harmony_SASE (17).png

firefox.exe が動作している場合は、PoPの接続が問題なく可能です。

CheckPoint_Harmony_SASE (18).png

接続してから意図的に firefox.exe を停止した後、前回のチェックから20分経過したタイミングですぐに切断されました。

これによりPoPへの接続段階だけでなく、接続後も継続してチェックをすることができることが確認できました。

CheckPoint_Harmony_SASE (19).png

いかがでしたでしょうか。

Check Point Harmony SASEの紹介でした。

SASE製品として柔軟性が高く、シンプルで使いやすい製品です。

今後、Harmony Browserといったサービスが提供されることで、RBIといった拡張機能を正式に実装する見込みとなります。

様々なSASE製品が市場に出てきている中、セキュリティメーカが用意したSASE製品ということもあり、通信の安定性やセキュリティレベルの高さ、連携の柔軟性など非常に高機能な製品です。

SASE製品にネットワークの柔軟な製品として記憶にとどめていただければ幸いです。

以上、ご拝読ありがとうございました。

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
 正確性、最新性、完全性は保証できませんのでご了承ください。

他のおすすめ記事はこちら

【Check Point】Updatable Objectについて

著者紹介

SB C&S株式会社
技術本部 技術統括部 第3技術部 2課
長谷川 聡

Related Posts

関連記事