2022/01/06
次世代基盤第一技術部 第二技術室
2021年12月現在、多くの企業で在宅勤務の導入が進んでいます。必要なときは出社し、それ以外のときは在宅勤務といった、業務内容に応じて働く場所を選択できる社会になってきました。
政府の後押しなどもあり徐々に浸透していた在宅勤務は、新型コロナウィルスの感染拡大をきっかけに、より一般的になりました。コロナ禍は長期化しており、今後も働き方の選択肢の一つであり続けると考えられます。
在宅勤務では通勤時間が削減され、その時間を家族との団らんや趣味、自己研鑽に充てることができるなどの恩恵があります。一方で、自宅や出先など社外でPC等のデバイスの利用が増えた結果、企業のシステム管理者にとっては頭の痛い問題も生まれています。
これまでの企業ネットワークは、データセンタや本社などの大規模ハブ拠点に各支店の通信を集約し、ログの収集やセキュリティポリシーを適用してきました。そして、インターネットのような外部ネットワークとの境界にセキュリティデバイスを配置し、その内側にPC等のデバイスやユーザを配置する「境界型セキュリティ」によって外部の脅威から守ってきました。
それが、在宅勤務を中心としたリモートワークの広まりによって、企業ネットワークの外部に多くのユーザとPC等のデバイスが配置されるようになり、従来のハブ拠点集約型のネットワーク構成では一貫したセキュリティポリシーの適用が難しくなってきました。
具体的にはどのような課題があるのでしょうか?以下にいくつかの例を挙げてみました。
オフィス内のデバイスは、従来のハードウェア型ファイアウォールやプロキシを経由して外部へアクセスしますが、自宅や出先のデバイスは直接インターネット上のクラウドサービスにアクセスするため、セキュリティ施策やログ管理にギャップが生じます。
この対策として、自宅や出先のデバイスを企業のVPNゲートウェイに接続させ、一旦社内を経てインターネットへアクセスさせる方法がありますが、VPNゲートウェイ側の負荷が新たな課題(後述)となります。
「境界型セキュリティ」の環境下では、一旦、攻撃者の不正侵入やコンピュータウィルスが持ち込まれてしまうと、内部ネットワークや他のデバイスへの横展開により被害が拡大します。また、リモートワーク等で境界型セキュリティの外で稼働しているデバイスは、よりサイバー攻撃の脅威にさらされやすい状況を生んでいます。
社内システムへの安全なアクセス手段としてVPNゲートウェイを利用していたケースでは、リモートワークの増加により回線の帯域不足が露呈、またVPNゲートウェイへのアクセスが集中し性能限界を超過、「通信が遅い」「接続しづらい&できない」といった問題が発生します。その対策のための回線増強、機器更新(高性能化)には、いずれも多くの時間やコストがかかります。
クラウドサービス宛のセキュリティがファイアウォールベースのトラフィック制御のみである場合、個々のクラウドサービス上で扱われるデータ内容やクライアントの操作内容に踏み込んだ制御ができないといった状況が発生します。
昨今のクラウドサービスの利用拡大により、PC端末からのTCP通信(セッション数)が増大、それに伴いハブ拠点側のファイアウォールやプロキシの負荷が大きくなっています。一方で、リモートワーカーが増えたことにより拠点間のWANを経由しない通信も増加していると考えられます。このようなWAN利用状況の変化に対応するため、WANを可視化し経路制御による効率化や、必要に応じてWAN利用内容そのものの見直しが必要です。
■リモートワークの浸透による新たな課題
SASEは、企業の拠点外のユーザ、デバイス、アプリケーション、サービス、データに対するアクセス要件の増加に対応するためのソリューションとして近年注目されています。
SASEの主要機能として、以下が挙げられます。
●SWG (Secure Web Gateway):
安全なWebアクセスを行うためのWebセキュリティソリューション。提供機能は製品によって異なるが、URLフィルタリング、コンテンツフィルタリング、アンチウィルスやマルウェアのスキャン、情報漏洩防止(DLP)等。
●FWaaS (Firewall as a Service):
クラウド提供型のファイアウォール。オンプレミスのファイアウォールと同様、オフィス(本社/支店)やモバイルユーザのインバウンドとアウトバウンドのトラフィックについて、ポリシーに基づいた許可・拒否を行う。どのユーザにも一貫したセキュリティ設定が可能で、スケーリングの柔軟性に富む。
●ZTNA (Zero Trust Network Access):
「全てのアクセスを信頼しない」というゼロトラストの考え方を取り入れたセキュリティソリューション。ネットワーク全体へのアクセスを許可するレガシーなリモートVPNとは異なり、ユーザからのアクセス要求が発生する度にユーザの身元や端末のセキュリティ状態を検証し、事前に定義された条件に基づき特定のアプリケーションまたはリソースへのアクセスを動的に許可する。
●CASB (Cloud Access Security Broker):
ユーザとクラウドサービスの間に配置され、ユーザ行動の可視化と分析、企業ポリシーに沿った通信制御、データの操作や更改制限等のデータセキュリティ、マルウェア検知等の脅威対策等、クラウドサービス利用時のセキュリティ対策を行う。
●SD-WAN (Software Defined - Wide Area Network) :
拠点と拠点を結ぶWANの最適化を行うソリューション。ONUG(Open Networking User Group)が、技術要件10か条を定めている。日本では、ゼロタッチプロビジョニング(ZTP)、トラフィックのアプリケーション識別とWANの動的利用の組合せ、ローカルブレイクアウト(インターネットブレイクアウト)がよく使われている。
一つ一つの機能について、専用製品を検討中の方や既に導入を行われた方も多いのではないでしょうか?SASEではこれらの機能群が纏めて単一ベンダーで提供されており、運用・管理を簡易化できます。
また、SASEはこれらの一元管理されたセキュリティ機能を広範囲に適用することができるソリューションです。そこで、前述の「リモートワーク主体の企業ネットワークの課題」にあてはめて解決策を考えてみます。
⇒解決策: FWaaS、SWG
レガシーなハードウェアNGFW(次世代ファイアウォール)を廃し、代わりにFWaaSを用いてファイアウォール機能をクラウド上に置くことで、社内外デバイスへ一貫したセキュリティポリシーの適用を行います。
SWGを用いてURL&コンテンツフィルタ、アンチウィルス、マルウェア検出、情報漏洩防止(DLP)等を行い、Webベーストラフィックに対しての安全性も確保します。また、プロキシ型SWGは既存プロキシの代替としても作用し、オフィスのみならずリモートワーカーのアクセスログを収集・管理することができます。
⇒解決策:ZTNA
ユーザのアイデンティティやデバイスのセキュリティ状態を検証した上で通信を許可します。エンドポイントセキュリティの有無、OSやブラウザの種別とバージョン等、企業ポリシーを満たす正規のデバイスかつ正規のユーザであることを、企業リソースやクラウドサービスにユーザがアクセスする度に確認します。
⇒解決策:ZTNA
ユーザは、SASEベンダーが提供するクラウド上のゲートウェイであるSASE PoP(Point of Presence)に一旦接続した上で、企業リソースやクラウドサービスといった各種アクセス先と通信します。このことで、VPN接続時のアクセス集中に由来する問題が解消されるだけでなく、VPN用の回線確保が不要となり、オンプレミスのハードウェアVPNゲートウェイを廃止できるため、回線増強や機器更新に由来するコストや時間を節約することが可能になります。
⇒解決策:CASB
CASBを用いてクラウドサービスの利用状況を可視化・分析し、ユーザのデータ操作に対するセキュリティを企業ポリシーに沿って一元的に実行します。リスクのあるクラウドサービスへのアクセスを制限しマルウェア検知等の脅威対策も併せて実施します。
⇒解決策:SD-WAN
SD-WANによるトラフィックの可視化・分析を行いユーザ、アプリケーションごとのWANの利用状況を明らかにします。信頼されたビジネストラフィックはローカルブレイクアウトを行う等、WANリソースを効率的に制御します。WANの利用状況によっては既存WANの統廃合や契約内容の見直しといったWANの棚卸しを実施します。
■SASEによる解決策
2021年12月現在、様々なベンダーがSASEソリューションとしてサービスやコンポーネントを提供しています。例えばネットワーク、ファイアウォール、CASB、SWG、SD-WAN、CDN等、元々そのベンダーが得意としていた領域を軸にして、新たな機能の実装や買収によってSASEに発展させているケースが多いようです。
また、SASEソリューションを謳っていても、上記のSASEの機能群の実装状況や成熟具合はベンダーによって様々です。このような背景もあり、企業はSASEとして導入すべき機能を検討すると共に、SASEベンダーの得意領域が自社の求めている要件に合致するかを検討することも重要となります。
リモートワークの普及による働き方の多様化に対して、SASEは懐深く対応できるソリューションであることをご理解頂けたかと思います。
SASE製品は提唱されたコンセプトをベースに各ベンダーの実装が進んでいる状況で、製品によって特長やメリットも様々です。三井情報はネットワーク・セキュリティ・SD-WANの各分野で幅広い導入実績をベースとして様々なSASE製品の取り扱いがあり、お客様の導入計画に合わせて段階を追った提案・構築が可能です。興味がございましたら是非お問合せ下さい。
次回のSASEコラムでは、当社取扱いSASE製品の中からCisco SASEにつきまして、コンポーネントの紹介、メリットやユースケースをお届けする予定です。
山本 洋之
次世代基盤第一技術部 第二技術室
SD-WAN製品及びSASE製品の検証及び提案・構築・PoCの支援などに従事。
Cisco SD-Accessの肝!「グループベースアクセス制御」を紐解く!
|
|
コラム本文内に記載されている社名・商品名は、各社の商標または登録商標です。 |