業務データはクラウドへ、ユーザはモバイル環境へ、企業のITインフラ環境を社内・社外という切り口で考えることが難しくなってきました。
データやユーザが社外にある中でセキュリティとパフォーマンスを確保するため、クラウド型のネットワークセキュリティソリューションが続々と発表されています。調査会社ガートナーは2019年8月に「The Future of Network Security Is in The Cloud」というレポートの中で、ネットワークとセキュリティの新しい概念をSASE(Secure Access Service Edge)と定義しました。SASEをスムーズに組織に適用するために、事前にチェックしておきたい事項を挙げていきます。
SASEのネットワーク構成
業務環境のクラウド・モバイルシフトに伴い、適切にポリシーやログを管理するためにもユーザトラフィックのインターネットの出入りをどうするかは重要です。
従来の社内ユーザもモバイルユーザも全て、一旦データセンターに集合してから出ていく形態のままでは、データセンターがボトルネックになりかねません。
-
インターネットの経路
社外ユーザにとってインターネット上のクラウド利用時のパフォーマンスが一番良いのは、拠点から直接インターネットに出ていくインターネットブレイクアウト構成です。
-
各拠点に設置する機器
各拠点のセキュリティポリシー施行のためにSASEソリューションを適用するには、多くの場合、IPSecやGREのVPNトンネルで接続します。既存の機器にVPN機能がある場合はそのままお使いいただくこともできますが、構成によってはバックアップ設備への切り替えや、アプリケーションに応じてトラフィックの振り分けを設計する必要があります。ご利用方法に応じて、ネットワーク設計をした上で適切な機器を選択する必要があります。
-
ルーティング
SASEのソリューションには現時点で大きく3つのタイプがあります。ファイアウォール型、SD-WAN型、プロキシ型です。拠点間VPNやリモートアクセス環境を考慮する場合、ファイアウォール型とSD-WAN型であれば制御機能も搭載していますがルーティング設計が必要となります。インターネットに出られさえすればよい場合は、プロキシ型であればブラウザのプロキシ設定などでトラフィックを向けるだけですむため、ルーティングの考慮は少なくてすみます。
-
ネットワーク部門とセキュリティ部門の協業
ガートナーのレポートにも記載されていますが、SASEの検討にあたっては、ネットワーク担当部門とセキュリティ担当部門がそれぞれの垣根を取り払って力を合わせる必要があります。データセンター中心のセキュリティ境界があったネットワークから、ユーザを中心としたポリシーベースのネットワークセキュリティを実現するためには、ネットワーク、セキュリティ両方の既存構成の知識や設計スキルが不可欠です。そのために上部マネジメントは、組織を見直したり、プロジェクトに向けた予算や人員の調整等の配慮が欠かせません。
SASEとユーザ認証
これまで、社内ネットワークは安全、社外のインターネットは危険、という切り口で物事をとらえ、その境界を関所として守ってきましたが、クラウドの時代は、「許可されたユーザが許可されたアプリケーションを使う」というアイデンティティ(ID)ベースの認証が基本となります。SASEもユーザのID登録を前提としています。
-
外部認証サービス
Office 365の普及につれて、ADFS, Azure AD等のマイクロソフトが提供するサービスや、onelogin, Okta等のサービスの利用が増えています。これらのサービスとSASEソリューションとの相性は良く、SAML 2.0をサポートするものであれば、おおむねSASE適用とすることができます。但し、一部例外もありますので、都度確認は必要です。
-
社内ネットワーク上にあるRADIUSやActive Directory
一部ですが、社内認証システムまでサポートするSASEソリューションも存在します。ただし、インターネットから社内への認証トラフィックをどう通すかが課題となり、そこにセキュリティ上のリスクができたり、追加オプションが必要でコストが跳ね上がるなど、デメリットもありますので、外部認証サービスへの移行も併せて検討されることをお勧めします。
-
SASEソリューションへのユーザ登録
認証サービスが無い場合でも、ほとんどのSASEソリューションは、管理者画面から直接ユーザIDとパスワードを登録する機能を持っています。ただしこの場合はパスワード変更やパスワード忘れの対応を管理者自らが行うことになるため、セキュリティベンダー各社は、100名以上での利用は推奨していません。また、最初は直接登録で、そのうち外部認証サービスを使いだしたらそちらに移行できればよいのですが、サービスによっては認証方式の変更が全くできないものもありますので事前の考慮が必要です。
SASEとデバイス
SASEはPCのみならず、スマートフォンやタブレットといったモバイルも含めたデバイスへのサービス展開方法についても事前に検討しておく必要があります。
-
サポートOS
SASEは世界的な規模で設備を展開しているので、通常、Windows, MacOS, Apple iOS, Android等、世の中で使用されている多くのデバイスのOSに対応し、最新バージョンへの対応も迅速に行われています。ただし、Windows 10の長期サービスチャネル版(LTSC: Windows 7以前と同様に2-3年単位のアップグレード、10年の長期サポートを約束するもの)は対象外のケースもあり、全てのものがサポートされている訳ではありません。
-
エージェントや証明書の配布
多くの場合、モバイル環境での利用には提供されるエージェントソフトと証明書をデバイス側に導入する必要があります。特に注意すべきは、海外などの遠隔地にそれをどう配布し導入してもらうかと、利用中のデバイスや他のアプリケーションとの相性が良いかです。PCの場合ではファイルで渡すことができますが、スマートデバイスの場合はMDMを使うこともあります。
-
実証試験(PoC)によるエンドツーエンドの疎通確認
SASEはユーザのアプリケーション利用を制御可能となるため、デバイス側の特性と、業務上必要なアプリケーションの把握が最も重要です。アプリケーションの情報をヒアリングだけで入手することは難しいため、導入前には必ず自社環境における機能検証(PoC:Proof of Concept)を実施し、一定期間アプリケーションを使ったうえで、支障が出ないかどうかを事前に確認しておくことをお勧めします。
【ホワイトペーパー】5分でわかる!Secure Access Service Edgeの価値
ネットワークとセキュリティの融合
SASEの適用、あるいはもっと広くとらえて、クラウド時代のネットワークとセキュリティを考えるには、両方の知識と自社のアプリケーションと業務内容の理解が必須となります。
ここまでご紹介したとおり、既存ネットワーク構成の見直しや認証システムの利用など、手間もコストもかかるように思えますが、全社統一したポリシー適応による運用やアクセスログ保管によるセキュリティインシデント対応の効率化など、これまでのやり方では管理しきれないビジネス要件に対応できる利点が数多くあります。クラウド利用を加速されている企業ほど、まずはリモートアクセスや海外拠点での利用からSASEを検討されることをお勧めします。
“New Normal” リモートワークの必須ソリューションへ
特に2020年のコロナショックを受けてSASEは新しいプラットフォームの主役になりつつあります。
SASEの利点はリモートアクセスの設備逼迫の課題解決だけにとどまりません。
TeamsやZoom、WebexなどのWeb会議ツールが当たり前になればなるほど、そこからの情報漏洩のリスクは増すばかりです。在宅から直接インターネットに出て、ファイルをやりとりしてまってはどうしようもありません。
リモートワーク時のセキュリティについても通過するトラフィックを全て検査することでログを残し、マルウェア感染への対処のみならず、CASBの機能を適用させたり、クライアントの挙動から振る舞い検知、DLPなどにも拡張させて利用することができます。
ログを1つに統合しているため、SIEMによる突合の手間やコストも省略でき、アラート数の削減にも貢献します。
境界がないからこそプラットフォーム化して1つに統合することで、ネットワークとセキュリティの抱える課題も1つで解決できるSASEについて是非ご相談ください。
【ホワイトペーパー】コスト削減!ゼロトラスト実現!肥大化したITインフラを戦略的IT投資に