関連するソリューション
マネージドサービス(運用・保守)
サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一
こんにちは。CSS部 エバンジェリストの内山です。
クラウドやモバイルの積極的な活用、そしてテレワークに代表される柔軟な働き方は、既存のネットワーク構成に幾つかの問題をもたらします。
これらの問題は、クラウド時代における新たなネットワークセキュリティモデル
「Secure Access Service Edge (SASE:サシー)」
によって解決されることが期待されています。
企業のデジタル変革、ひいては企業の成長や競争力強化のためには、クラウドの積極的な活用は必須であることに異論はないかと思います。
つまり、企業のデジタル変革、クラウドの積極的な活用には、この「Secure Access Service Edge (SASE:サシー)」が企業ネットワークの重要コンポーネントになってくると考えています。
そこで、本稿では、この「Secure Access Service Edge (SASE:サシー)」の概要についてお話したいと思います。
【Secure Access Service Edge (SASE) の登場】
Secure Access Service Edge (SASE) とは、2019年8月に Gartner 社が公開した「The Future of Network Security Is in the Cloud」
[1]
で新たに定義されたネットワークセキュリティモデルです。
Gartner 社は、デジタルビジネスの変革には、いつでもどこでもアプリケーションやサービスにアクセスする必要があり、そしてアクセス先の多くはエンタープライズネットワーク(データセンター含む)ではなくクラウドにあるとしています。
そのため、ネットワークやセキュリティを管理しやすい状態に保ち、デジタルビジネスの変革を機敏にサポートする必要性が市場の主な原動力になり、その結果、下図のとおりネットワークサービスとネットワークセキュリティサービスが統合されるとしています。
出典:The Future of Network Security Is in the Cloud [1]
これを
「Secure Access Service Edge (以降、SASE)」
と呼びます。
SASE は包括的な WAN サービス( SD-WAN
[2]
や CDN
[3]
等)とネットワークセキュリティサービス( SWG
[4]
、CASB
[5]
、FWaaS
[6]
等)を提供するクラウドベースのソリューションです。
クラウドからネットワークセキュリティを提供するため、ユーザーや拠点の場所がどこであろうと、アプリケーションやパブリッククラウド、インターネットへ安全にアクセスすることを実現します。
まさに、Gartner 社のリサーチレポートのタイトルのとおり、
「ネットワークセキュリティの未来はクラウドにある」
と言えますね。
【クラウドやテレワーク時代における懸念】
冒頭でもお話したとおり、クラウドの積極的な活用やモバイルによるテレワークの浸透は、既存のネットワーク構成に問題をもたらします。
下図は、インターネットへのアクセスを集約しデータセンターに配置されたセキュリティ機器で Web のトラフィックを検査する構成です。
インターネットへのアクセスは Proxy を介してアクセスします。これは本社や地方拠点は勿論のこと、外部のモバイル端末がVPN経由で社内ネットワークに接続する場合も同様です。
簡便に表現していますが、図のファイアウォールのアイコンは複数のセキュリティ機器(ファイアウォール、IPS、アンチウイルス等)とお考え下さい。
ネットワークは集約型であるため、セキュリティポリシーの適用や防御を一か所でまとめて実施できるメリットがあります。
クラウドやテレワークを積極的に活用する時代においては、このようなネットワーク構成では以下のような問題が考えられます。
1.パフォーマンスの問題
既存のネットワーク構成は集中型であるため、社内アプリのクラウド化が進むとインターネット通信が増加します。
その結果、インターネット回線、ファイアウォールや Proxy 等がボトルネックになることが考えられます。
また、地方拠点やモバイル端末からのクラウド利用により WAN 回線や VPN 回線が逼迫します。
インターネット通信の増大により、アクセス速度の低下や不安定な状態を引き起こし、ビジネスの効率性を下げるリスクが生じます。
2.セキュリティの問題
モバイル端末からダイレクトにインターネット接続を許容している場合、データセンターのセキュリティ機器による境界チェックを受けないことになります。
これはオフィス内の社内ネットワークに接続している端末とモバイル端末に適用するセキュリティポリシーにギャップが生じていると言えますね。
その結果、例えば以下のような状況が生じることになります。
・マルウェア感染リスクの増加
・情報システム部門が管理できないインターネット通信の増加
・シャドー IT の利用
・煩雑なセキュリティ管理(例:モバイル端末を社内ネットに接続する前にフルスキャン実施など)
これは、パフォーマンス問題を解決するためだけに、地方拠点から個別回線でインターネット接続を許容する場合も同様の状況が生じることになります。
また、VPN による社内ネットワーク接続には、セキュリティ上のリスクが存在する場合があり注意が必要です。
なぜかと言いますと、VPN 自体は接続するユーザー自身の正当性を確認したり、モバイル端末の状態を確認することはないからです。
一旦、VPN ゲートウェイで認証されたリモートユーザーおよびモバイル端末は、本当に信頼できるか不確かな状態のまま内部ネットワークへのアクセスが許可されてしまいます。
これは、何らかの手段で認証情報を窃取した攻撃者や感染したモバイル端末にとって、攻撃対象領域を大きくしている状況にあると言えます。
3.その他の問題
インターネット通信の増加によりファイアウォールや Proxy 等がボトルネックになる場合、これらの拡張を行わなければなりません。
オンプレミス機器ゆえの保守作業や更改計画の策定といった管理上の負荷も見過ごすことはできませんね。
その他、通信コストや VPN 接続コストの増加といったコスト上の問題も起こりうると言えます。
【ネットワークセキュリティの未来はクラウドに】
本稿の冒頭で、クラウドやテレワーク時代で懸念される問題は SASE で解決されることが期待できるとお話ししました。
以下は SASE によって場所を問わずにクラウドやインターネットへのセキュアアクセスを実現する概念イメージを表したものです。
前述の「既存のネットワーク構成」と異なり、インターネットアクセスは分散型となり、SASE のセキュリティ機能で一貫したセキュリティポリシーをかけることができます。
これにより、ユーザーや拠点の場所がどこであろうと、アプリケーションやパブリッククラウド、インターネットへ安全にアクセスすることを実現します。
Gartner 社によると、ユーザー/デバイス/アプリケーションといったエンティティは、ID、リスクや信頼性スコア、場所や時間等のコンテキストをもとに動的に生成されたネットワークとセキュリティポリシーが適用されるとしています。
前項でお話した懸念点をふまえると、SASE を導入することで得られるメリットがよくお分かり頂けるかと思います。
(当然ながら、得られるメリットはこれに限りません)
<<SASE 導入で得られるメリット例>>
・アクセス遅延を低減した結果、パフォーマンス向上が図られ、結果、ビジネスの効率性がアップする
・クラウドから一貫した強力なセキュリティポリシーを適用できる
・ネットワークの複雑さの解消や不要になったオンプレミス機器を撤廃し、コストを削減できる
・統合サービスによる管理の一元化によって、情報システム部門の運用が改善し生産性が向上する
ネットワークセキュリティの未来はクラウドにある、まさにそんな気がしてきませんか?私はワクワクしてしまいます。
SASE の市場は始まったばかりです。
Gartner 社によると、2024年までに少なくとも40%の企業が導入計画をたてると予想しています。
SASE への需要はこれから急増していく、という見込みでしょうか。
リサーチレポートではこのような予測なのですが、これからの需要を見込んでか、SASE ソリューションを投入予定のベンダーも幾つかあります。
近年、デジタルトランスフォーメーション(DX)ということで、デジタルテクノロジーを活用して企業文化や風土、ビジネスモデルや組織の変革実現に大きな関心が向けられています。
今回のコラムでご紹介した SASE は、新しいネットワークセキュリティとして、企業の DX 実現を後押ししてくれる重要な要素になるのではないでしょうか。
SASE は個人的に注目しているソリューションですので、機会があれば直にソリューションを試した感想などを本コラムで紹介できたらと思っています。
それでは、次のエントリーでお会いしましょう!
------------
脚注および参考情報
[1]
Gartner:The Future of Network Security Is in the Cloud
[2]
SD-WAN
Software Defined-WANの略。ソフトウェア制御によって動的に管理・運用するWAN。
[3]
CDN
Content Delivery Networkの略。Webコンテンツを多くのユーザー端末に効率的に配布するために最適化したネットワーク。
[4]
SWG
Secure Web Gatewayの略。一般的にはURLフィルタリング、アンチウイルス、プロキシ等を統合して提供。
[5]
CASB
Cloud Access Security Brokerの略。クラウドアプリの可視化、データプロテクション、クラウドアクセスに対するガバナンスを実現。
[6]
FWaaS
Firewall as a Serviceの略。クラウド環境にホストされたサービスとして提供されるファイアウォール。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
