ゼロトラストネットワークはSASEで完成する?


今や、複数のクラウドサービスを利用することは多くの企業にとって当たり前だが、それらを利用しながら統合的なセキュリティを適用しようとすると、運用上膨大な手間がかかる。そうしたネットワークやサービスを効率的に運用するための方法として提案されているのが、SASEだ。

文/中尾 真二


クラウドのセキュリティソリューション、SASE

国内でも、銀行基幹システムまでもがクラウドシフトする例があるように、クラウドコンピューティングは、ベンチャーやスマホアプリだけのテクノロジーではなくなっている。中小企業から大規模エンタープライズまで、クラウド化は広がっている。

当然、セキュリティ対策もクラウド前提、クラウドシフトが求められる。だが、ひとつのシステムや業務が複数のクラウドサービスの組み合わせで構築されるようになると、企業全体を包括的に管理することが難しくなるという欠点がある。

この問題に対して、SASE(サシ―:Secure Access Service Edge)というソリューションが提案されている。

クラウドをとりまく現状

企業のクラウド化の動きに拍車をかけたのが、言うまでもなく新型コロナウイルスによるパンデミックだ。緊急事態宣言対応やソーシャルディスタンス推奨の影響で、テレワーク、リモート会議などが日常の風景にもなった。テレワークやオンライン会議に欠かせないのが各種プロバイダーのサービスとその背後にあるクラウドプラットフォームだ。

クラウド利用の浸透は、同時にイントラネットとインターネットの境界をあいまいにし、シャドーITや設定・管理ミスによる情報漏えいといった問題も引き起こしている。業務システムはオフィス以外の場所からの接続が前提となり、セキュリティのエンドポイントは社員の自宅PCやスマートフォンまで広がっている。

その結果、セキュリティ対策は、インターネットとイントラネットの境界防衛から、ネットワークを問わずアカウント、デバイス、場所による認証、そのアカウントの役割、ふるまい、操作コンテキスト、異常検知による認証・アクセス制御を基本とするゼロトラストネットワークが注目されることになった。

しかし、ゼロトラストネットワークは、あくまでネットワークセキュリティ戦略のひとつである。ネットワークの監視・認証は行うが、システム全体のセキュリティ、デバイスやサーバーなどのエンドポイントセキュリティは別である。そこで、CASB(CloudAccessSecurityBroker)や各種セキュリティサービスを利用することになるが、このようなサービスもまたクラウドアプリケーションである。

クラウド化による新たな問題

ここで新たな問題が生まれる。業務システムの多くがクラウド移行されているわけだが、それらのサービスプロバイダー、クラウド事業者はさまざまだ。同じSIerが構築したとしても、各業務アプリなどはクラウドサービス、コンテナおよびマイクロサービスを組み合わせたものであることが多い。

それぞれにセキュリティ機能はついているかもしれないが、それはセキュリティポリシーや対策を個別に設定しなければならないことを意味する。そのためにSIEM(シーム)やCASBといったソリューションもあるが、設定が煩雑になったり関連の管理コストが増えたりといったことは避けられない。さらによくないのは、統一的なセキュリティポリシーの適用がほとんど不可能になってしまうことだ。

複数のクラウドシステムのセキュリティを統合的に管理しようとすると、CASBやクラウド対応のセキュリティ機能を、既存のネットワークやクラウドサービスに介入させる必要がある。業務システムにアクセスしたり問い合わせたりするたびに、認証やデータの確認などが行われる。これは処理のオーバーヘッドを増やすことになる。

つまり、野放図なクラウドサービス利用は、管理コストの上昇を招く可能性があり、セキュリティ上でも、システムリソースの把握が困難になるなど管理上の問題が発生する。そして、運用管理やセキュリティ管理、監視機能を統合しようとすると、スループットが落ちるなどシステムパフォーマンスや業務効率にも悪影響を及ぼす。

リソースが分散するクラウドコンピューティングのセキュリティ対策

以前のオンプレミス環境では、業務システム、ネットワーク、セキュリティ機能はイントラネットの中で完結させることができた。しかし、現在のクラウド環境は、業務システム、ネットワーク、セキュリティを切り分けて考えなければならない。

統一したセキュリティポリシーの適用とパフォーマンス低下を防ぐには、このうちネットワークとセキュリティ部分を一体化する必要がある。クラウド上の業務システムやサービスはベンダーやプロバイダーが別々なので、ここを統合するには、すべてのサービスや機能を自前で実装することになり、事実上不可能だ。

しかし、ネットワークとセキュリティ部分を一体化して、どのクラウドサービスを利用しても、一元的なセキュリティポリシーが適用できれば、パフォーマンスもクラウドの柔軟性も落とさず、セキュリティを確保することができる。

システムモデルとしては、クラウド上にリソースが分散している業務システムにアクセスするネットワークをSD-WANVPNで集約する。このときインターネットや各種クラウドリソース(プライベートクラウドやAWS等のパブリッククラウド)は、ゲートウェイ(プロキシ)を経由する形で、トラフィックを交通整理する。

ゲートウェイ部分がボトルネックとなるが、各種サービスAPI、コンテナ、マイクロサービスへのセッション管理を一元化することで、無駄なトラフィックを最適化できる。また、アクセス制御や認証をゲートウェイで統合的に管理できるようにもなる。

これがSASEの考え方だ。

SASEで期待できる効果と課題

SASEは、オンプレミスからクラウド化の過程で、データセンターから外のクラウドサービスに出て行ったシステムの運用やセキュリティ管理をしやすいように、セキュリティ機能を内包したネットワーク環境を提供するものといえる。SASEをインターネットゲートウェイとして、各種クラウドプラットフォームやクラウドサービスに接続するという考え方をしてもよいだろう。

SASEは2019年にガートナーが提唱した比較的新しい概念とされる。メリットは、次の3つを上げることができる。

・クラウドへの統一的なセキュリティの適用
・パフォーマンスの改善
・運用の効率化

考え方は比較的シンプルでわかりやすいが、残念なことに、SASEの機能をまとめて提供しているサービスやソリューションはまだあまり存在していない。SASEを実現するには、契約しているネットワークに、自前で適切なクラウドサービスやSOC(Security Operation Center)サービスを構築・適用して統一的な運用・セキュリティ環境を実現するしかない。

SASEの実装事例:VMware SASE Platform

ただし、VMwareが「VMware SASE Platform」というソリューションを展開している。VMwareのソリューションは、SD-WANの機能をベースに自社ネットワークの構造や設定を任意にできるようになっている。セキュリティ機能としては、クラウドアプリのアクセス制御、ユーザー認証、ネットワーク監視(脅威検知)などがサポートされる。

ユーザーから見ると、これまでインターネット、専用線、VPNなどTPOやデバイスに応じてアクセスしていたクラウドサービスや業務システムのすべてはVMware SASE PlatformのSD-WANを経由してアクセスすることになる。SD-WANなので、ネットワーク構成とセキュリティの設定は、要求に応じて任意の設定が可能なうえ、ソフトウェアによる一元管理も可能になる。

SASEは、ソリューションプロバイダーがまだ少ないので、導入にあたってはユーザー企業側にもクラウドシステムの設計スキルや運用スキルが求められる。導入コストもそれなりにかかるので、すべての企業がすぐに導入できるものでもない。SASEは今後も延びる可能性が高い市場でもあるので、ソリューションはさらに増えてくると思われる。そうなれば、導入ハードルは下がってくるだろう。

Windows 365との違い

類似のソリューションにWindows 365がある。これはWindows OSのVDIサービスの一種だが、基本的なセキュリティ機能も提供される。業務会計や顧客管理、ECサイトなどの業務システムの多くをパブリックなクラウドサービスで利用している企業で、社内PC環境に複雑な設定が必要なければ、セキュリティ機能はWindows 365(Defender)に任せる運用もある。

これも、セキュリティ機能とネットワーク(クラウドアクセス)機能を一体化したという点で、一種のSASE運用と見なすことができる。

しかし、Windows 365はあくまでVDI、仮想デスクトップサービスの一種である。管理ドメインはリモートのアクセス回線とクラウド上の仮想Windows OSである。それ以外の業務システムや外部サービスとの連携や統合管理は、Azureの機能やActiveDirectory、Azure Sentinelのようなセキュリティ機能を組み合わせる必要がある。

筆者プロフィール:中尾 真二(なかおしんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。