もはや十分に機能しなくなった「境界」での防御
企業ネットワークのセキュリティは今、大きな転換期に来ている。もともとクラウドやSaaSの利用が促進される動きが活発化されてきた中、さらに特にこの1年半でテレワークが浸透したからだ。
従来のように多くの従業員がオフィス内で働き、オンプレミスのアプリケーションにアクセスしていた頃は、外部からの脅威は企業ネットワークの境界である程度防御できた。旧来のファイアウオールに加えて、通信内容もチェックして不正アクセスを防御する IDS(侵入検知システム)/IPS(不正侵入防御システム)やWebアプリケーションの脆弱性の不正利用を防止するWAF(Web Application Firewall)などを組み合わせることで、脅威の社内への侵入をブロックできたからだ。しかしクラウドやSaaSの利用とテレワークが主体になれば、このような「境界型防御」はもはや通用しなくなる。従業員は端末を自宅や外出先などから直接インターネットに接続し、クラウドやSaaSへアクセスするケースが増えるためだ。
もちろん社外からのアクセスをすべてオンプレミスデータセンターのVPN装置で受け、そこから必要なセキュリティを課した上で外部へ接続させるというアプローチもある。しかし、そのためには十分なキャパシティを持ったVPN装置と通信帯域、オンプレミスデータセンターにおけるセキュリティ装置のキャパシティ増強を用意しなければならない。また、これらの運用コストも増大する一方だ。前述の通り社外のSaaSやクラウド上のアプリケーションを利用する業務の増加と、テレワークユーザーによるWeb会議利用の増加を考えると、「このようなオンプレミスの設備投資や運用に対するコストを増強することが果たして今後も最適なアーキテクチャなのか?」という課題に直面する。
このような状況下で、今後、どのような仕組みを確立すべきなのか。キーワードとして注目されるようになったのが「ゼロトラスト」であり、「SASE(サシー)」である。ここでは2021年10月13日に行われたオンラインセミナーの内容を基に、ゼロトラストやSASEに必要な仕組みをひもときながら、今後のセキュリティの在り方について考えてみたい。
ゼロトラストとSASEを手間なく導入・運用するには?
クライアント・ソリューションズ統括本部 Dell Endpoint Security
柳田 俊樹氏
「ゼロトラスト」とは、むやみに「境界の中は安全」と考えるのをやめ、すべてを常に検証するというアプローチ。既に多くのセキュリティベンダーが、ゼロトラストを念頭に置いた製品やサービスをリリースしている。
ゼロトラストには様々な要素が必要になるが、その中の1つが「ゼロトラストネットワーク」だ。ネットワークにおいて、ゼロトラストを確立するには、従来のように、ファイアウオールなどを社内に設置するだけでは十分ではない。社外にある端末からクラウドやSaaS そして社内システムにアクセスすることが前提となるからだ。そこで続々と登場したのが、クラウド上でサービスとして提供されるVPNや、SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)などの新たなソリューションである。
「しかしこのようなセキュリティソリューションが乱立してしまうと、システム全体が複雑化し、運用が煩雑になるだけではなく、セキュリティホールも生まれやすくなります。そこで新たにガートナーが提唱したのがSASE(Secure Access Service Edge)です」とデル・テクノロジーズの柳田 俊樹氏は語る。
ゼロトラストネットワークを実現するには、主要なものだけでも10種類の機能を実装しなければならない。「しかしSASEなら、それらを統合してクラウドサービスとして提供することで、複雑な通信をシンプルかつセキュアにします」と柳田氏。また、すべての通信がここを経由することでシャドーITが可視化されることも大きなポイントだ。つまり、テレワーク端末が適切に利用されているのかも把握しやすくなるわけだ。
テレワーク支援の柱の1つとなるVMware SASE
ネットワーク&セキュリティ事業部
ネットワーク&セキュリティ技術統括部 リードスペシャリストエンジニア
濤川 慎一氏
それではSASEを実現するには、具体的にどのようなサービスを利用すればいいのか。その代表として挙げられるのが「VMware SASE」である。
「VMwareではテレワークを支援するソリューションコンセプトとして『VMware Anywhere Workspace』を提唱していますが、その柱の1つとなっているのがVMware SASEです。現在、その中身は大きく3つのコンポーネントで構成されています」とヴイエムウェアの濤川 慎一氏は説明する。
1つ目は「VMware Secure Access」。これはクライアントからのVPN接続をクラウドサービスとして受け付け、アプリケーションに対する接続要求に最適で安全な通信経路を提供するためのものだ。VPNの種類としては、クライアントからの全トラフィックを暗号化トンネルで受け付ける「フルデバイスVPN」と、指定したアプリケーションのトラフィックだけを暗号化トンネルでやり取りする「アプリケーションベースVPN」が用意されている。
「アプリケーションベースVPNであれば、管理者が指定したアプリケーションだけが社内システムや業務利用のSaaSなどに接続できるようになるため、安全性をよりきめ細かく管理できます。またBYODの場合では、私用アプリケーションからの通信をブロックすることも可能です。さらに追加オプションを利用すれば、デバイスのコンプライアンス状態が適切かどうかをチェックして接続可否を判断する、といったことも提供可能になります」(濤川氏)
2つ目は「VMware SD-WAN」。Secure Accessが端末単位での接続、通信最適化を可能にするのに対し、これは拠点からの接続とトラフィックに対して最適化を提供するもの。「もともとはブランチオフィス向けに提供されてきたサービスですが、最近の在宅ワーク需要に応じて自宅からの業務アプリケーションに対するネットワークアクセスを高品質化したいといった要望も増えてきました。そのため当社では個人宅での利用に向けた低価格ライセンスをセットにした『WFH(Work From Home)パッケージ』も提供しています」濤川氏は話す。
セキュリティ機能が継続的に追加できることが重要に
なおVMwareは「Gartner Magic Quadrant」のSD-WAN分野において、4年連続でリーダーポジションを獲得している。その理由の1つがDMPO(Dynamic Multi Path Optimization)と呼ばれる独自技術の存在だという。
「VMware SD-WANはDMPOというプロトコルを実装しており、単に拠点間通信を暗号化して接続するだけではなく、時間や地域といった環境によって変化するインターネット回線を継続的に監視し、その都度必要に応じてアプリケーションのパフォーマンスを最適化することが可能です。これによってユーザーのアプリケーション利用に対しての体感速度を高めることが可能で、第三者機関の評価レポートによれば、環境に応じて劣化するアプリケーション利用において、VoIPで45%、ファイルのダウンロードで71%の改善効果が確認されています」濤川氏は説明する。
Secure AccessとSD-WANは、ゼロトラストに求められる「ネットワーク機能」をサービスとして提供するものだ。これに加えVMware SASEでは「セキュリティ機能」もサービスとして提供している。それが3つ目のコンポーネントである「VMware Cloud Web Security」だ。
「Cloud Web Securityはいくつかのセキュリティ機能により構成されています。最初のポイントになるのが『SSLの復号化』です。最近のインターネット通信の多くはSSL/TLSで暗号化されているため、セキュリティ精査を実施するためには暗号を解いて中身をチェックする必要があります。この機能をオプションではなく標準で提供しているのは、VMware SASEの特徴の1つです」(濤川氏)
また、安全なWebアクセスのために「URLフィルタリング」も提供。Webサイトのカテゴリー分けによる安全性評価だけではなく、最新の脅威情報を反映した保護も可能になっている。通信でやり取りされるコンテンツにマルウエアが含まれていないかどうかは、シグニチャベースの「アンチマルウエア」と仮想環境で実際にファイルを実行して脅威を精査する「サンドボックス」でチェック。これにより既知のマルウエアだけではなく、ゼロデイ攻撃で使用される未知のマルウエアにも対応が可能だ。
そして2021年8月には「CASB(Cloud Access Security Broker)」も追加された。これはクラウドサービスの利用状況を可視化/制御する機能。クラウドサービスへの適切なアクセスコントロールも実現されているという。このようにクラウド上でのセキュリティをサービスとして享受することのメリットとして、新たなサービスを素早く利用開始することができる点が挙げられる。VMware SASEでは、今年度後半から順次 Cloud Web Security に対して新たな機能追加を予定しており、さらに Cloud Web Securityとは異なる新たなセキュリティサービスの提供も今後予定している。
「VMware SASEはクラウド上でサービスとして提供されているため、必要に応じて機能拡張を行うことが容易です。これなら新たな攻撃手法への対応も可能になり、長期的に安心して使い続けられるはずです。デル・テクノロジーズではエンドポイント、クラウド、ID管理、インシデント対応・自動化など様々なソリューションを提供していますが、VMware SASEもこれからのセキュリティ対策に不可欠なソリューションだと考えています」と柳田氏は話す。
今や、すべてのエンドポイントが常にサイバー攻撃の対象になり得る時代となった。利用するアプリケーションも多くはクラウド上で提供されている。このような状況変化のもと、従業員と会社のデータ資産を守るためには、従来のような『セキュリティ・ネットワークの設備を購入し、運用しながら使う』という考え方から『必要なセキュリティとネットワークを需要に応じてクラウドサービスとして利用する』といった発想の転換をしていくことが重要だといえるだろう。
日経BP社の許可により、2021年10月29日~ 2022年1月27日掲載 の 日経 xTECH Active Special を再構成したものです。
