ゼロトラスト 2021.03.11

ゼロトラストの基礎知識　第4回「セキュリティ対策もクラウドへ」

SASE

本連載は、企業セキュリティやネットワークの新しい概念として注目される「ゼロトラスト」について解説していきます。

1.データセンター境界からクラウド境界へのデジタルシフト

2010年頃、クラウドコンピューティングが出現し、各企業は徐々に業務上での使用を開始しました。静的なウェブサイトに加え、社外のクラウド利用へのシフトにより、社員のアクセスはデータセンターに一時的に集中します。しかし、古いオンプレミスでのアクセスを想定していた機器は状況に合わせて自由に拡張することができず、データセンターはセキュリティ、通信のボトルネックとなってしまい、業務に支障が出るようになってきました。企業の情報資産はデータセンターからクラウドに移行しており、データセンター境界はもはや意味がなくなってしまいました。

2.テレワークによるサイバー攻撃の脅威

2020年4月に、新型コロナウイルス感染症の影響で緊急事態宣言が出され、各社はテレワーク環境の構築を余儀なくされました。リモートデスクトップやVPNを設定しましたが、VPNは元々少人数の社員が社外からアクセスする目的で利用されていたため、全社員がVPNでアクセスすることにより、ライセンスの不足やVPN装置の性能劣化と調達遅延、データセンターへのアクセス集中による回線遅延などを引き起こしました。

また、社外からのリモートアクセスはサイバー攻撃者にとって、またとないデータセンター境界を突破するチャンスとなり、結果的に国内でもシステム停止や暴露型ランサムウェアなどの被害が発生しました。実際マクニカネットワークスでは、同年4月にSMB（Server Message Block）やRDP（Remote Desktop Protocol）といったリモートワークを対象にしたプロトコルの増加を確認しており、脆弱性対策の注意を喚起しました。

このような状況から、企業は情報資産をクラウドへ移行する動きを見せており、VPNの代わりにゼロトラストネットワークアクセス（ZTNA＝Zero Trust Network Access）、ソフトウェア定義による境界（SDP＝Software Defined Perimeter）といった情報資産へのソフトウェア制御型サービスを利用する企業が増えてきています。

3.クラウド境界型への移行と管理工数の増加

企業は、データセンターのオンプレミス環境とクラウド環境にハイブリッドでアクセスするために、ネットワーク、セキュリティ、リモートアクセスなどカテゴリーごとに、以下のクラウド環境へ移行し始めました。

回線経路の最適化→SD-WAN
セキュリティ対策→セキュリティゲートウェイ
リモートアクセス→ZTNA、SDP

しかし、情報システム部門では、これら3つのカテゴリーと社内外のセキュリティ境界、それぞれが混在する環境の運用管理の業務が増大してしまいました。

4.新しいネットワークセキュリティの形、SASE

「SASE（Secure Access Service Edge、サシー）」は、米Gartnerが2019年夏に、「The Future of Network Security is in the Cloud（未来のネットワークセキュリティはクラウドの中）」というレポートで発表された新しい概念です。2020年の夏に同社から発表された「先進テクノロジーのハイプ・サイクル：2020年」では、「過度な期待」のピーク期に位置しています。SASEは、簡単に言うと、SD-WAN付きのUTM（統合脅威管理）がクラウドにあるようなイメージです。

（Source: Gartner"The Future of Network Security Is in the Cloud", Neil MacDonald et al., 30 August 2019　Gartner, "Hype Cycle for Emerging Technologies, 2020", Brian Burike et al., 24 July 2020　ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するようにテクノロジーユーザーに助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の責任を負うものではありません。）

5.ゼロトラストネットワークのセキュリティネットワークを統合し、楽に運用する

SASEでは、基本的に先述した3つのカテゴリー全てにまつわる機能がクラウドにてオールインワンのサービスとして提供されます。企業の通信をブレイクアウト、つまり、ネットワーククラウドを通過させることにより、多種多様なネットワークベンダー、セキュリティベンダーの機器から脱却し、運用ポリシーの統合とコスト削減が可能になります。企業のサーバーがクラウドへ移行したのと同じように、企業のファイアウォールやセキュリティ装置もクラウドへ移行させます。

これにより、例えば、事業拠点をグローバルに展開する企業では、セキュリティポリシーを一元管理できるようになります。IPS（侵入防止システム）の脅威情報のアップデート、VPNアクセスサーバーの脆弱性対策などは、最新のセキュリティ対策がクラウドの元でサービスを止めることなく、自動的に一斉に実行されます。

また、プライベートバックボーンにより世界中に置かれたアクセスポイントであるPoP（Point of Presence）を利用することで、海外拠点は日本を経由せずSD-WANによって各種クラウドサービスへの最速経路となるように制御を行え、高速かつ安全にアクセスさせることができます。

SASEに基づく環境を企業ネットワークに構築することで、エンドポイントのチェック、IDアクセス制御によるモバイルユーザーも海外拠点も社内外も区別しないベスト・オブ・ブリード（良い所取り）を使った真のゼロトラストネットワークのための境界を作ることができます。

筆者は、2017年頃に、ある大手データセンターシステム運用のお客さまから「サイバー攻撃は、データセンターの通信環境を見ていると、おかしな挙動が見つかった時に起こることが多い。将来はサイバーセキュリティ対策とネットワーク運用は融合していくのだと思う」と言われました。まさに今、「SASEがやってきた！」と感じています。

次回は、サイバー攻撃のおかしな挙動をいかに早く発見して、対策をとるかについて、解説します。