次世代セキュリティ「SASE」対応がアフターコロナを見据えた働き方に不可欠な理由
コロナ禍によるリモートワークの急速な広がりは、ネットワーク・セキュリティの問題を顕在化させた。その解決策として、ガートナー社が提唱する「SASE」(サシー)が注目されている。本連載では「SASEとは何か」や「SASEを実現するための5つのミッション」を紹介してきた。最終回となる今回はこれまでの連載を振り返りつつ、アフターコロナを見据えたニューノーマル時代の働き方に不可欠なSASE対応について整理する。
1.SASEが必要な背景と採用によるメリット
2020年はコロナ禍で急速に広がったテレワークに伴うネットワーク・セキュリティの脆弱性を狙った攻撃が相次いだ。大手ゲームメーカーから35万件の顧客情報が漏洩し、その後も身代金目的で不正アクセスを試みる悪質な攻撃は後を立たない。
日本企業の多くは、これまで「境界線型」と呼ばれるファイアウォールの内側を守る、城塞都市型の防御セキュリティ対策を実践してきた。そうした企業が、テレワークによる社外からのアクセスの急増に対応し切れず、ハッカーに弱みを晒す「セキュリティ・ホール」を空けてしまい、被害が拡大してしまった。
こうした被害を食い止めるために、次世代のセキュリティ対策として「SASE」が注目されている。また、アフターコロナを見据えた柔軟な働き方においても「社内からしか安全なアクセスができない」という利用環境は多くの課題を残す。そのため、境界線型の防御システムに代わってインターネット全体を大きなネットワーク環境と捉えて、その中で安全なクラウドサービスの利用を提供するSASE対応を検討する企業が増えてきた。
SASEの採用には、多くのメリットがある。その代表的な6つを紹介する。
・複雑さとコストの削減
・パフォーマンス(性能)とレイテンシー(遅延)の改善
・エンドユーザーの使いやすさと透明性の向上
・IT管理の簡素化とメンテナンスの削減
・より良いセキュリティ
・ゼロトラストアプローチの導入
この中でも、特にゼロトラストアプローチは、SASEの主要機能の一つだ。ゼロトラストはセキュリティ対策の基本原則として、あらゆるアクセスを最初から疑ってかかる取り組みだ。ゼロトラストはアクセスしてくるものは全て信用せず、コンテキスト(状態・条件)を基に検証することで脅威を防ぐ考え方になる。
2.SASEの基本原則
SASEの実現には、5つの基本原則がある。
・クラウドベースのサービスアーキテクチャ
・ポリシー決定のポイント
・センター側での可視性とログ取得
・モバイル向けネットワーク・セキュリティ
・遅延に敏感なセキュリティコンピュータ
「クラウドベースのサービスアーキテクチャ」は、あらゆるソリューションがクラウド中心となる将来の企業情報システムを前提に、セキュアなアクセスを実現できる環境構築を目指すこと。「ポリシー決定のポイント」は、セキュリティ対策における各種の技術的な設定や保護方法に関して、常にネットワークを介して柔軟に驚異に備える技術の導入を意味する。そのために、基本的には外的な要因をすべて驚異と捉える「ゼロトラスト」が重要になる。
「センター側での可視性とログ取得」では、セキュリティの管理者や監視組織が、クラウドサービスを利用する社員の端末の利用状況を常に可視化できる仕組みの必要性を指摘している。具体的には、社員が適切かつ適正にアクセスしているか、不正なアクセスや端末のハッキングなどがないか、異常を迅速に把握できるように、セキュリティ状態を可視化するソリューションや利用状況のログ取得が求められるということだ。
「モバイル向けネットワーク・セキュリティ」は、インターネット回線を介してPCやタブレット、スマートフォンなど、あらゆるモバイル端末を対象とした防御のこと。「遅延に敏感なセキュリティコンピュータ」とは、利用における各種の遅延を排除して、俊敏に対応できるセキュアなコンピュータの実現を目指す。
3.SASE実現までの5ステップ
SASEの実現にはいくつかのステップが求められる。現段階では単独のソリューションを導入するだけでは実現できず、複数ベンダーのソリューションを組み合わせて、5年程度をかけた実現が望ましいとされる。これまで境界線型を主軸にセキュリティを行ってきた企業が、どのような手順でSASEを導入していけばよいのか、その5ステップは以下になる。
【ステップ1】断片化されたレガシーアクセスの最適化
古いアクセス環境を整理統合して、最適なネットワーク利用を整備する。
【ステップ2】ゼロトラストの採用
あらゆるネットワークアクセスを信頼しない、という前提でゼロトラスト関連のセキュリティ対策を導入する。
【ステップ3】ゼロトラストとクラウド化の促進
ステップ1と2が整備されたら、その環境をさらに組織や企業全体に広げる準備を進める。
【ステップ4】ゼロトラストの拡大
クラウド化とゼロトラストという両輪が整った段階で、全社規模のゼロトラスト拡大を目指す。
【ステップ5】統合されたSASEの実現
ゼロトラストの拡大を推進した先には、統合化されたSASEの実現が待っている。
4.5ステップ実現にむけてゼロトラスト対応の必要性
SASEの完成には5年を要すると言われているが、一方でレガシーアクセスの最適化を待たずに、企業が取り組むべき喫緊の課題がゼロトラスト対応と言える。
ゼロトラストはPCやタブレットなどのコンテキストを基に、認証・承認されたアクセス元だけが、必要なリソースにアクセスできる制御技術になる。具体的には、アメリカ国立標準技術研究所(NIST)が7つの概念を定義している。
・全データソースとコンピューティングサービスはリソースと見なす
・ネットワークの場所に関係なく、すべての通信の安全を確保する
・セッション単位に許可される
・クライアントのコンテキストで、動的に認可を判断される
・デバイス・資産は、常にセキュアに維持及び管理される
・リソースの認証と承認はすべて動的で、アクセスが許可される前に厳密に実施する
・頻繁な情報収集とセキュリティ体制を常時改善する
SASEの実現に向けて、これらの概念をサポートするゼロトラスト対応の導入は大切になる。
(文=NetMotion Software, Inc. 日本カントリーマネージャー 高松篤史)
高松篤史:米国Citrix Systemsの統括部長として、黎明期より16年間にわたり日本市場での新規パートナーの開拓および製造流通業界のハイタッチセールスの統括を担当。長年にわたりネットワークセキュリティおよびVDI(仮想デスクトップ)製品の普及拡大に貢献。その後、カナダBlueCat Networksの日本地区担当のディレクターとして日本法人の立ち上げに従事し、2017年2月より現職。
連載・次世代型セキュリティー「SASE」のすべて(毎週木曜日更新)
#01 テレワーク時代のセキュリティー「SASE」が求められる理由
#02 クラウド時代のセキュリティー「SASE」実現に不可欠な5つのポイント
#03 クラウド時代のセキュリティ「SASE」が実現する6つのメリット
#04 次世代セキュリティ「SASE」実現への5ステップ
#04 次世代セキュリティ「SASE」対応がアフターコロナを見据えた働き方に不可欠な理由