ネットワークとセキュリティを統合した概念「SASE」
竹内信雅氏:それでは最初のセッションを開始させていただきます。前半は「SASEとは何か」という基本的な部分や、注目されている背景、お客様の検討の状況についてお話しします。後半はIIJがOmnibusというサービスで実現するSASEについて、ご紹介させていただきます。
まずSASEとは何か。ご存知の方も多くいらっしゃると思いますが、改めて整理します。SASEはGartner社が2019年、昨年に提唱したコンセプトで、ネットワークサービスとセキュリティサービスが統合化・集約化され、クラウド上で提供されるものと指摘し、サービスのあるべき姿・提供方式・実装方式を示したものです。ネットワークとセキュリティのほぼすべての機能を網羅した概念で、SD-WANやCASB、セキュアWebゲートウェイ、ゼロトラストなどを含みます。
こちらはSASEの概念を簡単に示した図です。従来は各機能ごとバラバラにオンプレで導入されていましたが、それらのネットワークとセキュリティの機能をクラウド型サービスでまとめて提供、利用可能とされていくだろうと提唱されています。
コロナ禍が生んだネットワーク整備の需要
もう少し具体的なイメージを、SASEが注目されている背景とともにご説明します。
従来よく見られた企業のネットワークは、本社やデータセンターなど1ヶ所に通信を集約し、インターネットの出口をまとめて、オンプレの境界型セキュリティで社内を守る。外出先から本社やデータセンターにリモートアクセスして、さらにオンプレのメールサーバーや社内システムにアクセスします。
今年の2月以降に顕著に見られた状況としては、コロナ禍でテレワーク社員が増え、リモートアクセス用のVPN機器や回線がパンクし、機器の増強・回線の増速を急遽迫られることになりました。もちろんオリンピック・パラリンピックを見据えて環境整備をしていた企業もありましたが、その想定をはるかに超えてしまったという状況です。
またMicrosoft 365をはじめとしたSaaSの利用の拡大も、もともと検討されていた企業が多かったのですが、コロナ禍でTeamsなどWeb会議の利用が一気に広がりました。昨年ぐらいから、全社員で使うとネットワークの見直しが必要だろうと、弊社にご相談いただいていたお客さまも多くいらっしゃいました。
それでも2月、3月の時点ではまだまだ計画段階で、対処が十分でないという企業が多く、インターネット回線・ファイアウォール・プロキシサーバーがパンクする事態になったのです。
テレワーク拡大に伴うネットワークの課題
もう少し詳細なイメージとして、テレワークの拡大に伴うネットワーク課題を3つに整理しています。リモートアクセス機器のスペック不足。インターネット回線とルーター・ファイアウォール・プロキシなどの機器への負荷の増大。そして3つ目として、テレワーク環境のセキュリティが挙げられます。
社員の自宅のWi-Fiセキュリティや、端末へのエンドポイントセキュリティなどの懸念ももちろんありますが、課題の1・2の解決には回線や機器の手配など物理的な納期もあり時間がかかるため、それを待てずにPCから直接クラウドにアクセスするのを許可しているケースが見られます。
やむを得ず応急処置として対処したため、不安を抱いている情シス担当者の方も少なくないと思います。弊社ではテレワーク環境のセキュリティリスクを可視化するアセスメントプログラムを8月からご提供しているのですが、そちらにも大変多くの引き合いをいただいています。
これらの今起きている問題への解決方法として、SASEに期待が集まってきました。テレワークユーザーが増えたり、SaaSなどクラウド利用が増えても、ネットワークの問題で利便性を落とすことなく、かつセキュリティも確保する。それを実現できるという期待がSASEに集まってきています。
ネットワークとセキュリティ機能というと、非常に多くの機能があるのですが、その中でもSASEの機能としてよく言われる代表的なものは、クラウド型のセキュアWebゲートウェイ、FireWall-as-a-service、CASB、SD-WAN、ゼロトラストネットワークアクセス/SDPなどです。
SASE検討の実情
ここからは、実際にSASEを導入するにあたってどのような検討がされているのかをお話しします。これまでお話ししたとおり、テレワーク社員の増加によるネットワーク課題がきっかけになることがほとんどです。そこで求められるポイントは主に3点あります。
「テレワークユーザーの増加に伴い、自社設備を増強するというサイクルを変えたい」、急な利用者増に機器や回線の増強が間に合わない、またSaaS利用やWeb会議の浸透拡大によってもさらなる増強が必要になったり、新たに出てくるネットワーク課題に対応し続けるのはもうやめたいと感じられています。
次に、「テレワークユーザーのクラウドやインターネットアクセスにも、セキュリティ対策は必要である」。テレワークユーザーが社内にアクセスしてからインターネットに出る場合は、通常のゲートウェイセキュリティでセキュリティチェックをかけることができます。しかし、直接クラウドやインターネットにアクセスする場合は、そこを通りません。その場合セキュリティ対策を考慮する必要があります。
3点目は、「社内からでも社外からでも、統一したセキュリティポリシーを適用させたい」。社内と社外、それぞれにポリシー設定が必要だと、変更時に両方に手を加えなければならないなど管理が煩雑になります。1つの設定でどちらのポリシーにも反映できるのが理想です。
これらを実現するために、テレワークユーザーに対するリモートアクセス環境整備ということだけではなくて、インターネットゲートウェイ全体の見直しにつながります。全社的なインターネットの出口が変わるため、影響範囲も広くなります。
本来の目的は「どこからでもクラウドを活用できる」こと
一方、拠点間ネットワークについても、従来どおりの各拠点から本社やデータセンターなど1ヶ所に集約して、そこからインターネットに出ていく構成だと、先ほどのリモートアクセスと同様の問題が生じます。そのためネットワーク構成全体の変更が検討されることになります。
このように、きっかけはリモートアクセス環境の見直しですが、ゲートウェイやWANを含めた広範囲のネットワークと、セキュリティの将来像の検討になることが多く見られます。広範囲でさまざまな検討が必要なので、通常ならば1年、2年と時間をかけて検討されるのですが、課題が明確になっている現状では、比較的スピード感を持って進められているのではないかなと思います。
「テレワークする社員が増えたので、リモートアクセス用にとにかくSASEを入れたいんだ」というお話を聞くこともありますが、どこからでもクラウドを活用できるネットワークとセキュリティの実現というのが本来の目的であり、SASEは1つの手段であるということを意識して進めるのが良いのではないかと思います。
キーワードは「デジタルワークプレース」
さて、ここからはIIJのOmnibusというサービスとSASEとの関係についてお話しします。IIJでは、これからのクラウドを活用した新しい働き方に適したものとして、「デジタルワークプレース」をキーワードとしてご提案しています。そのデジタルワークプレースを実現するサービスとして、IIJ Omnibusで各種機能をクラウドサービスでご提供しています。IIJ Omnibusは、本日のテーマのSASEやゼロトラストの概念モデルをベースとしております。
もう少し詳しく、IIJ OmnibusとSASEの関係についてご説明します。絵の中央にある、前半でお話ししましたSASEの代表的な機能ですね。こちらをサービスでご提供しているとともに、各種クラウドを活用するために必要になってくるそのほかの機能についてもご提供しております。
「IIJ Omnibus」3つの特長
Omnibusの特徴をピックアップしてご紹介します。1つ目の特徴は、豊富な足回り回線も含めたワンストップのSD-WANサービス。SD-WANの接続ポイントだけではなくて、拠点側に必要となる回線やルーターといった物理的なものと、それに付随する運用もサービスでご提供します。
フレッツ回線を使う場合、通信量の増大により遅延が発生して業務に影響が出ていることも少なくありません。OmnibusではIPoEでの通信で輻輳ポイントを回避することで、快適に利用ができます。より広帯域で安定した通信や、セキュリティの面でも閉域回線のニーズというのはまだまだ多くあり、そちらについても対応しております。回線はマルチキャリアを選択しても、IIJからまとめてご提供いたします。もちろんルーターはゼロタッチプロビジョニングが可能で、現地での設置作業は電源を入れてケーブルを挿すだけで完了、簡単に導入ができます。
2つ目はクラウドへのダイレクト接続と、最適な経路ルーティング。クラウドダイレクト接続は、クラウド上に移行した社内システムに対して、外部からの不正なアクセスや攻撃を受けないようにというセキュリティの面の目的だけではなくて、帯域確保された回線で安定的に使うために多く利用されています。
またクラウドやWebといった宛先に応じて適切なルートに通信を振り分けることによって、Microsoft 365への通信の影響でWebアクセスが遅延する、またその逆もあるかと思いますが、そういったことをなくして快適なクラウド利用を実現します。クラウドサービスを安定的に、かつ快適に利用するためには、これらの機能が必要になってくるケースが多いです。
3つ目は、高いセキュリティと快適性を両立する高速リモートアクセス。テレワークにおいて、ユーザー側の回線状況が安定せずに、Web会議が滞るケースも少なくないかと思います。Omnibusで提供するリモートアクセスでは、独自プロトコルを使い高品質で高速な通信を実現しています。またモバイル回線などが途切れてもつながり続ける切れないVPNで、再接続によるユーザーのストレスを低減できます。
さらにユーザーやデバイスの状況、使うアプリケーションなど、さまざまな条件による制御が可能で、高いセキュリティも両立できます。
SASEのクラウドにリモートから接続するにも、足回り回線やネットワーク品質が不安定では快適には使えないので、やはり重要になってくるのではないかなと思っております。
ご説明した3つの特徴以外にも、EDRであったりセキュリティ運用、SOCなどの機能がセキュリティでは重要ですし、認証やID管理といった機能も必要です。IIJ Omnibusでは、それらの機能もサービスでご提供しています。
ネットワークとセキュリティ、現状の最適解は?
駆け足になりましたが、最後にSASEの活用についてのまとめです。Gartner社の提唱でもありますが、1つのベンダーのサービスですべてをまかなえるのが理想です。ですが範囲が非常に広いので、すべてにおいて100点のソリューションは、残念ながらまだ存在しておりません。各ソリューションそれぞれで得意なところ・不得意なところがあるのが現状です。
また一方でSASEの機能と言われているもの以外についても、ネットワークとセキュリティには必要な機能があります。それらを踏まえると、お客さまそれぞれの状況に合わせてソリューションを組み合わせて使っていくのが、現状の最適解だと考えております。
このあと、SASEの代表的な3つのソリューションについて、それぞれご紹介いただきます。また最後にIIJグローバルソリューションズより、ソリューションの選定の仕方や導入へのステップについてもお話しします。ネットワークとセキュリティの将来像を描く参考になると思いますので、ぜひ最後までお付き合いください。
これで私のセッションは終了させていただきます。ありがとうございました。
