クラウド型セキュリティで「ゼロトラスト」を実現
にわかに高まる
前述の通り、セキュリティポリシーの統一を目的として、社内全てのトラフィックを一旦データセンターに収容するネットワーク構成には、クラウドの利用拡大で無理が生じるようになってきている。そこで近年需要が高まってきたのが、拠点からクラウドへの「ローカルブレイクアウト」の仕組みだ。
企業の拠点からクラウドサービスへアクセスする場合、閉域ネットワークを通じて本社を経由するのはコスト面でもパフォーマンスの観点でも非効率だ。そこで、Office 365やG Suiteなど、業務に使用する信頼されたサービスに関しては、安価なインターネット回線を利用して拠点から直接アクセスする。これがローカルブレイクアウトだ。一般のウェブ閲覧などは従来通り自社データセンターのセキュリティ機器を経由するので、URLフィルタリングなどのポリシーは引き続き適用することができる。
ローカルブレイクアウトは拠点のネットワーク機器やプロキシサーバーに通信経路を書き込むことでも実現可能だが、クラウドサービスごとに手作業で設定を行うのは煩雑なため、実際には通信内容に応じて動的にWANを構成するSD-WANソリューションを活用することが多い。
ただし、拠点がインターネットに直接さらされる形になるため、拠点側に新たなセキュリティ対策が必要になる。最近では、次世代ファイアウォールやUTMなどのセキュリティ機器で、ローカルブレイクアウト機能を搭載するものも登場しているので、そのような製品を導入するという解決策もある。ただし、機器の規模や台数によっては高コストとなるほか、中央のデータセンターでセキュリティポリシーを一括管理していた企業にとっては、拠点ごとの機器を運用するという新たな手間の発生につながる。
クラウド型セキュリティで
クラウド利用に伴うネットワークのパフォーマンスとセキュリティの問題を丸ごと解決する仕組みとして、クラウド型のゲートウェイセキュリティが登場している。
その一つが、米ゼットスケーラーが提供する「Zscaler Internet Access」だ。同社のサービスは、企業のネットワークとSaaSアプリケーションの間に入り、フィルタリングなどのアクセス制御や、疑わしいコンテンツを検証するサンドボックスなどのセキュリティ機能をクラウドサービスとして提供する。Zscalerクラウドと、Office 365をはじめとする主要なSaaSアプリケーションは、高速・大容量のネットワークで接続されているため、SaaSアプリケーションのパフォーマンス向上も期待できるという。
米ゼットスケーラー
今月来日した、同社でアジア太平洋・日本市場を担当するスコット・ロバートソン バイスプレジデントは、「従来、企業はデータセンターという城の周囲に城壁を築いてセキュリティを担保していた。データもアプリケーションも城の中にあったからだ」と振り返る一方、ユーザーがSaaSアプリケーションに直接アクセスしたいと望む現代では、インターネットという信頼性のないネットワークを前提とした、新たなセキュリティの仕組みが必要と説明する。
同社は昨年、NTTコミュニケーションズ(NTTコム)と戦略的なパートナーシップを結び、Zscalerクラウドのセキュリティ機能を、NTTコムのネットワークや各種ソリューションとセットで提供できる体制を整えている。NTTコムは、ローカルブレイクアウトのトラフィックでセキュリティを担保するためのツールとしてZscalerを活用する(図参照)ほか、SaaSアプリケーション/ウェブ閲覧を問わず全てのインターネットアクセスをZscalerに流し、Zscalerクラウドでセキュリティポリシーを統一する企業も今後増えるとみているという。
なお、Zscalerクラウドを経由するトラフィックを分析すると、かつては最も容量の大きなアプリケーションはYouTubeだったが、近年はOffice 365のトラフィックが急増しており、昨年ついにYouTubeのトラフィックを上回ったという。企業のインターネットアクセスでは、今や業務アプリケーションが動画コンテンツ以上の容量を占めているということになり、インターネットのパフォーマンスが生産性を大きく左右する要素になっていることが分かる。
従来型のセキュリティ製品から
ゼットスケーラーのパートナーとして、同社製品を活用したネットワーク構築を行っているユニアデックスでは、本社と支社など拠点間接続のハブとしてもZscalerクラウドを活用する構成を提案している。全ての拠点で発生する拠点外への通信は一旦Zscalerクラウドに接続し、そこで認証やポリシーの適用をうけた上で、インターネットや他拠点へつながっていくイメージだ。モバイル環境の端末は、端末にインストールするアプリが生成したトンネルを経由してZscalerのクラウドへ転送される。社内と社外という境界はなくなり、業務アプリケーションにアクセスする全てのトラフィックは、クラウドから提供される統一されたセキュリティポリシーの下で制御される形になる。
境界線を引いて社内を守る従来の構成に対し、社内外を問わず全ての通信を検証するセキュリティモデルは、「ゼロトラスト」と呼ばれている。ゼロトラストは約10年前に米調査会社のフォレスターリサーチによって提唱されたコンセプトだが、ネットワークや端末の種類に依存することなく、セキュリティを担保した状態で効率的に業務を行える環境を提供するため、ゼロトラストを具体的な仕組みとして実現しようとする動きが活発化している。
ただし、「社内は安全」であることを前提に構築されたシステムをゼロトラスト化していくには、ネットワーク構成の抜本的な変更など大規模なプロジェクトにならざるを得ない。
Zscalerと同様に、クラウドによるセキュリティ制御とSaaSアクセスの最適化を提供するSD-WANサービスとして、イスラエルのケイトーネットワークスが提供する「Cato Cloud」がある。国内パートナーのマクニカネットワークスは、ゼロトラストを実現するソリューションとしてCato Cloudを販売しているが、海外拠点のセキュリティ統制を高める目的や企業の買収・合併により拠点間で異なっていたポリシーの統合のため、社内の一部で導入するケースが多いという。全社的な導入を検討する企業はまだ少数派だ。ただ、拠点で運用する必要があったセキュリティ機器やWANのコストを削減しつつ、生産性の向上を実現できるため、ニーズは確実に増大している。従来オンプレミス型のセキュリティ製品に向けられていた投資が、このような新種のサービスへと徐々にシフトしているのは確実とみられる。
セキュリティ製品もハイブリッド化が進む
クラウド型のセキュリティゲートウェイやSD-WANといったサービスは、多拠点を展開し一定規模以上のトラフィックが発生する中堅以上の企業を対象にしている。中小企業でもクラウドの導入は進んでいるが、WANのパフォーマンス不足といったクラウド利用における具体的なトラブルが大企業に比べると表面化しにくいため、現状ではあえてクラウドを意識したセキュリティ製品を導入する意欲が高いわけではない。
しかし、IT部門の人的リソースが限られ、端末の管理がおろそかになりがちな中小企業こそ、クラウド利用におけるセキュリティリスクは何らかの形でカバーする必要がある。ノートPCを利用して出先のカフェからSaaSアプリケーションにアクセスするといったシーンでは、企業の管理がまったくおよばない環境にさらされることになりかねない。
そこで、従来は企業の内部を保護することにフォーカスしていたUTMのベンダーも、クラウド利用を念頭に置いたソリューションの拡充に動いている。例えばウォッチガード・テクノロジー・ジャパンは、PCやSaaSアプリケーションへのログインの際に、ID・パスワードだけでなく、スマートフォンなどを利用した多要素認証を導入できるソリューション「AuthPoint」の提供を昨年から開始した。
従来の多要素認証ソリューションは大企業向けで、価格やシステム構築のハードルが高い製品が多かったが、AuthPointは1ユーザー当たり月額数百円で利用できるという。同社が主力商品としてきた中小企業向けUTMと直接的に連携する要素はないが、UTMのVPN機能を利用したリモートワーク業務を導入する企業が増えていることから、「社外」のセキュリティに目を向けた商材を追加したという。
また、同じくUTMを主力とするソニックウォール・ジャパンは、海外ではすでに提供していたエンドポイントセキュリティ製品や、Office 365/G Suite上のメールやストレージを監視するSaaSセキュリティサービスを、今年後半から日本国内向けにも販売する。UTMの機能として、SaaS利用状況の可視化などには対応してきたが、中小企業でもクラウド利用が拡大するにつれ、社内ネットワークの出入り口にUTMを設置するだけでは脅威を防ぎきれなくなっているからだ。これらの新たに追加された製品・サービスは、UTMと統合された単一の管理コンソールから運用することが可能といい、管理対象が拡大してもIT担当者の業務負荷をなるべく増やさないように設計されている。
中小企業の間でクラウドセキュリティへの関心が高まるのはまだこれからだが、UTMの既存ユーザーに対してアドオンで提案できるという点では、売りやすい商材となっている。また、クラウドのセキュリティ強化をフックとして、エンドポイントセキュリティソフトや、各種セキュリティ機器の乗り換えを提案する動きが活発化する可能性がある。中小企業に対しても、今後はクラウドを意識したセキュリティ投資の最適化を説いていくことが必要となるだろう。
