セキュリティにも「クラウド前提」と「生産性向上」を

ホーム
週刊BCN
Special Feature
セキュリティにも「クラウド前提」と「生産性向上」を

週刊BCN×TD SYNNEX 特選記事

国内独占販売　TD SYNNEXが語る
ブロードコムシマンテックセキュリティ製品の流通戦略

× こちらから＞＞

学校の働き方は変わる!
学校での働き方改革にAIを～Copilot+ PCの3つの強み～

× こちらから＞＞

Special Feature

セキュリティにも「クラウド前提」と「生産性向上」を

2020/03/05 09:00

週刊BCN 2020年03月02日vol.1815掲載

SD-WAN＋セキュリティの
「SASE」が登場

　前述の通り、クラウドの普及に呼応する形でセキュリティ機能を強化したSD-WANサービスが登場しているが、米調査会社のガートナーも昨年、企業向けネットワークソリューションの領域で「Secure Access Service Edge」（SASE、サーシまたはサシーと発音されることが多い）と呼ばれる新たな概念を提唱している。

　SASEは、SD-WAN、WAN最適化、クラウド接続の高速化といった各種のネットワーク機能と、次世代ファイアウォール、CASB（クラウドアクセスセキュリティブローカー）、セキュアWebゲートウェイといったセキュリティ機能を、丸ごとサービスとして提供するものだ。

　境界型防御のポリシーが限界を迎えた以上、WANの設計を根本的に見直そうと考える企業が現れるのは当然だ。その一方で、従来はアプライアンスで実現していた各種のセキュリティ機能が、最近ではクラウドサービスとして提供されるケースが増えている。エッジからクラウドまでのポリシーを一元管理できるSD-WANと、企業が自社で製品を保有しなくても最新のセキュリティ機能を利用できるクラウド型セキュリティが、統合的に提供されるサービスがSASEと言えるだろう。

　SASEの概念はまだ提唱されたばかりだが、2015年の創業時から同様のコンセプトの実現を目指していたと主張するのが、イスラエルに本拠地をおくネットワークサービスベンダーのケイトーネットワークスだ。

　ケイトーはグローバルな規模のプライベートWANを有しており、その上で各種のクラウド型セキュリティサービスを提供している。このプライベート網には、世界50カ所に設けられた接続点からアクセスすることが可能で、代表的なSaaSやIaaSとの間でも高速な通信環境を確保している。企業は自前でWANを構築しなくても、世界中の各拠点からケイトーのプライベート網に接続するだけで、拠点同士や拠点とクラウドとの間をセキュアに結ぶことができるという（図参照）。

　企業の拠点と接続点との間はインターネット回線を用いる。拠点にはSD-WANルータに相当する「Cato Socket」を設置するが、端末にクライアントソフトを導入することで、Cato Socketの置かれていないモバイル環境からもプライベート網へのアクセスが可能。最も高速な接続点が自動的に選択されるため、世界中どこからアクセスしても社内やクラウドへ安定した接続が可能で、障害が発生した際には利用可能な接続点や経路へと自動的に切り替えが行われる。

　ケイトーで日本市場の営業を担当する四方洋行リージョナルセールスディレクターによると、最も引き合いが多いのは海外拠点をもつ企業からで、国内と現地拠点を結ぶネットワークを迅速に構築できること、海外においても同じセキュリティポリシーを確実に適用できることが好評という。また、最近では国内で複数拠点を展開する企業でも導入が進んでおり、採用の決め手は「工場や店舗にセキュリティアプライアンスを設置し、それを管理者が運用するという、これまでかかっていた手間やコストを削減できることだ」としている。複数の製品やサービスを組み合わせたネットワーク構成ではどこかにボトルネックが発生しやすいが、拠点と接続点を結ぶだけというシンプルな構成のため、性能上の問題が起こりにくいこともメリットという。

インフラ自動化ツールを
セキュリティ運用にも

　昨今、サイバーセキュリティに関する運用面の課題として必ず指摘されるのが、セキュリティ人材が不足しているにもかかわらず、監視すべき対象が増え続けていることだ。このため、毎日さまざまな機器がアラートを発報しているが、それぞれの深刻度の分析がままならず、結果として対応すべき脅威の見逃しや放置につながってしまう。

　米レッドハットでAnsibleセキュリティを担当するマッシモ・フェラーリコンサルティングプロダクトマネージャーは「平均的なセキュリティチームは、アラートの5％にしか対応できていない」「確かに人材不足はあるが、問題は単に人を増やしても解決できず、より効率を上げないと対応できない。テクノロジーを導入しなければダメだ」と指摘する。

　では、Linuxや開発者向けツールに強みをもつレッドハットが、セキュリティ運用の生産性改善にどのように貢献するのか。同社では、IT自動化ツール「Ansible Automation Platform」を、脅威の検出や対応にも応用することを提唱している。

　最近のセキュリティ業界で挙げられる機会が多いキーワードに「SOAR」（ソアー）がある。これはセキュリティ（S）のオーケストレーション（O）、オートメーション（A）、レスポンス（R）を意味し、ログやアラートの収集・分析、脅威の深刻度の判定、攻撃への対応の自動化を図っていくという考え方だが、レッドハットでは、このSOAR実現のためにAnsibleの活用を提案している。

　Ansibleはすでに多くのIT管理者やアプリケーション開発者に利用されており、物理的なITインフラからクラウド、セキュリティまで幅広い対象について、従来手作業で行っていた運用管理業務を自動化できるのが特徴。すでに主要なファイアウォールや侵入検知システム、ログ分析ソリューションに対応しており、今後はエンドポイントセキュリティ製品などにも対応を広げていく考え。

　セキュリティ専業ベンダーからもSOARソリューションは提供されているが、フェラーリ氏は「Ansibleはセキュリティベンダーと競合するのではなく、セキュリティ製品に統合・自動化の機能を提供するのが目的」と述べ、中立的なテクノロジーであることを強調する。セキュリティ機器の運用自動化のために専用の自動化ソリューションを導入した場合、その仕組み自体が新たなサイロとなり、将来的な拡張や要件の変化に対応できなくなる可能性がある。ITインフラ全体の管理に適したツールを導入することで、セキュリティを含む運用の全体最適化を図ることができるというのが同社のアピールポイントだ。

　不正・不許可サイトへのアクセスのブロックや、攻撃者との通信の検知といった、セキュリティ製品の目的は昔から変わらない。しかし、ITの利用形態が大きく変化した以上、従来のセキュリティ製品を積み上げる形態ではどこかで限界が訪れる。企業全体のネットワーク構成や運用プロセスも含んだグランドデザインが、セキュリティ対策にも求められると言えるだろう。