分散型SASEとは
分散型SASEをFortinetと提案
サブスクの導入・運用サービスも
高いセキュリティを必要とする企業ネットワーク向けに「SASE(Secure Access Service Edge)」や「SSE(SecurityService Edge)」といったしくみが普及してきている。
多くのベンダーがクラウド上のSASEサービスを展開するなか、エイチ・シー・ネットワークスは、Fortinet社の製品を使い分散型SASEを提案し、これらを月額サービスとして提供している。
SASE/SSEの市場が盛り上がる中、エイチ・シー・ネットワークスは、「分散型」のSASEによるビジネスを展開し注目を集めている(図表1)。SASEでは一般的に、ネットワークやセキュリティの機能・サービスをすべて1つのクラウドで提供する「集中型」を提案するベンダーが多い。SASEでは、ネットワークを必ずしも信頼できないものとする「ゼロトラストネットワーク」の考えで、認証やトンネリングを利用して通信を保護する。このとき、クラウドを使う集中型は、構造がシンプルになるため、多くのベンダーがこれを提唱しているのだ。しかし、いくつかの問題点があるという。
まず、すべての通信がクラウドを経由することになるため、ここですべての通信を管理する必要がある。ゼロトラストという前提上、管理しない通信という例外は認められない。しかし、セキュリティを検証する場所がインターネット側にあるために、そこにトラフィックを送らないことには、セキュリティ処理ができないため、かえって管理が複雑になってしまう。「集中型SASEの場合は対応する必要のない処理もすべてクラウドで行うため、コスト増と遅延が避けられません」と高橋精吾氏は指摘する。
昨今のリモートワークの普及もこうした問題を増強してしまう。多数の社員が自宅などから行うリモートワークは、ネットワーク的にみると、インターネット側からの多数のクライアントによるアクセスであり、これをクラウド側で処理することは、さまざまなパターンのアクセスを制御管理する必要があるということだ。最近では、この中にZoomなどのリモート会議システムが必ず入る。こうしたトラフィックがすべて集中型のSASEに接続するとなると、大量の通信をクラウド側で処理することになり、負荷が高い。実際、こうした集中型のSASEクラウドサービスでは、リモート会議での障害が発生することも少なくないようだ。
拠点の多くが国内にある場合 分散型でコストを最適化
本社、拠点、データセンターなどの接続は、業種、業態、企業規模などに応じてさまざまなパターンがある。となると、クラウド集中というパターンでは、対応が困難な場合も出てくる。世界中に展開し、多数の拠点を本社で一括管理というのであれば、集中型にメリットがあるが、逆に国内展開のみ、拠点数やクライアントの配置パターンがバラバラといったパターンでは、集中型のメリットが少ない。こうした場合、「オンプレミスとクラウドで最適な設計を行うことでコストを削減できる可能性があります」と池田浩志氏は述べる。クラウド集中型は、すべてのトラフィックを処理することで「単純さ」を保っているが、トラフィック量が増大するため、コスト高となりやすい。
そこで、エイチ・シー・ネットワークスはFortinet社と共同で、オンプレミスの拠点にもSASEを拡張する形式を提案している(図表1 右側)。これはFortinetの、ルーターとUTMが一体となった「FortiGate」と「FortiClientZTNA」を活用するものだ。FortiGateでは、多層防御を基本にする。従来のファイアウォール/ルーターでは、宛先やプロトコルなどで不正アクセスを検出していたが、ネットワークのセキュリティを考えた場合、ファイアウォールのような侵入対策だけでなく、内部ネットワークでの不審な動きを検出する、通信内容の検証などにより、漏洩対策を行うなど、複数の防御を重ねることでセキュリティを保つ。
しかし、通信内容の検証などでは、最近の暗号化された通信などを考えると高速な処理が必要となる。CPU性能は年々上がっているが、ソフトウエア処理では、ワイヤスピードに対応できない。Fortinetは、自社開発のASICを採用することで高速でセキュリティ検証を可能にしている。
分散型SASEでは、ZoomやTeams、あるいはMicrosoft 365などのクラウドサービスに関しては、ブレイクアウトしてそのままインターネット側にトラフィックを通す。セキュリティの検証が、拠点や本社などのインターネット接続点(FortiGate)や、リモートではPC(FortiClient ZTNA)で行われているため、識別が可能だからだ。クラウドによる集中型のSASEでは、クラウド側にトラフィックを送らないことには、セキュリティ検証ができない。この点が、大きな違いになる。このため、オンライン会議サービスでは、インターネット接続そのままの通信効率が保たれる。
また、リモートワークでは、クライアントは一般家庭に置かれたPCであり、プライベートな利用も同時に行われる。このとき、すべての通信をクラウド側SASE/SSEサービスで管理してしまうことは、管理ルールの増大を招く。かといって、プライベート利用を制限することも難しい。「実際のところ、集中型SASEにおいて複雑なポリシーを適用することは可能ですが、現実的にそれらを運用しきれている企業は少ないのが現状です」と不破大介氏は明かす。
分散型SASEはこうした課題にも柔軟に対応できる点が強みと言えるだろう。「SASE以前から、オンプレミス、クラウド側共に、FortiGateとFortiClientZTNAのシームレスな連携に取り組んできた、当社ならではの提案だと考えています」と池田氏は胸を張る。
さらに、エイチ・シー・ネットワークスでは分散型SASEに、インテグレーションや保守運用監視サービスなどを組み合わせた月額利用サービス「SERVICEORCHESTRA」を提供している(図表2)。セキュリティ対策はコストと考える企業が多いなか、初年度に機器導入などの大きなイニシャルコストがかかり、その後のコストも変動するのでは、多くの企業では予算を組みにくい。これを「月額サービスとすることでコストが想定しやすくなります」と不破氏。初期コストも抑えられるほか、通常のリースと異なり、導入時のインテグレーションから保守運用まですべてをバンドルできるため、コストの可視化がしやすく、財務視点からも高評価だという。柔軟なアーキテクチャに柔軟な導入方法で、セキュリティやネットワークの最適化をめざす企業にとって心強い味方になるはずだ。
出展
株式会社リックテレコム テレコミュニケーション2022年09月号
関連資料ダウンロード
セキュリティソリューション 一覧
-
Fortinetで構成する分散型SASEとは
分散型SASEをFortinetで実現するコアエレメントを紹介
詳しく見る
-
分散型SASE
分散型SASEをFortinetと提案
サブスクの導入・運用サービスも詳しく見る
-
Appgate SDP
オンプレとクラウドを柔軟に防御
Appgate SDPで加速するゼロトラスト詳しく見る
-
A3C-SIMコネクト/iboss cloud
月1200円から目指すゼロトラスト
ソフトSIM+SWGで全通信を制御詳しく見る
-
Aruba EdgeConnect SD-WAN (旧Silver Peak)とSASE連携
Aruba EdgeConnect SD-WAN (旧Silver Peak)と最先端のクラウドデリバリーセキュリティサービスにより、クラウドファーストの企業の各種ニーズに対応するSASE(セキュアアクセスサービスエッジ)ソリューションを提供
詳しく見る
-
ランサムウエア対策
ネットワーク接続前検疫で、パッチ適用を徹底!!
詳しく見る
-
ゲストネットワークの作り方
アカウント発行とeduroam環境の整備
詳しく見る
-
お悩み解決!
証明書の運用管理利用申請から証明書の配付まで
詳しく見る
-
スマートデバイス
セキュリティ対策BYOD時代のデジタル証明書運用
詳しく見る
-
不正通信端末遮断
ソリューション万が一情報セキュリティ事故が起きたとき、素早く発生源を特定し、被害拡大を防ぐ
詳しく見る
-
ネットワーク認証
正規のユーザーや端末のみにネットワーク接続を許可し、不正なアクセスを遮断
詳しく見る