分散型SASEとは

分散型SASEをFortinetと提案
サブスクの導入・運用サービスも
高いセキュリティを必要とする企業ネットワーク向けに「SASE(Secure Access Service Edge)」や「SSE(SecurityService Edge)」といったしくみが普及してきている。
多くのベンダーがクラウド上のSASEサービスを展開するなか、エイチ・シー・ネットワークスは、Fortinet社の製品を使い分散型SASEを提案し、これらを月額サービスとして提供している。

SASE/SSEの市場が盛り上がる中、エイチ・シー・ネットワークスは、「分散型」のSASEによるビジネスを展開し注目を集めている(図表1)。SASEでは一般的に、ネットワークやセキュリティの機能・サービスをすべて1つのクラウドで提供する「集中型」を提案するベンダーが多い。SASEでは、ネットワークを必ずしも信頼できないものとする「ゼロトラストネットワーク」の考えで、認証やトンネリングを利用して通信を保護する。このとき、クラウドを使う集中型は、構造がシンプルになるため、多くのベンダーがこれを提唱しているのだ。しかし、いくつかの問題点があるという。

図表1 集中型SASEと分散型SASEの比較

まず、すべての通信がクラウドを経由することになるため、ここですべての通信を管理する必要がある。ゼロトラストという前提上、管理しない通信という例外は認められない。しかし、セキュリティを検証する場所がインターネット側にあるために、そこにトラフィックを送らないことには、セキュリティ処理ができないため、かえって管理が複雑になってしまう。「集中型SASEの場合は対応する必要のない処理もすべてクラウドで行うため、コスト増と遅延が避けられません」と高橋精吾氏は指摘する。

昨今のリモートワークの普及もこうした問題を増強してしまう。多数の社員が自宅などから行うリモートワークは、ネットワーク的にみると、インターネット側からの多数のクライアントによるアクセスであり、これをクラウド側で処理することは、さまざまなパターンのアクセスを制御管理する必要があるということだ。最近では、この中にZoomなどのリモート会議システムが必ず入る。こうしたトラフィックがすべて集中型のSASEに接続するとなると、大量の通信をクラウド側で処理することになり、負荷が高い。実際、こうした集中型のSASEクラウドサービスでは、リモート会議での障害が発生することも少なくないようだ。

(右から)フォーティネットジャパン エンタプライズチャンネル本部 第一営業部 シニアアカウントマネージャー池田浩志氏、
エイチ・シー・ネットワークス 第一システムエンジニアリング本部 本部長 高橋精吾氏、同営業本部 第二営業部 部長 不破大介氏

拠点の多くが国内にある場合 分散型でコストを最適化

本社、拠点、データセンターなどの接続は、業種、業態、企業規模などに応じてさまざまなパターンがある。となると、クラウド集中というパターンでは、対応が困難な場合も出てくる。世界中に展開し、多数の拠点を本社で一括管理というのであれば、集中型にメリットがあるが、逆に国内展開のみ、拠点数やクライアントの配置パターンがバラバラといったパターンでは、集中型のメリットが少ない。こうした場合、「オンプレミスとクラウドで最適な設計を行うことでコストを削減できる可能性があります」と池田浩志氏は述べる。クラウド集中型は、すべてのトラフィックを処理することで「単純さ」を保っているが、トラフィック量が増大するため、コスト高となりやすい。

そこで、エイチ・シー・ネットワークスはFortinet社と共同で、オンプレミスの拠点にもSASEを拡張する形式を提案している(図表1 右側)。これはFortinetの、ルーターとUTMが一体となった「FortiGate」と「FortiClientZTNA」を活用するものだ。FortiGateでは、多層防御を基本にする。従来のファイアウォール/ルーターでは、宛先やプロトコルなどで不正アクセスを検出していたが、ネットワークのセキュリティを考えた場合、ファイアウォールのような侵入対策だけでなく、内部ネットワークでの不審な動きを検出する、通信内容の検証などにより、漏洩対策を行うなど、複数の防御を重ねることでセキュリティを保つ。

しかし、通信内容の検証などでは、最近の暗号化された通信などを考えると高速な処理が必要となる。CPU性能は年々上がっているが、ソフトウエア処理では、ワイヤスピードに対応できない。Fortinetは、自社開発のASICを採用することで高速でセキュリティ検証を可能にしている。
分散型SASEでは、ZoomやTeams、あるいはMicrosoft 365などのクラウドサービスに関しては、ブレイクアウトしてそのままインターネット側にトラフィックを通す。セキュリティの検証が、拠点や本社などのインターネット接続点(FortiGate)や、リモートではPC(FortiClient ZTNA)で行われているため、識別が可能だからだ。クラウドによる集中型のSASEでは、クラウド側にトラフィックを送らないことには、セキュリティ検証ができない。この点が、大きな違いになる。このため、オンライン会議サービスでは、インターネット接続そのままの通信効率が保たれる。

また、リモートワークでは、クライアントは一般家庭に置かれたPCであり、プライベートな利用も同時に行われる。このとき、すべての通信をクラウド側SASE/SSEサービスで管理してしまうことは、管理ルールの増大を招く。かといって、プライベート利用を制限することも難しい。「実際のところ、集中型SASEにおいて複雑なポリシーを適用することは可能ですが、現実的にそれらを運用しきれている企業は少ないのが現状です」と不破大介氏は明かす。
分散型SASEはこうした課題にも柔軟に対応できる点が強みと言えるだろう。「SASE以前から、オンプレミス、クラウド側共に、FortiGateとFortiClientZTNAのシームレスな連携に取り組んできた、当社ならではの提案だと考えています」と池田氏は胸を張る。

図表2 ICT機器の月額利用サービス SERVICE ORCHESTRAの概要

さらに、エイチ・シー・ネットワークスでは分散型SASEに、インテグレーションや保守運用監視サービスなどを組み合わせた月額利用サービス「SERVICEORCHESTRA」を提供している(図表2)。セキュリティ対策はコストと考える企業が多いなか、初年度に機器導入などの大きなイニシャルコストがかかり、その後のコストも変動するのでは、多くの企業では予算を組みにくい。これを「月額サービスとすることでコストが想定しやすくなります」と不破氏。初期コストも抑えられるほか、通常のリースと異なり、導入時のインテグレーションから保守運用まですべてをバンドルできるため、コストの可視化がしやすく、財務視点からも高評価だという。柔軟なアーキテクチャに柔軟な導入方法で、セキュリティやネットワークの最適化をめざす企業にとって心強い味方になるはずだ。

出展

株式会社リックテレコム テレコミュニケーション2022年09月号

関連資料ダウンロード

セキュリティソリューション 一覧

お見積もり依頼・お問い合わせ・
技術情報ダウンロード

各種製品に関するご相談・ご質問などお気軽にお問い合わせください。
技術情報はPDF版でご用意しています。

トップへ