IIJは11月5日にプライベートイベント「IIJ デジタルワークプレイス DWP Day」を開催、その際、IIJ サービスプロダクト推進本部 副本部長 三木庸彰氏が登壇し、「ワークプレイス変革 成功のヒント」と題し、デジタルワークプレイス(DWP)を実現させるために重要なポイントや必要な概念について説明した。

DWP実現のために重要な2つの概念

三木氏は、「デジタルワークプレイスを実現する際は、『ゼロトラストネットワーク』『SASE(サシー)』、この2つの概念を理解・実装していくことから始まる」と語った。

  • IIJ サービスプロダクト推進本部 副本部長 三木庸彰氏

ゼロトラストネットワーク

ゼロトラストネットワークとは、米フォレスターリサーチが2010年に提唱した概念で、守るべき企業のITリソースはさまざまなクラウド上に分散されていき、それらにどのようにアクセスを許可していくか、といった考え方を示したもの。米国 国立標準技術研究所(NIST)でも考え方・信条が示されている。

  • ゼロトラストネットワークの概念図(左図が従来のファイアウォールによる境界型防御で、右図がゼロトラストモデル)

具体的には、従来の境界型防御では安全ではないこと、すべてのアクセス元・ネットワークを信頼しないことを前提に、ユーザーからのアクセスを都度認証・認可するといった考え方だ。

「重要なことは、ゼロトラストネットワークとは、仕様や要件ではなく、考え方そのもの、または目指すべき方向性である点だ」と、三木氏は強調した。

三木氏は続けて、「境界型防御の内側は安全という考え方に限界があることは、セキュリティベンダー自らが認めていることだ。しかし、ゼロトラストの考え方で勘違いしてはいけないのは、境界型防御だけでは安全性が保てないだけで、境界型防御やWANはなくしていいものではないということだ」と、誤解されやすい点を指摘した。

SASE

一方でSASEは、Secure Access Service Edgeの略語で、米ガートナーが2019年に提唱した概念。具体的には、ネットワークサービスとセキュリティサービスを統合化・集約化してクラウド上で提供することで、動的かつ安全なアクセスを実現するためのフレームワークであり、サービスのあるべき姿・提供方法・実装方法を示したものだ。SASEは、ネットワークとセキュリティのほぼすべての機能を網羅した広い概念で、ゼロトラストネットワークや、SD-WAN、CASB、SWGも含まれる。

  • SASEの概念図

ゼロトラストネットワークが、普遍的な考え方および方向性を示しているのに対して、SASEは、より企業のIT部門の従業員にとって具体的なソリューションや、採用するベンダーについての指針となる。

「SASEにおける重要な点は、システムだけでなく、ネットワークやセキュリティがさまざまな事業者から提供されるのではなく、一事業者からワンストップで提供・運用されるべきということだ」(三木氏)

押さえるべき5つのポイントとは?

三木氏は、2つの概念の説明に続いて、デジタルワークプレイスの実現に向けて押さえておきたいポイントとして、以下の5つの説明を行った。

UX(ユーザー体験)

三木氏が第一に挙げたのは、UX(ユーザー体験)だ。従来、セキュリティと利便性の両立は難しいといわれてきたが、最近は実現可能だという。三木氏は、「リモートワークが前提となる新しい時代において、社内にいるかのようにシームレスでストレスがない使用感といったものが、生産性を落とさないためにも、今後当たり前になる」と考えを示した。

また、質の悪いUXで生じる複雑さは、新しいIT製品やセキュリティ対策の導入において、手間の問題だけでなく、ユーザーが抜け道を作る温床となりうるとし、必ず避けなければならないと、三木氏は説明した。

認証・ID管理

次に、認証や認可についての取り組みが、特に重要なポイントであると、三木氏は語った。

認証の分野というのは、専門的な知識や経験を必要とし、取り掛かりにくい分野というのが実情だが、外部からの攻撃であったり、内部からのなりすましなどの問題が深刻化している昨今では、デジタルワークプレイスを推進する上で重要な技術要素だとしている。

「ベンダーを選定する際は、リーズナブルで高機能な認証サービス、さらにはActive Directoryに関する知見があるかどうかといった点に注意したほうがいい」(三木氏)

ネットワークとセキュリティの融合

3点目は、SASEの概念そのものだが、ネットワークサービスとセキュリティサービスは一体化されて今後提供されていくと、三木氏は示した。2つのサービスが一体化することによって、企業の運用コストが削減できるだけでなく、セキュリティ面での強化や、緊急時における対応スピードなどが改善される。

また、ニーズや規模の変化に俊敏に対応できるということが重要だとし、サブスクリプション型のサービスを利用することを推奨していた。

ログ収集・相関分析

4つ目はログの収集や相関分析だ。デジタルワークプレイスが浸透することで、自宅や外出先など社外でテレワークをするユーザーが増え、これに伴い、これまで想定したことがないような、セキュリティ面での懸念事項も増加していくという。企業のIT部門は、ユーザーがどのような通信を行ったのか、どのような操作が端末で行われていたのかといったことを、事細かく把握する必要がある。

しかし、ユーザーのログを集めるだけでは、把握しきれない。そのため専用のITツールやセキュリティオペレーションセンターのような、セキュリティ運用のアウトソーシングを考える必要があると、三木氏は言う。

「ログ収集などについても、ネットワークのログやセキュリティ機器のログ、エンドポイントのログ、それぞれがバラバラとした管理にならないように、ワンストップで対応できるパートナーの選定が欠かせない」(三木氏)

マルチベンダー、マルチキャリア

最後のポイントは、マルチベンダーやマルチキャリアを採用することだ。同社によると、昨今では多くのベンダーが自社製品やサービスのみでゼロトラストネットワークやSASE、さらにはデジタルワークプレイスの実現に向け、開発を強化している。

しかし、ベンダーによって得意不得意があり、サービスに偏りがあるのが現状だ。そこで、重要なのは、「それぞれのベンダーが強みとするノウハウや製品をうまく使い分け、組み合わせること」と、三木氏は説明した。

三木氏は、「クラウド化が広がる中で、機能面だけでなく、耐障害性や、災害対策の観点でもマルチベンダーやマルチキャリアに対応していくことがデジタルワークプレイスの実現につながる」と、最後のポイントを示し、講演を締めくくった。

  • デジタルワークプレイス実現に向けて押さえるべき5つのポイント