コンテンツデリバリネットワーク(CDN)のリーディング・プロバイダー、アカマイ・テクノロジーズ(以下、アカマイ)は2017年1月、企業アプリケーションへのリモートアクセスの次世代プラットフォームとして、「Enterprise Application Access(EAA)」を発表した。EAAは、シンプルで柔軟、かつセキュアなアプリケーションアクセスを実現し、ビジネススピードの向上とセキュリティの確保を両立させることができるという。EAAの全容と適用事例について、アジア太平洋・日本地域 プロダクト・マネージメント担当シニアディレクターであるニック・ホーキンス氏に話を聞いた。

アジア太平洋・日本地域 プロダクト・マネージメント担当シニアディレクター ニック・ホーキンス氏

VPNリモートアクセスの課題

今日、企業ITインフラはオフィス内の設備から、社外のデータセンター、クラウドへと広がりを見せ、アプリケーションやデータが各所に分散配置されている状況にある。

「そのような状況の中、ビジネス要求や組織の変化に対応しながら、会社のアプリケーションに対するアクセス制御をしっかりと、かつ、スピーディに行い、セキュリティとビジネススピードを両立させるのは簡単なことではないはずです。実際、従来型のアプローチでそのミッションを遂行していくのは、きわめて困難と言わざるを得ません」とホーキンス氏は言う。

言うまでもなく、オンプレミスやクラウドのデータセンターでは、外部からの不正侵入やDDoS攻撃を防ぐ目的で、ファイアウォールやIPS/IDSなどの装置がDMZ上に高く積み上げられている。そのインフラ上のアプリケーションに対して、リモートからセキュアにアクセスできる環境を築く場合、通常はインバウンド(外から内へ)の通信を通すためにファイアウォールに穴を空け、外部と内部をVPNで結ぶという手法が取られる。

「この手法は間違ったアプローチでありませんが、ファイアウォールに穴を空けること自体がセキュリティ上のリスクにつながるものですし、VPN接続のためにクライアント側にソフトウェアの導入が必要とされたり、DMZの機器構成が複雑化したりと、IT担当者の作業負荷が増大するおそれが強くあります。しかも、社員のみならず、外注業者などにもVPN経由でのリモートアクセスを認めた場合、社外の人間に、内部ネットワークを自由に動きまわる権利(ラテラルムーブメント)を与えてしまうことになりかねないのです」(ホーキンス氏)

VPNリモートアクセスの課題

この問題は、オンプレミスとクラウド(パブリッククラウド)に会社のアプリケーションやデータが分散配置されるハイブリット環境になるとさらに深刻化する。

「ハイブリット環境では、DMZやVPNの数も複数になり、それだけでネットワークの構造が複雑化します。また、アプリケーションやそれにアクセスする人のロケーションも多様なため、VPNゲートウェイの数も増大し、結果として、アプリケーションのアクセス制御を適切に行うための手間とコストが膨れ上がってしまうのです」(ホーキンス氏)

ハイブリッド環境でさらに複雑化するVPNリモートアクセス

実際、アカマイの調査によれば、75%の企業が、外注業者などに対して内部ネットワークへのアクセス環境を提供するために最大14ものステップを踏んでいるという。

3rd Party(*)からのリモートアクセスでは、複雑性の対処とデータ漏洩へのの注意が必要
* 3rd Party: コントラクター、パートナー、サプライヤー、フランチャイジー、等

「このような状況では、必要とされるアプリケーションアクセスの環境をスピーディに提供することはできないはずです。ですから、もっとシンプルで柔軟性が高く、かつセキュアなアクセスを実現するプラットフォームが必要とされます。そんな時代の要請にこたえるために、アカマイが提供しているのが、Enterprise Application Access(EAA)にほかなりません」(ホーキンス氏)